Cloud privacy control framework onder de AVT : impact van de nieuwe privacy wetgeving op de verantwoording door cloud service providers in Nederland

1

Cloud Privacy Control

Framework onder de AVG

Impact van de nieuwe privacy wetgeving op de

verantwoording door cloud service providers in Nederland

Auteur: Sjoerd Boumans

Studentnummer: 11425601

E-mail: sjoerdboumans@hotmail.com

Onderwijsinstelling: Universiteit van Amsterdam – Amsterdam Business School

Opleiding: Amsterdam IT Audit Program

2

Voorwoord

Voor u ligt de scriptie ‘Cloud Privacy Control Framework onder de AVG’ inzake de impact van de nieuwe privacywetgeving in Nederland. Deze scriptie is geschreven in het kader van de afronding van de Post-Master opleiding Amsterdam IT Audit Programme (AITAP) aan de Amsterdam Business School. Een persoonlijk woord van dank gaat uit naar mijn scriptiebegeleider Han Boer voor zijn bijdrage aan deze afstudeeropdracht. Zijn begeleidend commentaar was telkens kritisch en helder en zijn vakkundig inzicht hebben tot een verdere verdieping en verrijking van deze scriptie geleid. Het was een bijzonder leerzaam en interessant traject, waarbij ik veel kennis heb opgedaan in de onderwerpen cloud computing, Europese privacywetgeving AVG, risicomanagement, internationale controlestandaarden en assurance producten.

Verder gaat mijn dank uit naar de Chief Privacy Officer en de leden van de Kennisgroep Privacy van de NOREA voor hun inhoudelijke bijdrage en de tijd die ze vrij hebben gemaakt voor de interviews. Ik wens u veel leesplezier toe.

3

Samenvatting

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG), de nieuwe Europese privacywetgeving, in werking. De AVG zal de huidige Wet bescherming persoonsgegevens (Wbp) gaan vervangen. Het belangrijkste doel van de AVG is om de persoonsgegevens van burgers te beschermen. Uitgangspunt daarbij is een grotere verantwoordelijkheid en aansprakelijkheid voor bedrijven en organisaties die persoonsgegevens verzamelen, opslaan en verwerken. Veel organisaties maken tegenwoordig gebruik van cloud service providers (CSP) voor het uitvoeren van digitale gegevensverwerking en zullen zekerheid (assurance) willen dat de bescherming van persoonsgegevens is gewaarborgd en dat wordt voldaan aan de AVG. Op dit moment ontbreken echter duidelijke standaarden voor aantoonbaarheid en assurance toepasbaar onder de AVG.

Met de inwerkingtreding van de AVG neemt het aantal verplichtingen voor de CSP sterk toe. Dit komt voort uit diverse nieuwe (wettelijke) verplichtingen in de AVG waar de CSP direct zelfstandig verantwoordelijk is voor het doen nakomen ervan, en de verplichting de verwerkingsverantwoordelijke te ondersteunen bij het doen nakomen van haar verplichtingen (zoals bij de nakoming van de rechten van de betrokkene). Ook komt uit het onderzoek naar voren dat een aantal van de nieuwe AVG verplichtingen binnen een cloud omgeving tot complexiteit in de toepasbaarheid ervan gaan leiden. Cloud computing leidt daarnaast tot nieuwe bedreigingen en kwetsbaarheden voor beveiliging en privacy en de kans op het zich voordoen ervan is sterk afhankelijk van de toegepaste cloud technologieën, architectuur en diensten- en toepassingsmodellen.

De doelstelling van dit onderzoek was om een eerste aanzet te doen voor de ontwikkeling van een relevante en toepasbare set van criteria (normenkader) voor de uitvoering van op privacy gerichte assurance opdracht onder de AVG bij een CSP. Om dit te ontwikkelen heb ik gebruik gemaakt van beschikbare internationale normenkaders en standaarden, ter waarborging dat sprake is van een evenwichtig geheel van beheersingsdoelstellingen en passende organisatorische en technische maatregelen. Een diepgaandere analyse op de relevantie en toepasbaarheid van deze normenkaders en standaarden voor cloud en privacy heeft tot de conclusie geleid dat de volgende standaarden het meest geschikt zijn om daarbij als uitgangspunt te dienen:

• AICPA – SOC2 Trusted Services Principles;

• ISO 27018 – Code for protection of personally identifiable information (PII) in public clouds; • CSA – Security Guidance (4.0) en de Cloud Controls Matrix (3.0.1).

De complexiteit bij het opstellen van een control framework voor het kwaliteitsaspect van privacy is dat het sterk compliance gedreven is. De criteria zijn sterk afhankelijk van de van toepassing zijnde wet- en regelgeving voor privacy. In de internationale standaarden en normenkaders zijn de criteria voor privacy veelal gebaseerd op algemene privacy principes, eventueel afgeleid van privacy wet- en regelgeving, echter deze sluiten niet aan op de Europese privacywetgeving (AVG). Dit heeft gevolgen voor de vereiste maatregelen gericht op compliance met wet- en regelgeving. Om het Cloud Privacy Control Framework te laten aansluiten op de nieuwe Europese privacywetging van de AVG en het daarmee geschikt te maken voor de Europese/Nederlandse situatie zijn de uitgangspunten en bepalingen van de AVG, van toepassing voor de CSP, in het model geïntegreerd met de vorengenoemde internationale standaarden voor cloud en privacy.

4

De gehanteerde uitgangspunten en aanpak voor de totstandkoming van het theoretisch model van het Cloud Privacy Control Framework zijn in belangrijke mate gevalideerd door leden van de Kennisgroep Privacy van de NOREA en een Chief Privacy Officer van een corporate in Nederland. Voor een op privacy gerichte audit zijn diverse assurance producten beschikbaar om aantoonbaar te maken dat passende organisatorische en technische beveiligingsmaatregelen zijn ingericht ter waarborging van het doen nakomen van de van de AVG en daarover verantwoording te kunnen afleggen (‘accountability’). Uit een onderzoek naar de kenmerken van deze assurance producten in relatie tot de eisen vanuit de AVG kom ik tot de conclusie dat een SOC 2 rapportagevorm als enige aan deze eisen voldoet. NOREA heeft voor Nederlandse auditors een handreiking uitgebracht voor het uitbrengen van een ISAE / richtlijn 3000 rapport dat gelijkwaardig is aan het Amerikaanse SOC 2 rapport. Voor de inrichting van een ISAE3000 / SOC 2 rapport voor een CSP in het kader van de AVG zijn diverse aanpassingen in het rapport wenselijk en deze zijn nader uitgewerkt in de scriptie. Naar aanleiding van mijn onderzoek heb ik diverse aanbevelingen voor CSP’s in het kader van de toepassing en naleving van de AVG. Een aantal belangrijke zijn:

• Het gebruik maken van een data protection impact assessment (DPIA) als instrument voor het aantoonbaar maken dat sprake is van een op het risico afgestemd toereikend beveiligingsniveau voor de bescherming van persoonsgegevens.

• Het inrichten van een management systeem zoals een PDCA-cyclus dat de continue kwaliteitsverbetering van de organisatorische en technische maatregelen waarborgt.

• Het toepassen van een SOC 2 rapportagevorm voor assurance op kwaliteitsaspecten als beveiliging, beschikbaarheid, vertrouwelijkheid en privacy, in plaats van een ISAE3402 rapport. • Het vastleggen in elke schriftelijke overeenkomst met klanten of er wel of niet sprake is van

verwerking van persoonsgegevens, aangevuld met een instructie indien er wel persoonsgegevens worden verwerkt. Een CSP dient een verwerkingsopdracht te weigeren indien de klant hierover geen duidelijkheid wil of kan verstrekken.

• Het door de Autoriteit Persoonsgegevens laten opstellen van richtlijnen voor CSP’s ter invulling van specifieke principles based AVG bepalingen om eenduidige toepassing ervan te waarborgen en om te voorkomen dat het technologieneutraal principe van de AVG voorbij gaat aan de economische realiteit en dagelijkse praktijk van cloud computing.

