GDPR vereist duidelijke afspraken

Datacenters en cloudaanbieders moeten overeenkomsten afsluiten

Het hele IT-landschap werkt druk aan de voorbereidingen op de Europese General Data Protection Regulation (GDPR), ook wel de Algemene Verordening Gegevensbescherming (AVG). Wat betekent de data- en privacywet voor cloudbedrijven en datacenters?

 

Binnen Europa is GDPR bedoeld om één uniform beleid in te voeren voor de beveiliging en het beheer van persoonlijke data. Die persoonsgegevens worden in de tekst van de richtlijn gedefinieerd als alle gegevens die direct of indirect herleidbaar zijn tot een specifiek natuurlijk persoon. Dat kunnen dus cookies zijn, maar ook klantenbestanden, patiëntendossiers, adressenlijsten voor nieuwsbrieven en bijvoorbeeld het ledenbestand van een sportvereniging. Daarom heeft de wet ook zo’n impact op heel veel grote en kleine organisaties. En de angst zit er al goed in bij veel bedrijven. Wie GDPR niet naleeft of een groot datalek verzuimt te melden, kan rekenen op een forse boete.

In het kort stelt GDPR dat bedrijven alleen die informatie over personen mogen opslaan die noodzakelijk zijn. De informatie moet volgens bepaalde voorwaarden wordt opgeslagen en de klant of consument moet de gegevens altijd kunnen opvragen, wijzigen of verwijderen. Vanaf 25 mei 2018 moeten bedrijven kunnen aantonen dat de data die ze lokaal, in datacenters of in een cloudomgeving, binnen of buiten de EU, opslaan, voldoet aan de eisen van de nieuwe wetgeving. “Zowel enterprises als cloudproviders moeten kunnen aantonen dat zij volledige controle hebben over hun security. Op alle lagen is de beste bescherming essentieel, inclusief op de infrastructuurlaag en op het gebied van de fysieke beveiliging in datacenters”, stelt managing director Michel van den Assem van datacenterbedrijf Interxion Nederland.

Data en risico’s

GDPR maakt onderscheid tussen databezitters, controllers, en dataverwerkers, processors. In de eerste categorie vallen de grote ondernemingen die iets willen doen met de persoonlijke data die ze verzamelen. Daarnaast heb je de dataverwerkers, zoals cloudproviders, die data verwerken namens een klant. Uiteindelijk is het  de verantwoordelijkheid van de databezitter om voor de best mogelijke beveiliging te zorgen. In geval van een datalek en een daaropvolgend onderzoek, kan het zo zijn dat de dataverwerker aansprakelijk wordt gesteld, mocht het lek in zijn systeem zitten.

Een groot risico voor bedrijven ligt in de shadow-IT, waarschuwt de Cloud Security Alliance. Volgens het Netskope Cloud Report heeft een gemiddelde grote Europese onderneming 608 apps in de cloud draaien. Veel IT-afdelingen zijn zich hier niet bewust van. Daarom moet binnen elke organisatie bekend zijn welke apps in de cloud data verwerken en waar die data wordt opgeslagen. Verder zijn er nog enkele vragen die organisaties zichzelf zouden moeten stellen. Beschermen de apps genoeg tegen verlies of diefstal van data? Als er apps zonder het medeweten van de IT-afdeling worden gebruikt, kan er data uitlekken en loopt het bedrijf risico om niet meer ‘compliant’ te zijn en dus niet meer aan GDPR-regelgeving te voldoen.

Verwerkersovereenkomst

Voor de cloudindustrie geldt de plicht om een verwerkersovereenkomst op te stellen. Dit geldt ook voor bestaande contracten, want GDPR werkt als het ware met terugwerkende kracht. Elke cloudprovider en elk datacenter krijgt te maken met verwerkersovereenkomsten, of data processing agreements zoals ze in het Engels heten. In die overeenkomst wordt vastgelegd met welk doel er persoonsgegevens worden opgeslagen, maar ook welke veiligheidsmaatregelen worden genomen om de data te beveiligen en waar het wordt opgeslagen. Verder wordt erin opgenomen hoe er wordt gehandeld indien er toch een datalek ontstaat, wie er dan verantwoordelijk is en aan wie het incident gemeld moet worden. Met de komst van GDPR, zal er meer met verwerkersovereenkomsten worden gewerkt, bevestigt ook de Dutch Datacenter Association. Al blijft het toch hoofdzakelijk een probleem van degene die de colocatie afneemt. “Datacenters hebben geen toegang hebben tot de data zelf en daardoor kunnen ze ook niets met die data doen. Datacenters staan daarmee nogal ver van GDPR af, behalve dat er een verwerkingsovereenkomst is die zij in afstemming met de controller moeten tekenen.”

Datacenters zijn, bijna altijd, (sub)verwerkers als het gaat om persoonsgegevens omdat die in het datacenter zijn opgeslagen of via het datacenter worden verzonden. Zelfs als het datacenter niet betrokken is bij de opslag of de datatransmissie een (sub)verwerker en dus krijgen datacenters ook te maken met verwerkersovereenkomsten.

Locatie en Brexit

Als alle bedrijven binnen de Europese Unie de GDPR-regelgeving naleven, maakt het in theorie niet meer uit waar de data zich bevindt. Toch ligt dat volgens de Dutch Datacenter Association (DDA) nog niet zo eenvoudig. “Behalve op enterprise-niveau of als bedrijven in meerdere landen zijn gevestigd, willen zij waarschijnlijk gewoon hun data dicht bij huis hebben. Vanuit Italië gaan zij bijvoorbeeld niet data of servers in Nederland zetten als zij daar verder geen zakendoen”, legt woordvoerder Michiel Cazemier uit namens de DDA, de belangenorganisatie voor datacenters in Nederland. “Je ziet overigens wel dat veel hosters adverteren met ‘je data staat gegarandeerd in Nederland’, terwijl dat eigenlijk niks meer uitmaakt zolang het in de EU staat natuurlijk.”

‘ Datacenters staan nogal ver van GDPR af’

Als een internationaal bedrijf buiten de EU is gevestigd, kan het overigens wel interessant zijn om klanten de mogelijkheid te geven om hun data binnen de EU, en dus volgens de regels van GDPR, op te slaan. Uit onderzoek van Deloitte is namelijk gebleken dat vier op de vijf ondervraagde consumenten waarschijnlijk tot zeker kiezen voor producten van
bedrijven waar hun data goed wordt beveiligd. Het voldoen aan GDPR kan in die zin dus ook een interessante stap zijn om de concurrentie voor te blijven. Het is echter nog niet helemaal zeker of privacygevoelige data ook goed opgeslagen staat in Groot-Brittannië, in verband met de voorgenomen uittrede uit de EU. Premier Theresa May heeft aangekondigd dat het Verenigd Koninkrijk de GDPR volledig zal implementeren. Datacenters aldaar zullen dus gewoon onderhevig zijn aan de regels en bepalingen van GDPR. De handhaving zal waarschijnlijk losgekoppeld worden van de EU, maar dat is op dit moment nog onduidelijk zolang de Brexit niet is uitonderhandeld.

[Dit artikel is eerder gepubliceerd in het Datacenter & Cloud Dossier 2017]

Lees het artikel hier in PDF