article banner
Legal

GDPR en de cloud

Voor vele ondernemingen is het werken met de cloud en de opslag van data in de cloud dagelijkse business. Door het gebruik van de cloud verliest uw onderneming echter voor een deel de controle over haar data en is zij aangewezen op de handelingen of het nalaten ervan van haar ICT-providers.

Met de volgende tips en tricks zorgt u ervoor dat de cloud-omgeving van uw onderneming GDPR-compliant is.

Wie?

Breng de cloud providers waarvan uw onderneming gebruikmaakt, in kaart. Het gaat hier niet alleen om de globale cloud providers waarop de netwerkomgeving van de onderneming steunt, zoals een Microsoft Azure of AWS, maar ook alle (vaak onschuldig ogende) apps die gegevens in de cloud zetten, zoals Dropbox, Google Drive, WeTransfer en dergelijke meer.

Bekijk ook welke ICT-dienstverleners er tussenkomen in de transfer van de data van uw onderneming naar de cloud provider. Vaak hebben ondernemingen geen directe link met de cloud provider, maar hebben zij een of meerdere ICT-dienstverleners die een platform of portaal beheren dat een tussenschakel vormt tussen de onderneming en de cloud provider. Ook deze ICT-dienstverleners hebben toegang tot de data van uw onderneming en treden op als verwerkers, ook al bewaren zij de data niet zelf.

Wat?

Evalueer welke persoonlijke data u in de cloud bewaart. Gebruikt u de cloud enkel voor een bepaalde applicatie of voor al uw data?

Waar?

Ga na op welke servers uw ICT-partner uw data effectief opslaat. Staan deze servers binnen de EU of daarbuiten? Heeft de ICT-partner het recht om uw data naar goeddunken te verplaatsen van één server naar een andere?

Zorg ervoor dat u duidelijke contractuele afspraken maakt met uw ICT-partners. Het is hierbij aangewezen om verwerkingen van uw data buiten de Europese Unie te beperken of zelfs te verbieden. Is een verwerking buiten de EU toch nodig? Informeer u dan grondig over de voorwaarden waaronder dit mogelijk is en de waarborgen die u in dat geval moet voorzien.

Hoe?

Zorg voor een degelijke dataverwerkingsovereenkomst met de cloud providers en andere ICT-partners.Beide partijen zijn immers wettelijk verplicht een dergelijke verwerkingsovereenkomst met u af te sluiten.

Security…check?

Het is verbazingwekkend hoe vaak data samen met de back-ups in een en dezelfde (cloud)omgeving worden opgeslagen, of geëncrypteerde data tesamen met de encryptiesleutel. In het geval van een data breach bij de cloud provider, bij een geschil met de provider of uw ICT-partner of bij connectieproblemen, bent u meteen de toegang tot al uw data (tijdelijk) kwijt. Hybride systemen (zoals bijvoorbeeld de combinatie van datastorage in de cloud en co-hosting in een datacenter, waardoor back-ups en encryptiesleutels in een verschillende omgeving kunnen worden bewaard) zijn dan ook de toekomst.

Ik aanvaard…?

De meeste apps en sharing tools kunnen in vele gevallen slechts gebruikt worden na aanvaarding van de standaard algemene gebruiksvoorwaarden. Vaak gaat u daarbij akkoord met een veel ruimere toegang tot uw data dan nodig is voor het gebruik van de app. Erger nog, in sommige gevallen verleent u de app-provider het recht tot het gebruik van de data voor eigen doeleinden. Het komt ook regelmatig voor dat de standaardinstellingen van een app zeer ruim staan ingesteld en dat u zelf actie dient te ondernemen om tot een hoger beschermingsniveau van uw data te komen. Herbekijk grondig de standaardvoorwaarden en de instellingen van alle gebruikte apps en stop het gebruik van de app indien deze geen adequate beschermingsmogelijkheden voorziet voor uw data. Let hier ook in de toekomst op, voordat u een nieuwe app installeert en in gebruik neemt.

Testing 1,2,3!

Tot slot is het aangewezen dat u op regelmatige basis test of de ICT-dienstverleners en cloud providers uw instructies in verband met de verwerkte data correct naleven. Worden de gegevens die gewijzigd moeten worden, werkelijk in alle relevante bestanden gewijzigd? Worden de gegevens die op verzoek van de betrokkene geschrapt moeten worden (denk bijvoorbeeld aan een mailinglijst), ook effectief geschrapt? Met andere woorden, ga na of de verplichting die uit de verwerkingsovereenkomst en de wetgeving voortvloeien, in de praktijk ook werkelijk wordt nageleefd.