5

Inhoud

2.1 Definitie van cloud computing ... 12

2.2 Cloud rollen en architectuur ... 12

2.3 Cloud karakteristieken ... 13

2.4 Cloud technologie ... 13

2.5 Cloud service modellen ... 15

2.6 Cloud toepassingsmodellen ... 16

2.7 Cloud verantwoordelijkheden voor beveiliging en privacy ... 17

2.8 Conclusie ... 18

3 Privacywetgeving onder de AVG voor CSPs ... 19

3.1 Privacy ... 19

3.1.1 Wat is privacy? ... 19

3.1.2 Privacy principes... 20

3.1.3 Privacy en informatiebeveiliging ... 22

3.1.4 Privacywetgeving in Nederland ... 24

3.2 Definitie van CSP (verwerker) onder de AVG ... 26

3.2.1 Toepassingsgebied van de AVG... 27

3.3 Verantwoordelijkheden en verplichtingen voor CSP onder de AVG ... 28

3.3.1 Schriftelijke overeenkomst ... 29

3.3.2 Garanties voor de verantwoordelijke (cloud customer) ... 30

3.3.3 Subverwerkers ... 31

3.3.4 Vertrouwelijkheid persoonsgegevens door medewerkers ... 32

3.3.5 Beveiliging van de verwerking... 32

6

3.3.7 Verwijderen en overdragen van persoonsgegevens ... 36

3.3.8 Aantoonbaarheid en verantwoording (‘accountability’) ... 36

3.3.9 Verwerking onder gezag ... 37

3.3.10 Register van de verwerkingsactiviteiten ... 38

3.3.11 Medewerking met de toezichthoudende autoriteit ... 38

3.3.12 Melden van datalekken (‘inbreuk’) ... 38

3.3.13 Data protection impact assessment ... 39

3.3.14 Functionaris voor gegevensbescherming ... 40

3.3.15 Gedragscode en certificering ... 40

3.3.16 Doorgifte van persoonsgegevens ... 41

3.3.17 Aansprakelijkheid en sancties ... 43

3.3.18 Impact van de AVG voor een CSP ... 43

3.4 Aantoonbaarheid en verantwoording ... 44

3.5 Overige relevante privacy wet- en regelgeving ... 46

3.5.1 EU-US Privacy Shield ... 46

3.5.2 Uitvoeringswet Algemene verordening gegevensbescherming ... 47

3.5.3 Autoriteit Persoonsgegevens ... 47

3.6 Conclusie ... 47

4 Cloud privacy risico’s ... 49

4.1 Bedreigingen, kwetsbaarheden en risico’s ... 49

4.1.1 Risico ... 49 4.1.2 Productiefactor (‘asset’) ... 50 4.1.3 Bedreiging (‘threat’) ... 50 4.1.4 Kwetsbaarheid (‘vulnerability’) ... 51 4.2 Risicomanagement ... 51 4.2.1 ISO 27005 ... 52 4.2.2 COSO ... 54

4.2.3 Data Protection Impact Assessment en Privacy Engineering ... 55

4.2.4 Plan-do-check-act-cyclus ... 56

4.3 Cloud privacy risico’s (beveiliging en privacy) ... 56

4.3.1 Governance and risk management ... 58

4.3.2 Network ... 58

4.3.3 Virtualisation ... 59

7

4.3.5 Malicious insiders ... 61

4.3.6 Data protection ... 61

4.3.7 Encryption ... 63

4.3.8 Incidents and disasters ... 63

4.3.9 Suppliers ... 64

4.3.10 Compliance ... 65

4.4 Conclusie ... 66

5 Normenkader voor privacy assurance bij een CSP onder de AVG... 67

5.1 Normenkaders voor beveiliging en privacy in de cloud ... 67

5.1.1 AICPA – SOC 2 Trust Services Criteria ... 69

5.1.2 ISO 27018 – Code for protection of personally identifiable information (PII) in public clouds ... 69

5.1.3 CSA – Security Guidance (4.0) en de Cloud Controls Matrix (3.0.1) ... 72

5.2 Assurance rapporten ... 73

5.3 Assurance producten ... 74

5.4 SOC 2 assurance rapport ... 77

5.5 Conclusie ... 79

6 Cloud Privacy Control Framework ... 81

6.1 Cloud Privacy Control framework ... 81

6.2 Praktijkgericht onderzoek - interviews... 85

7 Conclusie en aanbevelingen ... 87

7.1 Conclusie probleemstelling ... 87

7.2 Beperkingen ... 88

7.3 Aanbevelingen ... 88

7.4 Suggesties voor verder onderzoek ... 90

A. Verplichte AVG bepalingen voor een CSP ... 91

B. Analyse impact AVG versus Wpb ... 92

C. Analyse toepasbaarheid AVG voor CSP in een cloud omgeving ... 94

D. Cloud Privacy Control Framework – beheersingsdoelstellingen ... 96

E. Cloud Privacy Control Framework - beheersingsmaatregelen ... 97

F. Overzicht geïnterviewden ... 98

8

1

Inleiding

1.1

Aanleiding

Op 25 mei 2018 treedt de General Data Protection Regulation (GDPR), de nieuwe Europese wet voor databescherming, in werking. Vanaf die datum geldt nog maar één privacywet in de hele Europese Unie (EU). Het belangrijkste doel van deze General Data Protection (GDPR) is om de persoonsgegevens van burgers te beschermen. Uitgangspunt daarbij is een grotere verantwoordelijkheid en aansprakelijkheid voor bedrijven en organisaties die persoonsgegevens verzamelen, opslaan en verwerken. De huidige EU-richtlijn inzake gegevensbescherming (95/46/EC) zorgde voor een te grote verscheidenheid binnen de lidstaten en houdt onvoldoende rekening met globalisering en technologische ontwikkelingen, zoals cloud computing. Daarnaast is de afgelopen jaren het verzamelen van data explosief toegenomen, vaak zonder dat EU-burgers hiervoor toestemming hebben gegeven.

In Nederland is de GDPR verwoord in de Algemene Verordening Gegevensbescherming (AVG). De AVG zal de huidige Wet bescherming persoonsgegevens (Wbp) gaan vervangen per 25 mei 2018. Met de AVG hebben organisaties die persoonsgegevens verwerken meer verplichtingen. Er wordt in de AVG meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om de wet na te leven én om te kunnen aantonen dat zij zich aan de wet houden (accountability). Organisaties hebben daarom een documentatieplicht. Dit houdt in dat zij met documenten moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen. (AP, 2017) Veel organisaties maken tegenwoordig gebruik van cloud service providers (CSP) voor het uitvoeren van digitale gegevensverwerking. Gartner verwacht dat de sterke groei in voorgaande jaren van IT diensten in de cloud, zal doorzetten in 2017 (Gartner, 2017). Organisaties die gegevensverwerking hebben uitbesteed zullen zekerheid (assurance) willen van de CSP dat de bescherming van persoonsgegevens is gewaarborgd en dat aantoonbaar wordt voldaan aan de AVG. Op dit moment ontbreken echter duidelijke standaarden voor aantoonbaarheid en assurance toepasbaar onder de AVG (KPMG, 2017).

Een assurance rapport van een IT auditor kan voor de verantwoordelijke organisatie een middel zijn om vast te stellen of de CSP daadwerkelijk passende organisatorische en technische beveiligingsmaatregelen heeft getroffen en de AVG verplichtingen is nagekomen. In de praktijk blijkt echter dat assurance rapporten niet alle relevante kwaliteitsaspecten bij uitbesteding van IT-dienstverlening meenemen en daarmee in het kader van de verantwoordingsplicht onder de AVG mogelijk niet voldoen. Een van de oorzaken hiervoor is dat de assurance rapporten zich, door hun focus op de jaarrekeningcontrole, primair richten op de kwaliteitsaspecten van betrouwbaarheid, en onvoldoende op beveiliging, beschikbaarheid, vertrouwelijkheid en privacy (Boer, 2015).

De verwachting is dat vanwege de nieuwe privacywetgeving de vraag naar op privacy gerichte assurance opdrachten zal toenemen. Ten eerste zullen veel organisaties eerst een nulmeting ten aanzien van de AVG en aanverwante regelgeving willen laten uitvoeren door middel van een audit. Ten tweede zullen organisaties die op 25 mei 2018 aantoonbaar willen voldoen aan de AVG, audits willen laten uitvoeren om te laten onderzoeken of de implementatie van de AVG inderdaad adequaat

9

is verlopen dan wel welke tekortkomingen in de periode tot aan 25 mei 2018 nog zouden moeten worden opgelost. (Van Schoonhoven, 2017)

Op 30 november 2017 kwam de Nederlandse Omroep Stichting (NOS) met het nieuws dat 80 procent van de Nederlandse bedrijven en overheden nog niet klaar is voor de nieuwe Europese privacywetgeving, zoals uit de Nationale Privacy Benchmark was gebleken. 60 procent van de bedrijven en overheden zou zelfs niet weten waar gegevens van burgers of klanten opgeslagen zijn. (NOS, 2017)

1.2

Doel

Dit onderzoek heeft als doel om inzicht te verschaffen in de gevolgen van de Algemene Verordening Gegevensbescherming (AVG) voor organisaties bij uitbesteding van IT diensten aan een CSP en de wijze waarop de register IT auditor hierop kan inspelen. Een belangrijk aspect van de AVG betreft het begrip accountability. Organisaties die persoonsgegevens verwerken krijgen hierdoor meer verplichtingen. In de AVG ligt de nadruk op de verantwoordelijkheid van organisaties om zelf aan te kunnen tonen dat zij zich aan de wet houden (accountability). Organisatie hebben daarbij een documentatieplicht voor het aantoonbaar maken dat er adequate organisatorische en technische maatregelen zijn getroffen om aan de AVG te voldoen, ook bij uitbesteding van IT diensten aan een CSP. IT auditors kunnen een rol vervullen bij het verstrekken van zekerheid (assurance) over de opzet, bestaan en werking van deze maatregelen en de aantoonbaarheid daarvan bij een CSP. Aan welke vereisten een relevant en toepasbaar normenkader voor privacy assurance bij een CSP dient te voldoen is hierbij de vraag. Deze scriptie zal daarin een eerste aanzet geven en bijdragen aan de ontwikkeling van een normenkader voor IT auditors bij op privacy gerichte assurance opdrachten bij een CSP.

