WPB,5374,algemeen
CloudTools
Vorige
Volgende

Print pagina E-mail alert Rss feed

Persoonsgegevens opslaan in de Cloud... Wetten en regels bij online software




Steeds meer bedrijven kiezen ervoor om gebruik te maken van online software en Cloud Computing. Hierbij wordt via het internet software voor bijvoorbeeld HRM, CRM of projectmanagement aangeboden. Via deze software worden persoonsgegevens opgeslagen. Maar vaak bevinden SaaS-aanbieders, of de servers die de aanbieder gebruikt, zich in het buitenland. Wat zijn de juridische gevolgen hiervan?

"Als bedrijf ben jij verantwoordelijk voor het naleven van de Wet Bescherming Persoonsgegevens (Wbp)," legt Wouter Dammers, IT-recht advocaat bij SOLV, uit. Die wet regelt hoe organisaties moeten omgaan met persoonsgegevens en het opslaan van die data. "Als je dus gebruik maakt van Cloud Computing zoals Software as a Service, moet je als bedrijf nagaan of de service provider voldoende beveiliging biedt. Zodat jij als bedrijf voldoet aan de eisen die de wet stelt."

Cloud Computing: Van Nederland via Duitsland naar Amerika

Maar welke privacyregels gelden voor een Nederlands bedrijf, dat online software van een Duits bedrijf gebruikt, dat haar data opslaat op servers die in Amerika staan? Het antwoord is volgens Privacy en security in de cloudSOLV-advocaat Dammers redelijk simpel: "Aan alle regels die in de verschillende landen gelden waar een verwerker of sub-verwerker van de data zit." Dat betekent dus dat zowel de Nederlandse, als de Duitse en de Amerikaanse regels nageleefd moeten worden.

Het is voor bedrijven van groot belang dat ze nagaan waar de data wordt verwerkt en opgeslagen, benadrukt Dammers. "De doorgifte van privacygevoelige data buiten de EER (EU-landen, IJsland, Noorwegen en Liechtenstein) is verboden, tenzij sprake is van een passend beschermingsniveau in dat land, of als het gaat om een partij in de VS die is aangesloten bij de Safe Harbor principles (wiki). Buiten die gevallen is doorgifte slechts toegestaan indien de betrokkene daartoe zijn ondubbelzinnige toestemming heeft gegeven. Daarnaast moet er een overeenkomst worden gesloten tussen het bedrijf en de service provider, die voldoende beschermingsmaatregelen biedt op basis waarvan het Ministerie van Justitie een vergunning heeft gegeven voor de doorgifte."

Privacygevoelige informatie en beveiliging

Ondernemers die gebruik willen maken van online software waarbij persoonsgegevens worden verwerkt, doen er verstandig aan een risico-analyse uit te voeren. Deze begint met het vaststellen van de aard van de gegevens die je als bedrijf opslaat. "Als dit bijzondere gegevens zijn zoals ras, godsdienst, seksuele geaardheid, maar ook een pasfoto - daar is immers ook ras van af te leiden - zal de Wbp extra eisen aan de beveiliging stellen," aldus advocaat Dammers.

Vervolgens is het zaak te inventariseren wat de kans is dat er iets fout kan gaan en wat de mogelijke schade is voor de persoon over wie die informatie gaat. Deze informatie, in combinatie met de aard van de data, bepaalt welke beveiligingseisen gesteld moeten worden aan de cloud provider. Daarmee houdt de Wbp rekening met 'de stand van de techniek en de kosten van de tenuitvoerlegging' van die beveiliging.

Ondernemer altijd zelf verantwoordelijk

Als ondernemers gebruik willen maken van een online dienst, gaan ze er vaak van uit dat de SaaS-aanbieder er alles aan doet om de opgeslagen data zo goed mogelijk te beschermen. Maar wat als het fout gaat en de gegevens (per ongeluk) openbaar worden?

Volgens de Wet Bescherming Persoonsgegevens blijft de ondernemer verantwoordelijk voor de beveiliging van de gegevens, ookal worden die bij een ander bedrijf opgeslagen. De aanbieder van de online software wordt veelal alleen gezien als 'bewerker' van, en in sommige gevallen mede-verantwoordelijke voor de data.

Dit betekent niet dat een SaaS-aanbieder nooit aansprakelijk kan worden gesteld, legt SOLV-advocaat Dammers uit. "Iemand die door het lekken van data schade ondervindt, kan die zowel verhalen op de verantwoordelijke als de bewerker." Reden genoeg dus volgens Dammers om goede contractuele afspraken te maken over wie waar wel en niet verantwoordelijk voor is.

Lees hier deel II van het interview over het maken van contractuele afspraken met SaaS-aanbieders op CloudTools.nl


TagsTags: crm, hrm, opslag, privacy, persoonsgegevens, solv, wouter dammers, it-recht, advocaat, rechten, cbp, wbp
Emiel

Over Emiel :


Emiel (1984) is een freelance multimedia journalist. Hij heeft een achtergrond in de ICT en schrijft regelmatig over digitale ontwikkelingen voor websites en magazines.



Laatste In de praktijk: Algemeen

"De juiste keuze van online software vergt enige voorbereiding" "De juiste keuze van online software vergt enige voorbereiding"
  "Overstap naar nieuwe online software is voor sommigen even wennen" "Overstap naar nieuwe online software is voor sommigen even wennen"
"Kapotte laptop was het duwtje naar online software" "Kapotte laptop was het duwtje naar online software"
  Op maat gemaakte apps voor MKB'ers met bestaande online software Op maat gemaakte apps voor MKB'ers met bestaande online software

Reacties:

John Smith |
Nice blog. Thanks for sharing such a great information.
phone systems
Bas Hazelzet |
Hallo, dank voor dit interessante artikel. Ik heb wel eens gehoord dat Nederlandse zorginstelligen en financiele instellingen volgens de Nederlandse wet geen privacy gevoelige informatie mogen opslaan in het buitenland, maar kan daar eigenlijk niks concreets over terugvinden. Jullie enig idee daarover, of waar ik daarover meer kan vinden? Dank en vriendelijke groet, Bas Hazelzet


Vertel ons hoe jij erover denkt:


Naam:   E-mail: (verplicht; wordt niet gepubliceerd)



Reactie:


Anti SPAM code:
Reload Image

Inschrijven voor de nieuwsbrief

Populaire tags

crm, opslag, hrm, privacy, persoonsgegevens, solv, wouter dammers, it-recht, advocaat


Zoek online software





  
Stichting EuroCloud Nederland

Keurmerk E-factureren
  
SaaS 4 Channel    

Cloudprovider.nl