Overige relevante privacy wet en regelgeving

In het kader van bescherming van persoonsgegevens zijn er nog een aantal andere voor de CSP relevante wet- en regelgeving. In dit hoofdstuk een korte toelichting.

3.5.1 EU-US Privacy Shield

In de AVG is bepaald dat een organisatie persoonsgegevens alleen mag doorgeven naar landen buiten de EU, zogeheten derde landen, met een passend beschermingsniveau. De Europese Commissie (EC) heeft een regeling aangenomen voor doorgifte van persoonsgegevens aan de Verenigde Staten (VS), deze regeling heet het EU-VS privacy schild (‘privacy shield’). Elke organisatie in de VS die bij het privacy schild is gecertificeerd, heeft een passend beschermingsniveau.

Organisaties vanuit Europa mogen dan persoonsgegevens doorgeven naar deze organisaties in de VS, ondanks grote verschillen op het gebied van privacy wet- en regelgeving tussen de EU en de VS. (bron: AP, 2017)

47

Het EU-VS-privacy schild is een overeenkomst over de bescherming van persoonsgegevens van burgers van de EU die in de VS verwerkt worden. De EC heeft deze overeenkomst goedgekeurd op 12 juli 2016 en vanaf dat moment mogen Europese organisaties persoonsgegevens uitwisselen met Amerikaanse bedrijven indien hun certificering wordt opgenomen in het privacy schild-register.

3.5.2 Uitvoeringswet Algemene verordening gegevensbescherming

Het huidige wetsvoorstel van de Uitvoeringswet Algemene verordening gegevensbescherming (Uitvoeringswet) heeft als doel om in Nederland uitvoering te geven aan de Algemene verordening gegevensbescherming (AVG) en de Wet bescherming persoonsgegevens (Wbp) te vervangen. De AVG en de Uitvoeringswet treden op 25 mei 2018 in werking.

De AVG is als verordening een Europese wet die rechtstreekse werking heeft in de hele Europese Unie en voorrang heeft op nationale wetgeving. De AVG is dan ook gelijk voor alle lidstaten van de Europese Unie. De AVG biedt echter aan lidstaten de ruimte om specifieke bepalingen op te nemen of uitzonderingen te maken voor een aantal onderwerpen waarbij ruimte is voor afwijking of aanvulling van de Europese wet. In Nederland zijn deze specifieke bepalingen vastgelegd in de Uitvoeringswet. Daarbij gaat het bijvoorbeeld om specifieke bepalingen omtrent

de positie van de Autoriteit Persoonsgegevens (toezichthouder) en over de invulling van de rechten van de betrokkenen. (bron: MvJ, 2018)

3.5.3 Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens is in Nederland de toezichthoudende autoriteit die onafhankelijk toezicht houdt op het gebruik van persoonsgegevens. De taken en bevoegdheden van de AP staan in de Wbp en zullen per 25 mei 2018 gebaseerd zijn op de AVG. Om te onderzoeken en te beoordelen of organisaties toereikende maatregelen voor de bescherming van persoonsgegevens toepassen hanteert de Autoriteit Persoonsgegevens de richtsnoeren (bron: AP, 2013). Deze richtsnoeren dateren van februari 2013 en zijn nog gebaseerd op de beveiligingsnormen uit de Wbp. Een herziening van de richtsnoeren op basis van de AVG moet nog plaatsvinden. In hoeverre hierbij een aparte richtsnoer voor (cloud) service providers komt, is nog onbekend.

Om tot passende beveiligingsmaatregelen te komen beschouwt de Autoriteit Persoonsgegevens de volgende elementen uit het vakgebied informatiebeveiliging als randvoorwaarde:

• Inrichten van een PDCA-cyclus; • Uitvoeren van een risicoanalyse;

• Maatregelen implementeren op basis van beveiligingsstandaarden.

3.6 Conclusie

In dit hoofdstuk heb ik de principes en uitgangspunten voor bescherming van persoonsgegevens onder de AVG uiteengezet en daarbij deze nieuwe wettelijke bepalingen toegespitst op de werking van de AVG naar de CSP toe. De AVG is technologieneutraal en gaat niet specifiek in op cloud computing. Dit betekent dat de regels van de AVG voor de verwerking van persoonsgegevens van toepassing zijn voor alle diensten, ongeacht de gehanteerde technologie, diensten- en toepassingsmodel en architectuur van de (cloud) dienst. Op basis van de definitie van een verwerker onder de AVG kunnen we concluderen dat een CSP behoort tot de categorie van verwerkers. Door een breder toepassingsgebied van de AVG bestaat de mogelijkheid dat er meer CSP’s onder de verwerkingssfeer van de AVG komen.

48

Met de inwerkingtreding van de AVG zal het aantal verplichtingen voor de CSP sterk toenemen. Deze toename van verplichtingen voor de CSP onder de AVG komt vanuit twee dimensies:

• Diverse nieuwe (wettelijke) verplichtingen in de AVG waar de CSP direct zelfstandig verantwoordelijk is voor het doen nakomen ervan, met het risico op aansprakelijkstelling en boetes bij overtreding.

• Ondersteunen van de verantwoordelijke bij het doen nakomen van haar verplichtingen in het doen nakomen van de rechten van de betrokkene.

Deze AVG verplichtingen voor de CSP zijn alleen van toepassing voor eventuele persoonsgegevens die bij een CSP terechtkomen. Om te voorkomen dat hierover onduidelijkheid bestaat en de CSP achteraf aansprakelijk kan worden gesteld, is het voor een CSP van belang dat in elke schriftelijke overeenkomst met klanten expliciet wordt vastgelegd of er wel of niet sprake is van verwerking van persoonsgegevens.

Daarnaast blijkt uit mijn analyse dat een aantal van de nieuwe AVG verplichtingen tot complexiteit in de toepasbaarheid gaan leiden bij een CSP in een cloud omgeving. Voorbeelden zijn de verplichtingen omtrent inzet van subverwerkers en het verlenen van bijstand aan diverse verplichtingen van de verantwoordelijke.

Mijn aanbevelingen op het gebied van interpretatie, ondersteuning en toepasbaarheid van de nieuwe AVG verplichtingen voor CSP’s en toezichthouders heb ik opgenomen in de algemene conclusie (hoofdstuk 7).

Onder de AVG is een CSP verplicht om aantoonbaar te maken dat passende organisatorische en technische beveiligingsmaatregelen zijn ingericht ter waarborging van het doen nakomen van de AVG en daarover verantwoording te kunnen afleggen (‘accountability’). Om aan deze principes invulling te geven zijn er zowel verplichte als optionele bepalingen opgenomen in de AVG. Verplicht is bijvoorbeeld het bijhouden van een register van de verwerkingsactiviteiten, optioneel zijn de mogelijkheden van het aansluiten bij een goedgekeurde gedragscode of certificeringsmechanisme. Om te waarborgen dat blijvend en aantoonbaar aan de AVG kan worden voldaan door een CSP zijn vijf elementen essentieel: privacybeleid en commitment daaraan, processen en procedures om het privacybeleid te implementeren, kwaliteitssysteem voor continue verbetering, transparantie en betrokkenheid van individuen en handhaving met herstelprocedures bij omissies.

49