1.3

Probleemstelling en onderzoeksvragen

1.3.1 Probleemstelling

Om de hierboven geformuleerde doelstelling te kunnen beantwoorden heb ik als probleemstelling de volgende centrale vraag geformuleerd:

Wat is een relevante en toepasbare set van criteria (normenkader) voor de uitvoering van op privacy gerichte assurance opdracht onder de nieuwe Europese Algemene Verordening Gegevensbescherming (AVG) bij een cloud service provider (CSP) en welk type assurance rapport is daarbij het meest geschikt? 1.3.2 Onderzoeksvragen

De probleemstelling valt in de volgende onderzoeksvragen uiteen:

a) Hoe kan vanuit de Algemene Verordening Gegevensbescherming (AVG) en relevante vakliteratuur een voor IT auditors relevant en toepasbaar normenkader voor privacy compliance audits bij CSPs (CSP) worden ontwikkeld?

Voor de invulling hiervan de volgende deelvragen:

1. Wat zijn de principes en uitgangspunten voor bescherming van persoonsgegevens onder de AVG en wat zijn de belangrijkste wijzigingen ten opzichte van de Wbp?

2. Wat zijn voor op privacy gerichte assurance opdrachten relevante en toepasbare criteria omtrent aantoonbaarheid en accountability onder de AVG?

10

3. Wat zijn specifieke risico’s omtrent bescherming van persoonsgegevens bij uitbesteding van IT diensten aan een CSP?

4. Wat zijn relevante kwaliteitsaspecten bij de uitvoering van op privacy gerichte assurance opdrachten?

5. In hoeverre zijn bestaande toetsingskaders geschikt voor op privacy gerichte assurance opdrachten bij een CSP onder de AVG en welke aanpassingen zijn eventueel benodigd? 6. Aan welke kwaliteitseisen dient een set van criteria (normenkader) te voldoen?

7. Welk type assurance rapport is het meest geschikt voor op privacy gerichte assurance opdrachten?

b) Hoe is het opgestelde normenkader in de praktijk toepasbaar?

c) Welke lessen kunnen getrokken worden uit de analyse van de confrontatie van het normenkader met de praktijk?

1.4

Werkwijze en onderzoeksmethode

Voor het onderzoek heb ik gekozen voor een combinatie van theoriegericht (gefundeerde theoriebenadering) en praktijkgericht onderzoek (interviews). Aan de hand van literatuuronderzoek waaronder het raadplegen van de nieuwe Europese Algemene Verordening Gegevensbescherming (AVG), beschikbare normenkaders op het gebied van informatiebeveiliging en privacy en vakliteratuur heb ik een concept theoretisch model opgesteld voor het uitvoeren van op privacy gerichte assurance opdrachten onder de AVG. Om het theoretisch model te valideren zijn de gehanteerde uitgangspunten en aanpak voorgelegd en inhoudelijk besproken met een aantal privacy deskundigen uit de praktijk. Om de onderzoeksvragen met betrekking tot deze nieuwe privacywetgeving in relatie tot cloud computing te beantwoorden, heb ik de methodologie van Robert K. Yin (bron: Yin, 2009) gebruikt. Zie hieronder figuur 1 en hoe verschillende stadia zijn opgebouwd voor dit onderzoek.

Figuur 1: stadia scriptie

De methodologie start met het plan waarin de probleemstelling en de onderzoeksvragen zijn gedefinieerd, alsmede de onderzoeksmethodologie. Mijn motivatie voor de keuze voor het scriptie-onderwerp cloud computing en de nieuwe Europese privacywetgeving is vanwege enerzijds mijn (beroepsmatige) interesse naar de wijze waarop de grote cloud service providers onze persoonsgegevens (gaan) beschermen en anderzijds vanwege de actualiteit en brede

11

maatschappelijke impact van deze onderwerpen. De expertise op met name de relatie tussen deze onderwerpen is nog beperkt en in de literatuur dan ook weinig over te vinden. Vandaar ook mijn probleemstelling om voor de markt een eerste aanzet te doen voor het ontwikkelen van een Cloud Privacy Control Framework van toepassing onder de nieuwe Europese Privacywetgeving. Vanuit deze probleemstelling heb ik het design van mijn onderzoeksmethodologie bepaald, waarbij ik me heb gericht op wetenschappelijke en vakliteratuur en boeken over deze onderwerpen. Daarbij zijn vooral de reeds bestaande internationale standaarden op het gebied van cloud en privacy risico’s, control frameworks en assurance standaarden van belang. In de prepare fase heb ik de geplande onderzoek processtappen en voorlopige uitkomsten van het theoretisch model van de Cloud Privacy Control Framework voorgelegd aan mijn scriptiebegeleider. Om de gehanteerde uitgangspunten en aanpak voor de totstandkoming van het theoretisch model te valideren zijn deze in de collect fase voorgelegd en inhoudelijk besproken met een Chief Privacy Officer van een corporate in Nederland en een aantal cloud privacy deskundigen van de Kennisgroep Privacy van beroepsorganisatie NOREA. Deze kennisgroep bestaat uit zo’n twintig privacy deskundigen uit het bedrijfsleven en van de grote accountantskantoren in Nederland en is daarmee een afspiegeling van de deskundigheid uit de praktijk. Naast deskundigen op het gebied van privacy zijn ook vertegenwoordigers van CSP’s en IT-auditors lid van de Kennisgroep Privacy. De uitkomsten van deze gesprekken zijn in de analyze fase vergeleken met het theoretisch model en waar nodig is het model verrijkt. In de share fase zijn de resultaten van mijn onderzoek voorgelegd aan mijn scriptiebegeleider en de aanbevelingen gedaan.

12

2

Cloud computing

Cloud computing is een algemene term voor de levering van IT-diensten via een netwerk (internet), on-demand en self-service, die dynamisch schaalbaar en elastisch is, gebruikmakend van virtualisatie technologie. Door deze functies heeft cloud computing potentiele voordelen als een snelle opstart, flexibiliteit, schaalbaarheid en kostenefficiëntie. Hoewel cloud computing voordelen biedt, leidt dit ook tot een verandering in risico’s en maatregelen voor het afdekken ervan. In de volgende paragrafen zal ik een nadere toelichting geven op het concept cloud computing.

Gartner verwacht dat de groei van cloud computing de komende jaren zal doorzetten en voorspelt dat de totale omzet in de public cloud industrie voor 2017 $260 miljard zal bedragen en dat dit zal stijgen naar $411 miljard in 2020. Deze voorspellingen voor groei zijn gebaseerd op de verbetering van met name SaaS diensten in het leveren van functionele uitbreidingen en add-ons, waardoor de dienst meer doelgericht aan organisaties kan worden geleverd. (bron: Gartner, 2017)

2.1

Definitie van cloud computing

Er is geen algemeen aanvaarde definitie van cloud computing. Het National Institute of Standards and Technology (NIST) hanteert de volgende definitie: (bron: NIST, 2011b)

“Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g. networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model promotes availability and is composed of five essential characteristics, three service models, and four deployment models.”

De definitie van NIST voor cloud computing is breed aanvaard in de literatuur (bron: Grobauer, 2009). Het cloud model van NIST is samengesteld uit vijf essentiële karakteristieken, drie dienstenmodellen en vier toepassingsmodellen. In de volgende paragrafen zullen deze worden behandeld.

2.2

Cloud rollen en architectuur

In een traditionele omgeving worden applicaties en andere infrastructuren door de eigen IT-afdeling beheerd en onderhouden. Bij cloud computing worden de software, platformen en andere infrastructuur geleverd door een externe leverancier en zijn deze alleen bereikbaar via het internet. De cloud architectuur omvat cloud diensten die door de CSP en eventuele subverwerkers (derde partijen of leveranciers) worden geleverd aan klanten (eindgebruiker of organisatie) via een netwerkinfrastructuur (internet). Aan deze cloud diensten ligt een schriftelijke overeenkomst ten grondslag waarin de eisen van de klant en de mogelijkheden van de CSP zijn gespecificeerd.

De cloud diensten bestaan over het algemeen uit een infrastructuur van vier lagen; hardware (servers en netwerkcomponenten), software (besturingssystemen), virtualisatie technologie (virtuele machine of hypervisor) en applicaties. De ontwikkelaar van de cloud diensten zal de cloud applicaties en diensten, zodra deze gereed zijn, monitoren op het gebruik ervan door klanten (cloud consumer) en de CSP (indien deze niet de ontwikkelaar is). Het beheer en de monitoring op de prestaties van de cloud dienst in het kader van transparantie naar de klant zal door de CSP worden gedaan. Dit heeft veelal betrekking op monitoring van de prestaties, capaciteitsplanning, beveiliging voor klanten, beheer van contracten, facturatie, rapportering.

