19 januari 2012

Uitgelicht: Privacy en cloud computing

Software applicaties worden steeds meer online aangeboden. De tijd dat software op een harde schijf bij de gebruiker staat lijkt verleden tijd te worden. Bedrijven en instellingen kiezen steeds vaker om een software product op basis van Software as a Service (SaaS) aan te schaffen. Een relatief nieuw fenomeen dat ook niet meer weg te denken is, is cloud computing. Cloud computing ziet niet alleen op het online aanbieden van software, maar ook op het aanbieden van applicaties en IT-infrastructuur waarbij de verwerking van data door meerdere partijen die bij de cloud-dienstverlening zijn betrokken, kan plaatsvinden.

Zoals meestal met nieuwe online diensten, roept het gebruik en het aanbieden van cloud diensten juridische vragen op. Met name op het gebied van de bescherming van de gegevens die worden geüpload en opgeslagen in de cloud.

Hieronder wordt globaal ingegaan op enkele privacyaspecten van cloud computing. Voor een uitgebreid advies over alle aspecten van cloud-computing in relatie tot privacy is maatwerk nodig.

Soorten cloud diensten
Er zijn diverse vormen van cloud-diensten. Er wordt doorgaans een onderscheid gemaakt in Software as a Service (SaaS), Platform as a Service (PaaS) en Infrastructure as a Service (IaaS). Bij SaaS gaat het om applicaties die via internet worden aangeboden door een Cloud Service Provider. Bij Platform as a Service biedt de Cloud Service Provider een hardware- en softwareplatform aan waarop de klant zelf diensten en voorzieningen kan ontwikkelen. Bij IaaS levert de Cloud Service Provider hier in wezen de IT-infrastructuur (hardware) die online kan worden benaderd. Naast deze diensten kan een onderscheid worden gemaakt in de gebruiksmodellen, zoals de private cloud (beschikbaar voor één individu), de public cloud (beschikbaar voor een ieder) en de hybrid cloud (een combinatie van de twee).

Software as a Service (SaaS)
SaaS is vooralsnog de meest gebruikte vorm van een cloud-dienst.

De software kan worden gehost op een server bij de aanbieder maar ook op een andere server bij een andere aanbieder. Bijvoorbeeld een aanbieder in een ander land. Dat kan ook gelden voor de data die wordt opgeslagen op de server. En dit maakt het dat een enkele SaaS dienst is onderworpen aan regelgeving in andere landen. De SaaS dienst is immers niet aan landsgrenzen is gebonden. En dat geldt ook voor de gebruikers.

Ten aanzien van een cloud-dienst kunnen dus diverse rechtsregels van toepassing zijn. Het gaat daarbij niet alleen op regels over privacy, maar ook om consumentenwetgeving en wetgeving ten aanzien van de aansprakelijkheid van dienstverleners. Aangezien wetgeving waarbij aan consumenten bepaalde rechten worden verleend doorgaans van dwingend recht zijn, doet de cloud-aanbieder er goed aan zich op de hoogte te stellen van de geldende regels. Het uitsluiten van consumentenbescherming is namelijk doorgaans niet toegestaan. Ook niet indien een gebruiker (als die een consument is) uitdrukkelijk bepaalde contractvoorwaarden accepteert. Dat geldt evenzeer voor de privacyregels. De privacy speelt in de cloud een prominente rol. Een introductie...

Privacy
Voor wat betreft de privacy geldt een veelheid aan regels die de cloud-aanbieder, maar ook de afnemer van de dienst, moet respecteren. Indien namelijk de aanbieder persoonsgegevens verwerkt, gelden onverkort de regels inzake privacybescherming. Dit legt op de aanbieder vergaande verplichtingen ten aanzien van de wijze van gebruik en de beveiliging van de persoonsgegevens.

Omdat cloud-diensten niet aan een bepaalde locatie is gebonden, kunnen diverse rechtsregels van toepassing zijn op één enkele dienst. Binnen Europa zijn de privacyregels wel redelijk geuniformeerd. Dit komt doordat de lidstaten van de EU verplicht zijn de Europese privacyregels op te nemen in locale wetgeving. Op hoofdlijnen komen de nationale regimes overeen.

In Nederland is de Wet Bescherming Persoonsgegevens (Wbp) het wettelijke kader waar rekening mee moet worden gehouden. Maar de cloud-aanbieder zal in voorkomende gevallen dus naast EU-wetgeving ook rekening moeten houden met wetgeving uit andere landen, zoals bijvoorbeeld de Verenigde Staten.

