Cloudplatform Microsoft als eerste grote cloudtoepassing gecertificeerd volgens de vorig jaar gepubliceerde ISO-norm voor cloudcomputing

In Nederland legt de Wet bescherming persoonsgegevens (Wbp) een aantal eisen op aan degene die ‘het doel van en de middelen voor de verwerking van persoonsgegevens’ vaststelt (de ‘verantwoordelijke’). De verantwoordelijke moet onder meer zorg dragen voor een adequate beveiliging van de opgeslagen persoonsgegevens. De Wbp bepaalt dat, ook indien de persoonsgegevens bij een derde opgeslagen worden, de verantwoordelijke de plicht heeft zorg te dragen voor adequate beveiliging. De cloudprovider is een goed voorbeeld van een dergelijke ‘bewerker’.

Om deze reden verplicht de Wbp de verantwoordelijke een ‘bewerkersovereenkomst’ te sluiten met de cloudprovider. In deze overeenkomst legt de verantwoordelijke een aantal verplichtingen met betrekking tot beveiliging op aan de cloudprovider. Ook moet worden afgesproken of de bewerker zogenaamde subbewerkers mag inschakelen bij de uitvoering van de dienstverlening. Als dit wordt toegestaan, moet in de bewerkersovereenkomst een verplichting worden opgenomen om de subbewerker tenminste even zware beveiligingseisen op te leggen als voor de bewerker zelf gelden.

Om tegemoet te komen aan de zorgen omtrent ‘privacy in de cloud’, heeft de Internationale Organisatie voor Standaardisatie (ISO) vorig jaar de ‘ISO/IEC-norm 27018:2014’ uitgebracht. Deze norm geeft een aantal grondbeginselen, welke deels voortvloeien uit de reeds bestaande ‘Code voor de Informatiebeveiliging’. Deze Code, vastgelegd in ISO 27002, geeft richtlijnen en principes voor het initiëren, het implementeren, het onderhouden en het verbeteren van informatiebeveiliging binnen een organisatie.

De nieuwe ISO-norm gaat uit van een vijftal basisprincipes:

• Toestemming: persoonsgegevens mogen in beginsel alleen verwerkt worden met toestemming van de betrokkene. In het bijzonder geldt dat persoonsgegevens niet zonder toestemming aangewend mogen worden voor marketing- en reclamedoeleinden;
• Zelfbeschikking: de betrokkene dient altijd de zeggenschap over zijn eigen persoonsgegevens te behouden;
• Transparantie: de verantwoordelijke dient de betrokkene te informeren waar de data wordt opgeslagen, voor welke doelen de data wordt gebruikt, aan welke partijen de data eventueel wordt doorgegeven (inclusief subbewerkers!), etc.;
• Melding datalek: de verantwoordelijke dient een datalek te melden aan de betrokken en de nodige informatie hieromtrent te verstrekken. De verantwoordelijke moet het beveiligingsincident en de reactie daarop zorgvuldig documenteren;
• Audits: de verantwoordelijke moet zichzelf jaarlijks door een onafhankelijke derde partijen laten auditen ten einde aan te tonen dat (nog steeds) voldaan wordt aan de geldende normen.

Ook een aantal overige, algemene normen ten aanzien van de omgang met persoonsgegevens heeft een plek gekregen in ISO 27018.

Voor de goede orde dient opgemerkt te worden dat het feit dat een cloudaanbieder zich conformeert aan de ISO-norm, de ‘verantwoordelijke’ niet van de plicht ontslaat een bewerkersovereenkomst te sluiten met de cloudaanbieder. Wel kan in deze bewerkersovereenkomst verwezen worden naar de ISO-norm.

Naar eigen zeggen is het cloudplatform Azure van Microsoft het eerste cloudplatform waarvan door de British Standards Institution (BSI) is vastgesteld dat voldaan wordt aan ISO/IEC 27018.

Indien u vragen heeft naar aanleiding van dit artikel, kunt u contact opnemen met Natascha van Duuren, advocaat IT/Privacy/Cybersecurity