13

2.3

Cloud karakteristieken

In de definitie van NIST zijn de volgende vijf essentiële kenmerken van cloud computing te onderkennen: (bron: NIST, 2011b / CSA, 2017b)

• On-demand self-service – een gebruiker kan zelf bepalen wanneer, waar (clouddiensten zijn wereldwijd via internet toegankelijk) en op welke wijze hij gebruik maakt van de clouddienst. De benodigde hoeveelheid IT-middelen kunnen zelfstandig worden geregeld, zoals servertijd of opslagcapaciteit, zonder dat er menselijk contact met een CSP nodig is.

• Broad network access – de clouddiensten zijn toegankelijk via een standaard netwerk, meestal het internet. De toegang tot deze diensten is mogelijk via verschillende apparaten (en platformen), zoals laptops en smartphones, overal ter wereld waar men een verbinding heeft met internet, wat het wereldwijde karakter van cloud computing benadrukt.

• Resource pooling – IT-middelen in de cloud worden gedeeld met andere gebruikers of klanten. Dit wordt door NIST als volgt omschreven: “The provider’s computing resources are pooled to serve

multiple consumers using a multi-tenant model, with different physical and virtual resources dynamically assigned and reassigned according to consumer demand.” Door het gebruik van

virtualisatie technologie kan dit onafhankelijk van de locatie van IT-middelen plaatsvinden. Bijvoorbeeld het opslaan van bestanden op servers in datacenters gevestigd op meerdere locaties of landen. Per locatie kan verschillende wetgeving van kracht zijn, bijvoorbeeld inzake de bescherming van persoonsgegevens (privacy). Onder de AVG zijn CSPs verplicht de klanten hierover te informeren.

• Rapid elasticity – de clouddiensten zijn elastisch doordat naar behoefte van de klant er snel en

flexibel op- en afschalen van capaciteit kan plaatsvinden. Tevens zijn de diensten relatief eenvoudig schaalbaar, omdat CSPs meestal over ruime capaciteit beschikken. De CSP heeft onder de AVG een verplichting om deze clouddiensten te beveiligingen. De mate waarin en de inrichting daarvan is mede afhankelijk van het diensten- en toepassingsmodel en de schriftelijke instructies van de klant.

• Measured service – de cloud systemen optimaliseren automatisch de gebruikte capaciteit op basis van metingen per type dienst (bijvoorbeeld opslag, verwerking, bandbreedte, aantal accounts). Het gebruik kan eenvoudig worden gemonitored, gecontroleerd en gerapporteerd. Dat maakt gebruik van de diensten transparant voor de CSP en de klant.

Het belangrijkste verschil met traditionele hosting is dat cloud computing uitgaat van schaalbare onlinediensten. In plaats van het afnemen van een gereserveerde omgeving met vastgestelde limieten (bijvoorbeeld opslagruimte of dataverkeer), is het bij cloud computing mogelijk om de limieten en capaciteiten flexibel te schalen.

2.4

Cloud technologie

Cloud computing maakt gebruik van een aantal fundamentele technologieën: (bron: Grobauer, 2009) • Virtualisatie (bron: Vaquero, 2009) (zie figuur 2) – door het plaatsen van een virtualisatie laag kunnen meerdere besturingssystemen en toepassingen (programmatuur en gegevensbestanden) op één fysieke IT-infrastructuur omgeving (server apparatuur) worden gebruikt. Deze techniek maakt gemeenschappelijk en gedeeld gebruik van één fysieke omgeving met andere gebruikers mogelijk. Voorheen kon er op één fysieke omgeving slechts één besturingssysteem tegelijkertijd worden gebruikt. Het grote voordeel van virtualisatie is dat de verschillende omgevingen van elkaar afgeschermd zijn, en niet onderling benaderbaar zijn, waardoor de beveiliging sterker is. Er

14

kunnen ook kosten bespaard worden, door meerdere besturingssystemen en toepassingen (applicaties en gegevensbestanden) op één fysieke omgeving te laten toepassen. Doordat deze besturingssystemen en toepassingen van elkaar afgeschermd zijn is het beheer eenvoudiger, wat ook weer een kostenbesparing oplevert. De flexibiliteit en efficiëntie voordelen maken dat vrijwel alle CSPs vormen van virtualisatie toepassen op hun processen.

• Multi-tenancy (bron: CSA, 2017b) (zie figuur 2) – door middel van één software applicatie scheiden van meerdere klantomgevingen in één fysieke IT-infrastructuur (applicatie, server, database, netwerk). Daarbij krijgen groepen van gebruikers (tenant) specifieke toegangsrechten voor de software en voor configuratie, beheer van de gebruikers, data, de individuele functionaliteit van de tenant en niet-functionele eigenschappen. Hierbij zijn twee varianten mogelijk, zowel een eigen toepassing (applicatie en database) met verwerking en opslag van gegevens (‘single tenant’) als gedeelde toepassingen met meerdere gebruikers die dezelfde toepassing (applicatie en database) gebruiken, waarbij de verwerking en opslag van gegevens in één (virtuele) omgeving plaatsvindt (‘multi-tenant’).

• Database omgevingen (zie figuur 3) – er zijn verschillende database omgevingen die kunnen worden gebruikt in cloud computing. Het multi instance model biedt middels een DBMS die wordt uitgevoerd op een virtuele machine met een voor elke klant separate database. De klant heeft daarbij de volledige controle over de inrichting van autorisatierechten en andere beveiligingsmaatregelen. Daarnaast is er een multi-tenant (single instance) model waarbij persoonsgegevens van alle klanten opgeslagen worden op één database in logisch gescheiden virtuele omgevingen (isolation). De gegevens worden bij een multi-tenant onderscheiden middels een uniek referentie kenmerk per klant.

• Internet (bron: Vaquero, 2009) – cloud diensten worden aangeboden via het internet (web applicatie of service) wat het mogelijk maakt dat ze wereldwijd toegankelijk zijn voor klanten, onafhankelijk van de locatie van de infrastructuur. Daarmee gaan ook alle persoonsgegevens via het internet vanuit de klant naar de systemen en dataopslag van de CSP. Omdat cloud applicaties via het internet zijn te benaderen is het van belang dat de vertrouwelijkheid van gegevensoverdracht over het netwerk (internet) gewaarborgd is (encryptie) en dat bijvoorbeeld de webapplicaties voldoende beveiligd zijn.

• Application programming interface (API) – een API is een set aan definities (codering) waarmee een softwareprogramma’s (applicatie) onderling communiceren en dient daarmee als een interface met functionaliteiten als toegangscontrole. API's bestaan voor (web)applicaties, besturingssystemen en softwarebibliotheken en kunnen voor allerlei doeleinden worden ingezet. In de cloud worden API’s gebruikt voor het ontwikkelen van toepassingen en services voor het leveren van cloud hardware, -software en -platformen. Het voordeel voor ontwikkelaars is dat ze door API’s niet meer hoeven te weten hoe andere programma’s exact werken. Een API dient tevens als toegangspoort of interface voor klanten naar cloud diensten.

Deze technologieën maken complexe cloud architecturen mogelijk. De cloud diensten zijn gebaseerd op een infrastructuur van vier kernlagen, namelijk hardware (servers en netwerkcomponenten), software (besturingssystemen), virtualisatie technologie/middelen en applicaties. Dit leidt tot hardware- en softwarearchitecturen die via interfaces en netwerken met elkaar verbonden zijn, en mogelijk zelfs verdeeld over diverse locaties en diverse subverwerkers (derde partijen of leveranciers) van de CSP. Naast de voordelen van flexibiliteit en schaalbaarheid van cloud diensten, zijn deze hierdoor ook dynamisch (of veranderlijk) en complex. Het is daarbij van belang om goed inzicht te

15

hebben in de architectuur en de gevolgen van keuzes daarin voor beveiliging en privacy. Een data protection impact assessment (zie hoofdstuk 3.3.13) kan daaraan bijdragen.

De clouddiensten van een provider kunnen geconcentreerd zijn op één fysieke locatie of worden aangeboden vanuit meerdere locaties. Voor een klant is daarmee mogelijk niet altijd duidelijk op welke locatie de gegevens worden verwerkt, opgeslagen en/of bewaard. Bijvoorbeeld Google maakt voor de opslag van data gebruik van een intern algoritme, dat bepaalt welke data (of delen ervan) op welke locatie worden opgeslagen.

In figuur 2 (bron: Eckerson, 2011) een schematische weergave van het onderscheid tussen virtualisatie en multi-tenancy en in figuur 3 (bron: MS, 2017) een weergave van het onderscheid tussen multi instance database en multi-tenant (single instance).

Figuur 2: virtualisatie en multi-tenancy Figuur 3: multi instance en single instance database

In hoofdstuk 4.3 zullen de risico’s en beheersmaatregelen inzake deze cloud technologieën nader worden toegelicht.

Wanneer een dienst als cloud computing is gekenmerkt op basis van de beschreven karakteristieken, kan het type cloud dienst worden gedefinieerd op basis van de verschillende dienstenmodellen (SaaS, PaaS, IaaS). Deze modellen voor cloud computing worden in de volgende hoofdstuk toegelicht.