Definitie van "privacy"
Privacy is een overkoepelend begrip, een fundamenteel recht dat nauw verbonden is met persoonlijke vrijheid. Het Europese Verdrag voor de Rechten van de Mens (EVRM) en het Verdrag van Lissabon bevatten een omschrijving van de universele rechten die een mens heeft.

Zo heeft eenieder recht op eerbiediging van zijn privé-leven, zijn familie-en gezinsleven, zijn woning en zijn communicatie. Ten aanzien van de bescherming van persoonsgegevens is bepaald dat een ieder recht heeft op bescherming van de hem betreffende persoonsgegevens. Als er persoonsgegevens worden verwerkt, dan dient de verwerker de gegevens eerlijk te verwerken, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht op toegang tot de over hem verzamelde gegevens en op rectificatie daarvan.
Kortom, verwerking van persoonsgegevens is toegestaan, maar dient aan strenge regels te voldoen.

Definitie van “persoonsgegeven” en “verwerking”
De definitie van ‘persoonsgegeven’ is volgens de Wbp elk gegeven betreffende een geïdentificeerd of identificeerbaar natuurlijke persoon. Daarvan is snel sprake. Een naam, een combinatie van gegevens zoals adres, leeftijd, beroep, etc. Maar ook videopnamen van (bewakings)camera’s of een IP-adres. Het hangt echter van de specifieke omstandigheden van het geval af of bepaalde informatie te herleiden is tot een natuurlijk persoon. Of de betreffende gegevens dus ook daadwerkelijk leiden tot identificatie is niet van belang; het criterium is dat de gegevens mogelijk kunnen leiden tot identificatie.
Van “verwerking” is ook snel sprake. Het omvat in wezen iedere handeling die op een persoonsgegeven kan worden uitgevoerd. Zoals het versturen en de opslag daarvan. Bij cloud-diensten zal dus snel sprake zijn van een verwerking in de zin van de Wbp.

Toepasselijkheid van de Wbp
De Wbp is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
Bij cloud computing zal daar dus sprake van zijn. Maar de Wbp is niet van toepassing op iedere verwerking van persoonsgegevens. Deze Wbp is niet van toepassing op verwerking van persoonsgegevens ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden. Daaronder valt echter niet de situatie waarbij persoonsgegevens op een publieke persoonlijke website worden geplaatst, zoals Facebook, en die gegevens voor een ieder zichtbaar zijn.

Om te bepalen welk recht van toepassing is op de verwerking van persoonsgegevens in de cloud, moet worden gekeken naar de vestigingsplaats van de partij die als verantwoordelijke voor de persoonsgegevens in de zin van de Wbp heeft te gelden.

De Wbp definieert de “verantwoordelijke” als: "de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”

De Wbp bepaalt dat de Wbp van toepassing is op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland.

De Wbp is ook van toepassing op de verwerking van persoonsgegevens door of ten behoeve van een verantwoordelijke die geen vestiging heeft in de Europese Unie, waarbij gebruik wordt gemaakt van al dan niet geautomatiseerde middelen die zich in Nederland bevinden, tenzij deze middelen slechts worden gebruikt voor de doorvoer van persoonsgegevens. In dit geval dient de verantwoordelijke een persoon of instantie aan te wijzen die namens hem handelt overeenkomstig de bepalingen van de Wbp.

Niet relevant is waar de gegevens feitelijk worden verwerkt en opgeslagen, maar waar de vestigingsplaats is van de verantwoordelijke. Maar ook wanneer de cloud-aanbieder buiten Nederland is gevestigd, kan de Wbp van toepassing zijn indien voor de verwerking van persoonsgegevens gebruik wordt gemaakt van al dan niet geautomatiseerde middelen welke zich in Nederland bevinden.

Ook cookies vallen onder het begrip geautomatiseerde middelen. Wanneer een cloud-aanbieder één of meer cookies plaatst op een webbrowser, dan is er volgens de Wbp, sprake van een geautomatiseerd middel. Met andere woorden, de locatie van de cloud-aanbieder doet er niet toe, de Wbp, is hoe dan ook van toepassing.

