Digital

Digital

Nieuws

Amerikaans clouddiensten hebben moeite met privacy

Het College Bescherming Persoonsgegevens heeft onderzocht welke garanties voor de bescherming van persoonsgegevens de clouddiensten van Amerikaanse bedrijven als Google, Dropbox of Microsoft bieden. Die garanties stemmen het CBP niet vrolijk: de klanten zelf blijven volledig verantwoordelijk voor de gegevens.

Het onderzoek concentreerde zich vooral op de zogenaamde Safe Harbor-verklaring die Amerikaanse bedrijven afgeven, een afspraak tussen de VS en de EU waarin is vastgelegd dat Amerikaanse bedrijven alleen Europese persoonsgegevens mogen verwerken en opslaan als ze beschikken over een Safe Harbor-certificaat.
Helaas biedt vorm van ‘zelfcertificering’ geen enkele garantie dat de verwerking van de gegevens in de VS voldoet aan Europese richtlijnen. Evenmin is zij een garantie voor goede gegevensbeveiliging. Aldus Het CBP.

Ook aan allerlei Europese standaarden voor extern toezicht op de beveiliging zeggen de bedrijven te voldoen, maar zonder daar verder transparant over te zijn. Ook is het voor het CBP de vraag of zogeheten ‘sub-bewerkers’, bedrijven die de cloudleverancier inschakelt om opslag of beheer te verzorgen, wel aan de Safe Harbor-regels voldoen.

De Nederlandse regering wil een meldplicht invoeren voor datalekken. Het CBP constateert dat zo’n meldplicht voor clouddiensten alleen mogelijk is als daarover met de cloudleverancier en eventuele sub-bewerkers heldere afspraken worden gemaakt. Bij lekken os de organisatie zelf altijd verantwoordelijk voor het naleven van de Wet bescherming persoonsgegevens. Dus pas op! En wees voorzichtig!

Bron: Binnenlands Bestuur 12 september 2012