2.5

Cloud service modellen

Cloud oplossingen worden in de literatuur veelal verdeeld in drie dienstenmodellen, gebaseerd op het type dienst en de mate van virtualisatie: (bron: NIST, 2011b / CSA, 2017b)

• Infrastructure as a Service (IaaS) – infrastructuur beschikbaar via virtualisatie of hardware-integratie van IT-componenten, zoals servers, netwerken en opslagcapaciteit. De klant kan hierop eigen toepassingen (software) ontwikkelen en installeren, met de keuze voor een besturingssysteem (platform). De services, verwerkings- en opslagcapaciteit zijn de verantwoordelijkheid van de klant. De CSP is alleen verantwoordelijk voor de onderliggende infrastructuur, zoals servers en systemen voor opslag van gegevens. Voorbeelden van IaaS zijn Amazon (S3) en Microsoft (Azure).

• Platform as a Service (PaaS) – platform met een aantal standaarddiensten (ontwikkeltools, besturings- en databasemanagementsysteem) dat de klant kan gebruiken voor het ontwikkelen van eigen toepassingen (software). De klant is verantwoordelijk voor onderhoud van het platform en de eigen (ontwikkelde) toepassingen die daarop draaien. De CSP is verantwoordelijk voor de onderliggende cloud infrastructuur en voor een aantal standaarddiensten, zoals integratie- en

16

portaalfunctionaliteiten en toegangs- en identiteitsbeheer. Voorbeelden zijn Google (App Engine) en Microsoft (Windows Azure) die ontwikkelplatforms aanbieden.

• Software as a Service (SaaS) – software (of applicatie) aanbieden waarbij de klant alleen internet nodig heeft om er gebruik van te kunnen maken. De CSP zorgt voor installatie, onderhoud en beheer en beveiliging van de software, en is verantwoordelijk voor het onderliggende cloud platform en infrastructuur. De software is een cloud dienst waar de klant alleen standaardfunctionaliteit wordt aangeboden, met alleen de mogelijkheid om enkele klant specifieke instellingen te beheren en in sommige gevallen de software te koppelen met eigen toepassingen. Voorbeelden zijn online CRM-systemen (SalesForce CRM), sociale netwerksites (Facebook, Twitter), email (Google Mail) en opslagdiensten (Dropbox).

De type clouddiensten en de daarbij gekozen concepten (zoals virtualisatie, multi-tenancy) vormen tezamen een cloud computing architectuur. Deze architectuur geeft de onderlinge relaties en de samenhang weer tussen de diverse IT-componenten (zoals applicaties, databases, servers). Zie hieronder een model van een cloud computing architectuur schematisch weergegeven (figuur 4 – bron: Grobauer, 2009).

Figuur 4: cloud computing architectuur

2.6

Cloud toepassingsmodellen

Cloud oplossingen worden in de literatuur veelal verdeeld in vier toepassingsmodellen, gebaseerd op de toegankelijkheid en exclusiviteit van de dienst voor klanten: (bron: NIST, 2011b / CSA, 2017b) • Public cloud – de toepassingen (zoals applicatie software en database) in eigendom van de CSP is

voor iedereen toegankelijk via het internet (web applicatie of service), waarbij alle klanten dezelfde functionaliteit ontvangen en de gegevens van klanten op de servers van de CSP worden gescheiden via virtualisatie technologie. De toepassingen (en de onderliggende infrastructuur) van de CSP zijn op een off-premise locatie.

• Private cloud – de toepassingen en de infrastructuur zijn specifiek voor de klant ingericht, en worden niet gedeeld met andere klanten. Het is in beheer van de CSP of een derde partij, en de locatie kan off-premise of on-premise zijn.

• Community cloud – de toepassingen en de infrastructuur worden gedeeld met andere organisaties die een gemeenschappelijk belang hebben op het gebied van bijvoorbeeld wet- en regelgeving, beveiliging, datalocatie en architectuur. Het is in beheer van de CSP of een derde partij, en de locatie kan off-premise of on-premise zijn. Voorbeelden van organisaties in een community cloud zijn overheidsinstellingen, onderwijsorganisaties en zorginstellingen.

17

• Hybrid cloud – cloud dienst die bestaat uit een combinatie van twee of drie cloud toepassingen (private, community en public cloud). Deze zijn met elkaar verbonden door standaard of eigen technologie die overdracht van gegevens en applicaties mogelijk maakt. Daarmee wordt voor klanten de voordelen van schaalbaarheid en efficiëntie te benutten en de risico’s voor bijvoorbeeld persoonsgegevens te beperken.

Klanten hebben bij een public cloud minder controle over de cloud dienst dan bij een private cloud, wat gevolgen kan hebben voor de beveiliging van gegevens. In de private cloud kan een klant meer eisen stellen aan de beveiliging van gegevens en daarover afspraken maken in de schriftelijke overeenkomst (SLA). Een klant in de public cloud heeft meestal niet de mogelijkheid om eisen te stellen en moet simpelweg voldoen aan de algemene voorwaarden van de CSP. Dit kan voor klanten leiden tot uitdagingen op het gebied van verantwoording afleggen (‘accountability’). De community en hybrid cloud geven een klant meer controle dan de public cloud, maar minder dan de private cloud. De meest vergaande vorm van cloud computing is derhalve public cloud.

2.7

Cloud verantwoordelijkheden voor beveiliging en privacy

In een cloud omgeving zullen de CSP en klanten (cloud customer) gedeelde taak hebben voor de beveiliging (security) en privacy. Het niveau van delen is anders voor elk dienstenmodel (zie figuur 5 – bron: CSA, 2017b): (bron: Takabi, 2010 / CSA, 2017b)

• SaaS – de CSP heeft nagenoeg alle verantwoordelijkheid voor de beveiliging en privacy van de applicatie (software). De klanten hebben geen invloed op de functionaliteiten en werking van de software en kunnen alleen hun toegangsrechten en autorisaties regelen. De CSP is bijvoorbeeld verantwoordelijk voor beveiliging van de applicatie en voor logging en monitoring. Bij een SaaS hebben klanten daarmee, beredeneerd vanuit het dienstenmodel, dan ook geringe invloed op de wijze waarop persoonsgegevens worden verwerkt. Deze verantwoordelijkheid van de CSP is overigens meer bij public cloud dan bij private cloud waar de klant mogelijk strengere eisen stelt aan de beveiliging en dit zal willen handhaven. Private cloud zal ook meer flexibiliteit moeten kennen om tegemoet te kunnen komen aan klant specifieke inrichtingsvereisten.

• PaaS – het doel van PaaS is om ontwikkelaars in staat te stellen hun eigen applicaties te bouwen bovenop de aangeboden platforms. De CSP is daarbij verantwoordelijk voor de beveiliging van het platform, en de klanten voor de beveiliging van de applicatie die ze bouwen en gebruiken op de platforms. De CSP is bijvoorbeeld verantwoordelijk voor beveiliging omtrent fundamentele aspecten als configuratie, technologie (virtualisatie) en patch management. De klant is verantwoordelijk voor beveiliging van de zelf ontwikkelde applicatie. In het kader van privacy is de klant verantwoordelijk dat hun eigen systeemontwikkelaar bij het ontwikkelen van een applicatie aspecten als privacy by design en privacy by default hanteert. Voor de privacy is de klant echter ook afhankelijk van de privacy maatregelen in de PaaS en IaaS door de CSP.

• IaaS – de klant is verantwoordelijk voor de inrichting en het beveiligen van de SaaS en PaaS architecturen die ze zelf ontwikkelen op de infrastructuur (IaaS). De klant heeft daarmee meer directe controle over de verwerking van gegevens, maar ook meer verantwoordelijkheid voor de naleving van de AVG (zoals doorgifte naar derde landen). De CSP is verantwoordelijk voor het beveiligen van de infrastructuur (zoals data center, netwerk) en dient bijvoorbeeld, bij toepassing van virtualisatie in IaaS omgeving, te voorkomen dat databases gemigreerd worden naar een land of jurisdictie buiten de EU.

18

Het is essentieel dat de CSP met klanten in een schriftelijke overeenkomst de onderlinge taken voor beveiliging en privacy concreet maken en vastleggen.

Figuur 5: verantwoordelijkheden per dienstenmodel

2.8

Conclusie

Dit hoofdstuk beschreef cloud computing en de kenmerken ervan als begripsvorming voor het verdere onderzoek in deze scriptie. De essentiële kenmerken van cloud diensten zijn virtualisatie, resource pooling, schaalbaarheid, elasticiteit, on-demand self-service en brede netwerktoegang. De belangrijkste rollen in de cloud zijn de CSP en de klant (cloud customer). Cloud kent drie diensten modellen en vier toepassingsmodellen.

De kenmerken van cloud computing kunnen inzake de bescherming van persoonsgegevens onder de nieuwe Europese privacy wetgeving tot uitdagingen en issues leiden. Denk bijvoorbeeld aan virtualisatie in verhouding tot transparantie of resource pooling en de vereisten omtrent beperkingen op doorgifte en locatie van opslag. Ook de rolverdeling en verantwoordelijkheden binnen een cloud die tot problemen kan leiden bij het scherp krijgen van de verantwoordingsplicht. In de volgende hoofdstukken zullen deze potentiele issues nader worden geanalyseerd in relatie tot de bepalingen in de nieuwe Europese privacy wetgeving, te weten de AVG.