De verantwoordelijke en de bewerker
Essentieel om te bepalen welk recht van toepassing is, is het begrip ‘verantwoordelijke’. Immers, de vestigingslocatie van de verantwoordelijke is bepalend voor de toepasbaarheid van de Wbp of andere nationale privacywet.
In het geval van cloud computing zal dus moeten worden bepaald welke partij(en) voor de verwerking verantwoordelijk zijn, en welke partijen slechts als “bewerker” van de gegevens zijn aan te merken. Een “bewerker” is volgens de Wbp degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Het grote verschil tussen de verantwoordelijk en de bewerker bestaat erin dat de bewerker niet de doelen en middelen voor de verwerking van persoonsgegevens bepaalt, maar slechts in opdracht van de verantwoordelijke persoonsgegevens verwerkt.
In de Wbp is de relatie tussen verantwoordelijke en de bewerker nader toegelicht.
Tussen de bewerker dient in ieder geval een overeenkomst te worden gesloten waarin regels moeten zijn opgenomen die betrekking hebben op de bescherming van persoonsgegevens en de toegepaste beveiligingsmaatregelen.
Het kan bij cloud-computing moeilijk zijn om vast te stellen wie welke rol vervult in het geheel en dus om vast te stellen wie de verantwoordelijk en de bewerker is en hoe de verplichtingen zijn afgebakend. Een bewerker kan bijvoorbeeld ook verworden tot verantwoordelijke indien de gegevens door de bewerker worden verrijkt en worden gebruikt voor andere doeleinden dan die door de verantwoordelijke zijn vastgesteld. Een analyse van de soort data en de herkomst ervan is dan ook vereist om te bepalen welke schakel in het geheel aangemerkt moet worden als verantwoordelijke en bewerker.

De verplichtingen van de verantwoordelijke en de bewerker
De algemene verplichtingen van de verantwoordelijke en de bewerker staan in de Wbp of de toepasselijke privacywetgeving van een ander land.
De belangrijkste verplichtingen uit de Wbp zijn:

Persoonsgegevens mogen alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt.
Persoonsgegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en vervolgens alleen verder worden verwerkt voor doeleinden die daarmee niet onverenigbaar zijn.
Persoonsgegevens mogen zonder toestemming van de betrokkene worden verwerkt voor zover dat noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke is onderworpen of voor zover de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het verwerkende bestuursorgaan danwel het bestuursorgaan waaraan de gegevens worden verstrekt.
Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.
De verantwoordelijke is verplicht maatregelen te treffen opdat persoonsgegevens juist en nauwkeurig zijn.
De gegevensverwerking moet op een passende manier worden beveiligd.
Voor bijzondere gegevens, zoals gegevens over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels. De verwerking van dergelijke gegevens is verboden, tenzij wordt voldaan aan bepaalde voorwaarden genoemd in de Wbp.

Deze algemene verplichtingen leveren complexe vragen op indien toegepast op een cloud-omgeving. Wat van de cloud-leverancier en de klant mag worden verwacht is vaak niet zondermeer duidelijk. Het vergt een zorgvuldige feitelijke en juridische analyse van de soort dienstverlening en de wijze waarop data wordt verwerkt.

De rechten van de "betrokkene"
De verplichtingen hebben een rechtstreeks verband met de rechten van degenen waar de persoonsgegevens betrekking op hebben. In de Wbp worden die personen aangeduid als “betrokkenen”. Zij hebben vergaande rechten ten aanzien van het gebruik van hun gegevens. Kortgezegd komt het er op neer dat een betrokkene de volgende rechten heeft:

Recht op informatie; de betrokkene moet kunnen nagaan wat er met zijn gegevens gebeurt. De verantwoordelijke dient op verzoek van de betrokkene dan ook informatie te geven over het doel (of de doeleinden) van het verzamelen en zijn gegevens.
Recht op inzage; een betrokkende kan inzage verzoeken in zijn persoonsgegevens en het gebruik daarvan. De verantwoordelijke dient binnen 4 weken na een verzoek van de betrokkende een overzicht van de gegevens te geven. Hij moet ook informatie verstrekken over het doel van de verwerking(en), de ontvangers van de gegevens en over de herkomst van de gegevens. De verantwoordelijke kan weigeren aan een verzoek om inzage te voldoen als dat bijvoorbeeld noodzakelijk is in het belang van voorkoming, opsporing en vervolging van strafbare feiten of ter bescherming van de rechten en vrijheden van anderen.
Recht op verbetering, aanvulling, verwijdering of afscherming; nadat de betrokkene inzage heeft gekregen, kan hij de verantwoordelijke verzoeken de persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen (correctierecht). Dat kan als de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. De verantwoordelijke moet binnen vier weken reageren.
Recht van verzet; het recht van verzet houdt in dat de betrokkene het recht heeft om bezwaar te maken (verzet aan te tekenen) tegen het gebruik van de gegevens door een verantwoordelijke.

