We gebruiken cookies om content en advertenties te personaliseren, om sociale mediafuncties aan te bieden en om ons verkeer te analyseren. We delen ook informatie over uw gebruik van onze site met onze sociale media-, advertentie- en analysepartners, die deze kunnen combineren met andere informatie die u aan hen heeft verstrekt of die zij hebben verzameld op basis van uw gebruik van hun diensten.
Onze privacyverklaring:
Hieronder kunt u kiezen voor welke doeleinden u cookies op de website van De Clercq wilt toestaan.
In Nederland legt de Wet bescherming persoonsgegevens (Wbp) een aantal eisen op aan degene die ‘het doel van en de middelen voor de verwerking van persoonsgegevens’ vaststelt (de ‘verantwoordelijke’). De verantwoordelijke moet onder meer zorg dragen voor een adequate beveiliging van de opgeslagen persoonsgegevens. De Wbp bepaalt dat, ook indien de persoonsgegevens bij een derde opgeslagen worden, de verantwoordelijke de plicht heeft zorg te dragen voor adequate beveiliging. De cloudprovider is een goed voorbeeld van een dergelijke ‘bewerker’.
Om deze reden verplicht de Wbp de verantwoordelijke een ‘bewerkersovereenkomst’ te sluiten met de cloudprovider. In deze overeenkomst legt de verantwoordelijke een aantal verplichtingen met betrekking tot beveiliging op aan de cloudprovider. Ook moet worden afgesproken of de bewerker zogenaamde subbewerkers mag inschakelen bij de uitvoering van de dienstverlening. Als dit wordt toegestaan, moet in de bewerkersovereenkomst een verplichting worden opgenomen om de subbewerker tenminste even zware beveiligingseisen op te leggen als voor de bewerker zelf gelden.
Om tegemoet te komen aan de zorgen omtrent ‘privacy in de cloud’, heeft de Internationale Organisatie voor Standaardisatie (ISO) vorig jaar de ‘ISO/IEC-norm 27018:2014’ uitgebracht. Deze norm geeft een aantal grondbeginselen, welke deels voortvloeien uit de reeds bestaande ‘Code voor de Informatiebeveiliging’. Deze Code, vastgelegd in ISO 27002, geeft richtlijnen en principes voor het initiëren, het implementeren, het onderhouden en het verbeteren van informatiebeveiliging binnen een organisatie.
De nieuwe ISO-norm gaat uit van een vijftal basisprincipes:
Ook een aantal overige, algemene normen ten aanzien van de omgang met persoonsgegevens heeft een plek gekregen in ISO 27018.
Voor de goede orde dient opgemerkt te worden dat het feit dat een cloudaanbieder zich conformeert aan de ISO-norm, de ‘verantwoordelijke’ niet van de plicht ontslaat een bewerkersovereenkomst te sluiten met de cloudaanbieder. Wel kan in deze bewerkersovereenkomst verwezen worden naar de ISO-norm.
Naar eigen zeggen is het cloudplatform Azure van Microsoft het eerste cloudplatform waarvan door de British Standards Institution (BSI) is vastgesteld dat voldaan wordt aan ISO/IEC 27018.
Indien u vragen heeft naar aanleiding van dit artikel, kunt u contact opnemen met Natascha van Duuren, advocaat IT/Privacy/Cybersecurity