19

3

Privacywetgeving onder de AVG voor CSPs

In dit hoofdstuk zal de nieuwe Europese wetgeving op het gebied van bescherming van persoonsgegevens, In Nederland bekend als de Algemene Verordening Gegevensbescherming (AVG), nader worden toegelicht. De AVG zal de huidige Wet bescherming persoonsgegevens (Wbp) gaan vervangen per 25 mei 2018. Daarbij zal worden ingegaan op de gevolgen en toepasbaarheid van de AVG voor CSPs, met aanbevelingen die noodzakelijk worden geacht, gezien de ambitie van de Europese Commissie (zie hoofdstuk 3.1.4) met betrekking tot het stimuleren van de verdere ontwikkeling en toepassing van cloud computing binnen de EU en de daarbij onderkende risico’s voor de bescherming van persoonsgegevens. De belangrijkste verschillen tussen de AVG en Wbp voor CSPs zullen daarbij ook aan de orde komen.

In dit hoofdstuk zullen de volgende deelvragen worden beantwoord:

• Wat zijn de principes en uitgangspunten voor bescherming van persoonsgegevens onder de AVG en wat zijn de belangrijkste wijzigingen ten opzichte van de Wbp?

• Wat zijn voor op privacy gerichte assurance opdrachten relevante en toepasbare criteria omtrent aantoonbaarheid en accountability onder de AVG?

Het hoofdstuk zal beginnen met het schetsen van de kaders met betrekking tot privacy. Er zal worden ingegaan op de begrippen en definities met betrekking tot privacy en persoonsgegevens en op de samenhang en het onderscheid tussen beveiliging en privacy.

3.1

Privacy

Door snelle technologische ontwikkelingen en de opkomst van internet is er sprake van een digitale transformatie (naar de cloud) en een sterke groei in omvang van het verzamelen en verwerken van persoonsgegevens door organisaties wereldwijd. Deze ontwikkelingen brengen met zich dat het steeds moeilijker wordt om de bescherming van persoonsgegevens (privacy) te waarborgen.

3.1.1 Wat is privacy?

Maar wat is nu eigenlijk privacy? Het principe van privacy varieert sterk tussen landen, culturen en jurisdicties. Het wordt gevormd door publieke verwachtingen en juridische interpretaties, waardoor er geen eenduidige uniforme definitie is van privacy (bron: Mather, 2009). Een veel gehanteerde definitie is die van het American Institute of Certified Public Accountants (AICPA) en het Canadian Institute of Chartered Accountants (CICA) in de norm voor algemeen aanvaarde privacy beginselen (GAPP) (bron: AICPA, 2009): “The rights and obligations of individuals and organizations with respect

to the collection, use, disclosure, and retention of personal information.” Daarbij gaat het om zowel

de rechten van individuen als de verplichtingen voor organisaties bij het verzamelen en verwerken van persoonsgegevens.

De definitie van persoonsgegevens is evenmin uniform. Voor dit onderzoek zal de definitie van de AVG [artikel 4 - AVG] worden gehanteerd: “alle informatie over een geïdentificeerde of identificeerbare

natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.”. In vergelijking tot de Wbp zijn aan het begrip

20

persoonsgegeven ook online indicators toegevoegd als herleidbaar naar een natuurlijk persoon. Daarmee vallen nu ook gegevens zoals cookies en IP-adressen onder de AVG. Dit kan gevolgen gaan hebben voor de CSP omdat deze digitale data veelal noodzakelijk is voor het kunnen leveren van cloud diensten, bijvoorbeeld om een klant ingelogd te houden of bij contact met klanten (chatfunctie) gaat het om cookies die middels een website of systeem worden opgeslagen.

De AVG [artikel 9 lid] kent ook bijzondere categorieën persoonsgegevens, die alleen mogen worden verwerkt indien aan de specifieke voorwaarden is voldaan zoals de uitdrukkelijke toestemming van de persoon wiens persoonsgegevens het betreft [artikel 9 lid 2 - AVG]. Deze bijzondere persoonsgegevens betreffen alle gegevens waaruit is op te maken: [artikel 9 en 10 - AVG]

• Ras of etnische afkomst; • Politieke opvattingen;

• Religieuze of levensbeschouwelijke overtuigingen; • Lidmaatschap van een vakbond;

• Genetische en biometrische gegevens; • Gezondheid;

• Seksueel gedrag of seksuele gerichtheid

• Strafrechtelijke veroordelingen en strafbare feiten.

In de aanstaande Uitvoeringswet Algemene verordening gegevensbescherming (zie hoofdstuk 3.5.2) zal dit worden aangevuld met het BSN nummer [artikel 35 - Uitvoeringswet] conform de Wbp. Het aantal categorieën bijzondere persoonsgegevens is uitgebreider dan de Wbp vanwege de toevoeging van genetische gegevens en biometrische gegevens. Voor de CSP van een SaaS dienst zal dit in beperkte mate impact kunnen hebben, omdat er in de data classificatie als onderdeel van de data protection impact analyse er een uitbreiding is van het aantal categorieën persoonsgegevens, waarvoor maatregelen dienen te worden getroffen inzake de verwerking ervan. Dit geldt niet voor PaaS en IaaS waar de CSP de informatiewaarde van gegevens die verwerkt worden niet kent.

De definitie voor verwerking onder de AVG [artikel 4] is te relateren aan de zeven levensfasen van gegevens bij het verzamelen en verwerken daarvan door organisaties: ”het verzamelen, vastleggen,

ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”. Meer over de bescherming van

persoonsgegevens binnen deze levensfasen in de context van cloud computing in hoofdstuk 4.3.6.

3.1.2 Privacy principes

Internationaal zijn de privacy principes van de Organisation for Economic Co-operation and Development (OECD) uit 1980 algemeen aanvaard. De Nederlandse privacywetgeving, als vertaald in de Wbp en vanaf 25 mei 2018 in de AVG, is gebaseerd op deze privacy principes. Deze privacy principes van de OECD zijn: (bron: OECD, 1980)

• Minimaliseren van gegevens verzamelen (collection limitation) – alleen persoonsgegevens die voor het beoogde doel noodzakelijk zijn mogen worden verzameld en verwerkt. De gegevens moeten op wettige en eerlijke wijze worden verkregen en, waar van toepassing, met de kennis of toestemming van de betrokkene.

21

• Kwaliteit van gegevens (data quality) – persoonsgegevens moeten relevant zijn voor de doeleinden waarvoor ze worden gebruikt en, voor zover nodig voor die doeleinden, moeten juist, volledig en actueel zijn.

• Doelbinding (purpose specification limitation) – persoonsgegevens worden voor welbepaalde en vooraf gespecificeerde doeleinden verzameld, en mogen niet voor andere doeleinden gebruikt worden.

• Beperking van het gebruik (user limitation) – persoonsgegevens mogen niet openbaar worden gemaakt, beschikbaar worden gesteld of anderszins worden gebruikt voor andere doeleinden dan die gespecificeerd in overeenstemming met de doelbinding (zie vorige bullet), behalve wanneer de betrokkene heeft ingestemd of sprake is van een wettelijke verplichting.

• Beveiliging (security safeguard) – persoonsgegevens moeten worden beschermd door redelijke beveiligingsmaatregelen tegen risico's zoals verlies of ongeoorloofde toegang, vernietiging, gebruik, wijziging of openbaarmaking van gegevens.

• Transparantie (openness) – Er moet een algemeen beleid van openheid zijn over ontwikkelingen, praktijken en beleid met betrekking tot persoonsgegevens. Tevens moet er openheid (transparantie) zijn over de verwerking van, het soort en de aard van persoonsgegevens, de voornaamste doeleinden van het gebruik ervan en de identiteit en locatie van de verantwoordelijke (en verwerker).

• Rechten van betrokkene (individual participation) – betrokkene moet het recht hebben om een bevestiging te ontvangen of er al dan niet persoonsgegevens verwerkt worden, om deze gegevens te kunnen ontvangen binnen een redelijke termijn en vergoeding en in een begrijpelijke vorm, een verklaring te krijgen wanneer een verzoek daartoe wordt afgewezen en, indien deze gegevens niet juist zijn, de gegevens te kunnen wissen, corrigeren, aanvullen of wijzigen.

• Verantwoording (accountability) – de verantwoordelijke dient verantwoording af te leggen over de naleving van de hiervoor genoemde principes door het treffen van maatregelen.