Ook ten aanzien van de rechten van de betrokkenen geldt dat in een cloudomgeving zorgvuldig moet worden geanalyseerd op welke wijze de rechten kunnen worden geëfectueerd. Primair zal de verantwoordelijke er voor moeten zorgen dat de door hem ingeschakelde cloud-dienstverlener er voor zorgt dat zijn systeem in staat is om adequaat te reageren op een verzoek van een betrokkende. De cloud-dienstverlener zal op zijn beurt zijn cloud-dienst zo willen inrichten dat hij hiertoe in staat is. Zijn klant zal dat immers van hem verwachten.

De noodzaak van contracten
De contractuele relatie tussen de cloud-dienstverlener en de gebruiker dient zorgvuldig te worden vastgelegd. Met name omdat de wet in het geval van verwerking van persoonsgegevens strenge verplichtingen legt op zowel de dienstverlener als de gebruiker van de cloud-dienst. Het sluiten van een overeenkomst waarbij uitvoerig wordt stilgestaan bij de verwerking van persoonsgegevens is dan ook onontbeerlijk voor een correcte nakoming van de Wbp.
Zo is het verplicht een bewerkersovereenkomst te sluiten in geval een verantwoordelijke gegevens laat verwerken door een derde (de bewerker). Ook kan bij de export van gegevens het afsluiten van een (Europese model)overeenkomst verplicht zijn.
Een overeenkomst speelt ook een rol bij de bepaling van de rechtmatigheid van de verwerking van persoonsgegevens. Ook kan door een deugdelijk contract de verantwoordelijke afdwingen dat een bewerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen. Bovendien kan nader worden ingevuld op welke wijze de bewerker de rechten van degenen waarvan de gegevens worden verwerkt waarborgd.

Aandachtspunten bij diensten in de cloud
Bij overeenkomsten voor cloud-dienstverlening waarbij persoonsgegevens een rol spelen, zullen de cloud-aanbieder en de klant rekening moeten houden met de regels omtrent de verwerking van persoonsgegevens. Essentieel is om de verantwoordelijkheden van partijen zorgvuldig te analyseren en vast te leggen. Daarbij dienen partijen zich in ieder geval de volgende vragen te stellen:

wat is de aard van de te verwerken gegevens in de cloud dienst?
wie is de verantwoordelijke in de zin van de Wbp ten aanzien van de persoonsgegevens, met andere woorden: wie stelt de middelen en doelen voor de verwerking vast?
wie is de bewerker in de zin van de Wbp ten aanzien van de persoonsgegevens en zijn er wellicht meerdere bewerkers aan te duiden?
in welk land zijn de verantwoordelijke en de bewerker gevestigd?
wat zijn de doelen en middelen voor de verwerking van persoonsgegevens en liggen deze op zorgvuldige wijze vast?
zijn de plichten van de bewerker op juiste wijze contractueel vastgelegd?
waar vindt de bewerking van persoonsgegevens plaats, met andere woorden: wat is de lokatie van de gegevens die worden verwerkt of opgeslagen.
vindt de verwerking van gegevens plaats binnen de EU of daarbuiten?
op welke wijze is de beveiliging van de persoonsgegevens geregeld, met andere woorden: is sprake van een passend beveiligingsniveau?

Tot slot
Er is geen eenduidig standaard contract te maken die door alle cloud-aanbieders kan worden gebruikt. De materie is daarvoor te bewerkelijk. De ene cloud-dienst is de andere niet. Iedere cloud-dienst zal op zichzelf moeten worden beoordeeld. Wie als verantwoordelijke of als bewerker moet worden aangemerkt, kan per cloud-dienst verschillen. De aard van de cloud-dienst, de te verwerken data en de positie van partijen zal nauwkeurig moeten worden geanalyseerd, zowel met een technische IT-bril als een juridische.

Het voorgaande beoogd dat ook slechts een korte introductie te geven terzake de privacy-aspecten bij cloud-dienstverlening. Voor een deugdelijk juridisch advies over cloud-dienstverlening of het opstellen van contracten, is maatwerk nodig. Uiteraard geven wij u dat advies graag.