Hoewel de uitgangspunten van de privacy principes ook onder de AVG hierop gebaseerd zijn, is er wel degelijk sprake van een uitbreiding en verzwaring van de verplichtingen voor organisaties in vergelijking tot de Wbp. Een belangrijke reden voor de overgang naar de AVG is dat de huidige wetgeving niet is ingericht naar de nieuwste technologische ontwikkelingen en daarmee simpelweg niet meer voldoende in staat is om de privacy van burgers te waarborgen. Voorbeelden van het verzwaren van privacy principes onder de AVG zijn:

• Rechten van de betrokkene – onder de AVG uitgebreid met het recht op vergetelheid en het recht op dataportabiliteit. De Europese privacy autoriteit speelt hiermee in op de opkomst van social media, smartphones en cloud. Bedenk dat de Wbp in werking is getreden in 2001, nog ver voor de introductie van de eerste smartphone (iPhone - 2006).

• Verantwoording – de aantoonbaarheid is onder de AVG een belangrijk uitgangspunt. Om in de termen van de evolutie van het vakgebied van IT-audit te spreken; waar de huidige privacywetgeving, in met name Europa, nog vooral is van tell me en show me, gaat het met het principe van aantoonbaarheid onder de AVG veel meer naar prove me. Meer hierover in hoofdstuk 3.4.

De CSP is als verwerker niet direct verantwoordelijk voor de naleving van deze privacy principes. De verantwoordelijke dient te waarborgen dat via de schriftelijke overeenkomst deze privacy principes

22

worden doorgezet. Het is echter wel zo dat deze privacy principes voor een deel al zijn verwerkt in de voor CSP verplichte bepalingen in de AVG, zie hoofdstuk 3.3.

Voor de IT-auditor zal de eis tot aantoonbaarheid een positieve uitwerking kunnen hebben aangezien dit hun werk eenvoudiger zou moeten maken. Aan de andere kant, zal er naast de beveiliging en kwaliteit van gegevens ook gekeken moeten worden in hoeverre een CSP (technisch) in staat is om aan de rechten van de betrokkene (bijvoorbeeld recht op vergetelheid of portabiliteit) te voldoen, waarover schriftelijke afspraken moeten worden gemaakt met de verantwoordelijke.

3.1.3 Privacy en informatiebeveiliging

Informatiebeveiliging speelt binnen privacy een centrale rol: “You can have security and not have

privacy, but you cannot have privacy without security” (bron: Mather, 2009). Informatiebeveiliging

heeft betrekking op de beveiliging van opslag, verwerking en communicatie van informatie en informatiesystemen in een organisatie met als doel om gevoelige bedrijfsinformatie te beschermen, zoals intellectueel eigendom, strategische plannen, financiële data en ook persoonsgegevens. Privacy is gericht op het waarborgen van de rechten van individueel natuurlijke personen als het gaat om diezelfde informatie en heeft als doel de bescherming van informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘persoonsgegevens’). Informatiebeveiliging is een onderdeel van privacy, maar tegelijkertijd ook een breder concept gericht op de kwaliteitsaspecten van beschikbaarheid, integriteit en vertrouwelijkheid en voorziet in richtlijnen voor onder andere risicomanagement, beleid en procedures, rollen en verantwoordelijkheden en organisatorische en technische beveiligings- en controlemechanismen. (bron: IAPP, 2014)

Informatiesystemen die voldoen aan beveiligings- en controlemechanismen volgens de standaarden voor informatiebeveiliging voldoen niet noodzakelijkerwijs aan de (compliance) eisen van privacy inzake het beschermen van de identiteit van personen en de toegang tot persoonsgegevens. Daar waar informatiebeveiliging geautoriseerde toegang tot informatie waarborgt, vereist privacy dat (bij geautoriseerde toegang) gevoelige informatie over natuurlijke personen bijvoorbeeld anoniem of pseudoniem (versleuteld) worden verwerkt, niet worden gekoppeld aan of te volgen zijn naar een natuurlijk persoon en dat er procedures zijn omtrent welke persoonsgegevens worden verzameld en welke wijzigingen in de gegevens zijn toegestaan. De principes van informatiebeveiliging gericht op beschikbaarheid, integriteit en vertrouwelijkheid houden daar niet voldoende rekening mee. Bijvoorbeeld het kwaliteitsaspect vertrouwelijkheid is gericht op het voorkomen van openbaarmaking van gevoelige informatie aan niet bevoegden, echter is niet gericht op het (bij geautoriseerde toegang) verbergen van de identiteit van de natuurlijk persoon waarop deze informatie betrekking heeft of het onmogelijk maken om de informatie en de natuurlijk persoon erbij te koppelen. (bron: NIST, 2017)

23

Gezien de belangrijke verschillen tussen informatiebeveiliging en privacy (zie figuur 6) is het duidelijk dat informatiebeveiliging alleen niet toereikend is om privacy te waarborgen.Het herkennen van de grenzen en de overlapping tussen informatiebeveiliging en privacy is essentieel wanneer je op informatiebeveiliging gerichte risico- en beheersingsraamwerken wilt toepassen om privacy issues aan te pakken, alsmede om leemtes te ontdekken die moeten worden opgevuld om een technische benadering van privacy te bereiken. (Bron: NIST, 2017)

Als hiervoor vermeld worden in het vakgebied van informatiebeveiliging drie kwaliteitsaspecten onderscheiden als eisen voor de betrouwbaarheid van een informatiesysteem, te weten:

• Beschikbaarheid: de mate waarin gegevens en aanverwante bedrijfsmiddelen (informatiesysteem) op de juiste momenten beschikbaar zijn voor de gebruikers. Kenmerken van beschikbaarheid zijn tijdigheid, continuïteit en veerkracht/robuustheid;

• Integriteit: de mate waarin de gegevens en de verwerking daarvan juist, tijdig en volledig plaatsvindt;

• Vertrouwelijkheid: de mate waarin gegevens alleen toegankelijk zijn voor degenen die hiertoe zijn geautoriseerd.

In de meeste risicomanagement raamwerken wordt vanuit de risicoanalyse het gewenste niveau van beveiliging bepaald op basis van BIV (beschikbaarheid, integriteit en vertrouwelijkheid). De privacy principes van bijvoorbeeld de AVG worden daarin niet volledig meegenomen. Om naast informatiebeveiliging (BIV) ook privacy in het ontwerp en de ontwikkeling van systemen te borgen heeft NIST drie privacy kwaliteitsdoelstellingen ontwikkeld, zie figuur 7.

Figuur 7: NIST drie privacy kwaliteitsdoelstellingen (bron: NIST, 2017)

Deze privacy kwaliteitsdoelstellingen kunnen als volgt worden omschreven: (bron: NIST, 2017) • Predictability – het systeem moet waarborgen bieden dat voorspelbaar is met betrouwbare

aannames welke handelingen er in het systeem zullen plaatsvinden bij het verzamelen en verwerken van persoonsgegevens. Dit draagt bij aan transparantie en vertrouwen bij de dataeigenaren. Indien de systeemeigenaren dit ook nog weten te beschrijven dan zal dit bijdragen aan de verantwoording (accountability) in het kader van naleving privacy beleid.

• Manageability – beheerbaarheid van een systeem waarborgen door het mogelijk te maken dat persoonsgegevens in voldoende mate van detail kunnen worden opgeslagen (granulariteit). Dit dient de rechten van betrokkene om gegevens op verzoek te kunnen corrigeren, verwijderen of openbaar maken in de gewenste mate van detail. Diverse privacy principes als accountability, data minimalisatie, rechten van betrokkene en kwaliteit van data worden hierdoor ondersteund.

24

• Disassociability – het systeem maakt mogelijk dat in de verwerking van persoonsgegevens deze onherleidbaar worden bezien vanuit het individu. Dit dient de privacy te waarborgen (minimalisatie) binnen reguliere functionaliteit en verwerkingsprocessen van het systeem. Voor een CSP zullen deze privacy kwaliteitsdoelstellingen ondersteunen in het operationaliseren van de AVG privacy principes in de cloud systemen. Denk hierbij aan privacy by design en de privacy by default. Ondanks dat deze principes uit de AVG niet verplicht zijn voor de CSP, zullen deze mogelijk wel via schriftelijke overeenkomsten worden doorgezet naar ze en alsnog van toepassing worden. Mijn aanbeveling aan SCP’s is om deze privacy kwaliteitsdoelstellingen toe te passen.

NIST heeft een Privacy Engineering methode ontwikkeld voor het operationaliseren van privacy in (cloud) systemen, zie hoofdstuk 4.2.3.

3.1.4 Privacywetgeving in Nederland

Een grondrecht van de mens is de bescherming van de persoonlijke levenssfeer. Daarbij zijn drie verschillende vormen van privacy te onderkennen, te weten ruimtelijke privacy, relationele privacy en informationele privacy (bron: Eilers, 2009). Ruimtelijke privacy gaat over het recht om te beschikken over een eigen fysieke ruimte en daarin privacy opeisen, waarbij inbreuken het gevolg kunnen zijn van bijvoorbeeld huisvredebreuk en videobewaking. Relationele privacy gaat over relaties die personen met elkaar aangaan en communicatie tussen personen en geheimhouding daarvan, waarbij het vooral gaat om de afscherming van het persoonlijk leven van burgers voor de overheid en andere burgers. Hierbij valt te denken aan het aftappen van telefoongesprekken als inbreuk op privacy. Informationele privacy gaat over het inrichten van normatieve kaders voor de bescherming van de persoonlijke levenssfeer bij het verzamelen en verwerken van persoonsgegevens. Dit onderzoek richt zich op de bescherming van persoonsgegevens en valt derhalve onder de informationele privacy.