Advocaat Mark Krul

Tel. 070 - 381 92 81 | info@wisemen.nl

ARCHIEF

18 mei 2012

Geen schending portretrecht in boek Platter & dikker
15 mei 2012

Tijdelijk minder werken na ouderschapsverlof ingevoerd
14 mei 2012

Makkelijker contracten afdwingen
11 mei 2012

Er is beslag gelegd, wat nu?
10 mei 2012

Piratenpartij moet toegang tot The Pirate Bay blokkeren
9 mei 2012

Moet een arbeidscontract worden ondertekend met een handtekening?
7 mei 2012

Matiging van boete uit concurrentiebeding
3 mei 2012

Geen auteursrecht op functionaliteiten en programmeertaal software
3 mei 2012

Virtuele diefstal ook strafbaar
1 mei 2012

Wettelijke regels koop van toepassing op standaardsoftware
9 mei 2012

Uitgelicht: IT-contracten
1 mei 2012

Uitgelicht: de Consumentenautoriteit
27 april 2012

Tracking cookie gebruik aan banden
26 april 2012

Geen ontslagvergoeding door goed ICT-reglement
19 april 2012

Een relatiebeding van drie jaar: mag dat?
17 april 2012

Mag de werkgever de history van werknemers bijhouden?
2 april 2012

Tweet geen overtreding van relatiebeding
30 maart 2012

Terughoudendheid bij ICT-ondernemers bij aanbieden Cloud-diensten
14 maart 2012

3 juridische aandachtspunten aankoop van software
12 maart 2012

Meldplicht datalekken en de impact op uw onderneming
9 maart 2012

Nieuwe Europese privacyregels relevant voor sociale netwerken
5 maart 2012

Bezoek van de BSA, hoe nu verder?
2 maart 2012

Een brief van de BSA, hoe nu verder?
20 februari 2012

De Business Software Alliance (BSA) richt zijn pijlen op de bouwsector
16 februari 2012

Boetes voor niet voldoende beveiligen van persoonsgegevens
7 februari 2012

Overdragen broncode van software
6 februari 2012

Het chrome van Google wordt gladder per 1 maart 2012
3 februari 2012

Werknemers die regelmatig te laat komen
2 februari 2012

Grootste fouten in arbeidsovereenkomsten
1 februari 2012

Vergoeding van de buitengerechtelijke kosten
31 januari 2012

Uitgelicht: Wettelijke rente vorderen
30 januari 2012

Inval van de BSA
27 januari 2012

Het recht op het maken van wijzigingen in software voor Opdrachtgever
10 februari 2012

Regels voor een webwinkel aan huis; niet alles mag.
26 januari 2012

Nieuwe beleidsregels gunstbetoon geneeskundige beroepsbeoefenaars
25 januari 2012

Zet uw merken en domeinnamen op de juiste entiteit
24 januari 2012

Wet Van Dam al toepasselijk in 2009
23 januari 2012

Uitbreiding tijdelijke overeenkomst jongeren vervalt
20 januari 2012

Verzuim zonder ingebrekestelling van IT-leverancier
19 januari 2012

Uitgelicht: Privacy en cloud computing
18 januari 2012

Wetsvoorstel modernisering regelingen voor verlof en arbeidstijden
17 januari 2012

Uitgelicht: De agentuurovereenkomst
16 januari 2012

Uitgelicht: Grijs of zwart maken van beslagen
13 januari 2012

Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars
12 januari 2012

Intelligente vervoerssystemen in het wegvervoer ITS
12 januari 2012

Verbod op onrechtmatige uitlatingen in de media
11 januari 2012

Verplichte blokkade van The Pirate Bay door Ziggo en XS4ALL
6 januari 2012

Uitgelicht: Tussentijds opzegbeding in de arbeidsovereenkomst
5 januari 2011

Uitgelicht: Gedragscode Promotionele Kansspelen
14 december 2011

Landelijk diplomaregister extra drempel tegen diplomafraude
13 december 2011

Aansprakelijkheid van internet provider als tussenpersoon
22 december 2011

Onrechtmatige publicatie in de pers
12 december 2011

Ontbinding online koopovereenkomst
16 november 2011

Uitgelicht: Het auteursrecht
14 november 2011

Vitaliteitsregeling: afschaffing spaarloon en levensloop
10 november 2011

Nieuwe wetgeving vakantiedagen en ziekte 2012 - vervolg
29 september 2011

Brein wint rechtzaak tegen nieuwsproviders
16 februari 2011

Webwinkel past niet in bestemmingsplan
15 maart 2010

Tijdelijke overeenkomsten jongeren uitgebreid

Legal Scan

Legal Controller

Legal Outsourcing

Vraag een brochure aan

Uitgelicht: Privacy en cloud computing

RECHTSGEBIEDEN

NIEUWS

WEBLOG