Informationele privacy is als grondrecht in de Nederlandse en Europese wetgeving verankerd in (bron: AP, 2017) artikel 17 van het Internationaal Verdrag inzake burgerrechten en politieke rechten (IVBPR), artikel 8 van het Europees Verdrag inzake de rechten van de mens en de fundamentele vrijheden (EVRM) en artikel 10 lid 1 van de Grondwet inzake de eerbiediging van de persoonlijke levenssfeer. In deze artikelen is bepaald dat er een wet dient te zijn voor de bescherming van persoonsgegevens. In Nederland is dit geborgd in de Wet bescherming persoonsgegevens (Wbp). De Wbp is een afgeleide van de Europese richtlijn 95/46/EG (bron: EG, 1995) betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrij verkeer van gegevens. Op 25 januari 2012 kwam de Europese Commissie met een voorstel voor vervanging van de Europese richtlijn 95/46/EG, omdat door globalisering en technologische ontwikkelingen (o.a. internet) de wijze van verzamelen, opslag en verwerking van gegevens, in de loop van de jaren ingrijpend was veranderd. Het voorbeeld dat daarbij door de Europese Commissie expliciet werd gegeven was cloud computing. Daarnaast zorgde de Europese richtlijn 95/46/EG voor een te grote verscheidenheid aan nationale wetgevingen binnen de lidstaten.

Op 1 juli 2012 kwam het adviesorgaan van de Europese privacy toezichthouder, de zogenaamde Article 29 Data Protection Working Party (WP29), met een opinie inzake cloud computing (bron: DPWP196, 2012). Daarin was aangegeven dat het inzetten van cloud computing op grote schaal een aantal risico’s voor de bescherming van persoonsgegevens met zich mee kan brengen. Daarbij gaat

25

het vooral om een gebrek aan controle over de persoonsgegevens, alsmede een gebrek aan kennis ten aanzien van de wijze waarop, hoe en door wie de persoonsgegevens worden verwerkt. Aanbevelingen werden gedaan richting de Europese Commissie inzake benodigde aanpassingen aan de Europese richtlijn 95/46/EG voor de toepasbaarheid daarvan voor cloud computing, waaronder dat beveiliging, transparantie en juridische zekerheid een belangrijke rol moeten spelen bij de inzet van cloud computing. Daarbij worden specifieke kenmerken van cloud computing als de beweeglijkheid van gegevens in de cloud (via openbare netwerken als het internet) en het gebrek aan transparantie over de fysieke locatie daarvan onderkend als risico’s voor de bescherming van persoonsgegevens. Het belang van nieuwe privacywetgeving voor de EU werd door de Europese Commissie benadrukt in september 2012 (bron: EC, 2012). Digitalisering van de samenleving heeft geleid tot een toename in dataverkeer en versnelling van de technologische ontwikkelingen en de Europese Commissie ziet het versnellen van de ontwikkeling en toepassing van cloud computing, en het zich positioneren als een voorloper daarin, als een kans om de voordelen ervan voor zowel de vraag- als aanbodzijde te benutten. De voordelen hebben onder meer betrekking op het verlagen van de ICT kosten, en in combinatie met digitalisering het stimuleren van productiviteit, economische groei en banen. De Europese Commissie verwacht dat het stimuleren van cloud computing zal leiden tot een cumulatieve impact op het bruto binnenlands product in de EU van 957 miljard en 3,8 miljoen extra banen tot 2020. Een belangrijke barrière in de ontwikkeling en toepassing van cloud computing is volgens de Europese Commissie de gedateerde Europese richtlijn 95/46/EG waarin onvoldoende rekening wordt gehouden met nieuwe technologische ontwikkelingen, in combinatie met een gebrek aan vertrouwen in de beveiliging van gegevens binnen cloud computing (zie vorige hoofdstuk). Een aantal belangrijke actiepunten die worden onderkend zijn uniforme technische standaarden ter bevordering van interoperabiliteit, dataportabiliteit en omkeerbaarheid (denk aan het verwijderen van gegevens), betere toepasbaarheid van privacywetgeving voor cyber security, uitbreiden van de mogelijkheden voor het kunnen identificeren van betrouwbare CSP’s (denk aan certificering) en het ontwikkelen van toepasbare en evenwichtige standaard contractvoorwaarden voor CSP’s. In dat kader wordt het van groot belang geacht om te komen tot nieuwe privacywetgeving binnen de EU.

Deze uitdagingen van globalisering en technologische ontwikkelingen, waaronder de sterke opkomst van cloud computing, lagen aan de basis van de General Data Protection Regulation (GDPR), de nieuwe Europese privacywetgeving van de EC, die per 25 april 2016 in werking is getreden met een toepassingsdatum van 25 mei 2018. Vanaf die datum geldt nog maar één privacywet in de hele Europese Unie (EU), waarmee de wetgeving met betrekking tot bescherming van persoonsgegevens wordt geharmoniseerd binnen de EU. Het belangrijkste doel van de GDPR is om de persoonsgegevens van burgers te beschermen.

In Nederland is de GDPR verwoord in de Algemene Verordening Gegevensbescherming (AVG). De AVG (bron: AVG, 2016) zal de huidige Wet bescherming persoonsgegevens (Wbp) gaan vervangen per 25 mei 2018.

Volgens de Autoriteit Persoonsgegevens zal de AVG gaan bijdragen aan de uitbreiding en versterking van de privacyrechten van burgers, meer verantwoordelijkheden voor organisaties en stevige uniforme bevoegdheden voor alle Europese privacytoezichthouders (bron: AP, 2017). Dit zal leiden tot een grotere verantwoordelijkheid en aansprakelijkheid voor organisaties die persoonsgegevens verzamelen, opslaan en verwerken. Onder de AVG zal meer nadruk gelegd worden op de

26

verantwoordelijkheid van organisaties zelf om de wet na te leven (accountability) en om dit aantoonbaar te maken (documentatieplicht). Dit houdt in dat zij met documenten moeten kunnen aantonen dat zij passende organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen.

3.2

Definitie van CSP (verwerker) onder de AVG

De AVG is technologieneutraal en gaat niet specifiek in op cloud computing. Dit betekent dat de regels van de AVG voor de verwerking van persoonsgegevens van toepassing zijn voor alle diensten, ongeacht de gehanteerde technologie, diensten- en toepassingsmodel en architectuur van de (cloud) dienst. In deze hoofdstuk zal worden ingegaan op de definitie van een verwerker onder de AVG met de gevolgtrekking dat een CSP behoort tot de categorie van verwerkers.

Om te kunnen bepalen welke verantwoordelijkheden en verplichtingen onder de AVG van toepassing zijn voor CSPs, is het van belang onderscheid te maken tussen verantwoordelijke, verwerker en betrokkene. In artikel 4 van de AVG worden de volgende definities gehanteerd:

• Verwerkingsverantwoordelijke (‘cloud customer’) – een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;

• Verwerker (‘CSP’) – een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Het belangrijke verschil tussen een verantwoordelijke en een verwerker is dat de verantwoordelijke het doel en de middelen vaststelt [artikel 28 lid 10 - AVG]. De verwerker heeft ‘slechts’ een opdracht gekregen op basis waarvan het alle instructies van de verantwoordelijke dient op te volgen. Deze begrippen kunnen als volgt worden uitgelegd:

• Doel: de rationale voor de verwerking van persoonsgegevens. De CSP dient niet zelf een doel te hebben met de persoonsgegevens, zoals voor marketingdoeleinden.

• Middelen: de wijze waarop de verwerking van persoonsgegevens plaatsvindt. De verantwoordelijke stelt de middelen voor de verwerking vast en besluit daarmee op welke wijze de verwerking zal plaatsvinden. In geval van cloud diensten kan het er op lijken dat de CSP zelf de middelen heeft gekozen. Bijvoorbeeld bij SaaS heeft de CSP zelf de software ontwikkeld die wordt gebruikt bij de verwerking van persoonsgegevens. Dit maakt de CSP echter niet de verantwoordelijke, zolang de verantwoordelijke een opdracht verstrekt aan deze SaaS provider. In relatie tot cloud computing is het onderscheid tussen respectievelijk cloud customer en CSP niet altijd duidelijk in een situatie waarbij meerdere verantwoordelijken (cloud customers) en CSP’s betrokken zijn, individueel of gezamenlijk, in een complexe technologische structuur met meerdere lagen van verantwoordelijkheden in de verwerking van persoonsgegevens (bron: DPWP169, 2010). De definities van verwerkingsverantwoordelijke en verwerker zijn nagenoeg gelijk gebleven ten opzichte van de Wbp. In artikel 1 lid e van de Wbp is de ‘bewerker’ (onder de AVG een ‘verwerker’) benoemd als degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. Ook onder de AVG dient de CSP als ‘verwerker’ instructies van de verantwoordelijke op te volgen, maar mag er geen hiërarchische relatie bestaan