Privacy en cloud computing: wat moet er in de overeenkomst?

1,505 views
1,431 views

Published on

Presentatie tijdens SURFnet/Kennisnet Cloud seminar door Lienke Viergever

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,505
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds Hustinx, EDPS: Probleem is dat regelgeving is gebaseerd op doorgifte point to point. Lastig voor cloud computing waar een continue doorgifte van gegevens is naar verschillende actoren. Oplossing in de herziening van de Richtlijn. Communication from Commission 4/11/2010: COM 2010 609/3: signalering dat problematisch is en aankondiging dat gaat onderzoeken hoe kan worden verbeterd. Dit probleem wordt niet expliciet genoemd.
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Lieneke Viergever 19-11-2010 Privacy in the clouds
  • Privacy en cloud computing: wat moet er in de overeenkomst?

    1. 1. Privacy in de clouds Lieneke Viergever Project Moore Advocaten 16 juni 2011
    2. 2. Onderwerpen <ul><li>Wat is cloud computing? </li></ul><ul><li>Gevolgen voor verwerking data </li></ul><ul><li>Juridische implicaties </li></ul><ul><ul><li>Wet bescherming persoonsgegevens </li></ul></ul><ul><ul><li>Hoedanigheid klant en leverancier </li></ul></ul><ul><ul><li>Passende waarborgen (beveiliging) </li></ul></ul><ul><ul><li>Internationale doorgifte </li></ul></ul><ul><li>Aanbevelingen voor de cloudovereenkomst </li></ul><ul><li>Rapport “De wolk in het onderwijs” </li></ul>
    3. 3. Wat is cloud computing?
    4. 4. Wat is cloud computing? <ul><li>Essentiële kenmerken </li></ul><ul><ul><ul><li>On-demand self-service </li></ul></ul></ul><ul><ul><ul><li>Brede netwerktoegang </li></ul></ul></ul><ul><ul><ul><li>Resource pooling </li></ul></ul></ul><ul><ul><ul><li>Snelle elasticiteit </li></ul></ul></ul><ul><ul><ul><li>Gemeten dienst </li></ul></ul></ul><ul><li>Opdeling in verschillende modellen: SaaS, Paas, IaaS </li></ul><ul><li>Opdeling in verschillende varianten: publiek, privaat, gemeenschappelijk, hybride </li></ul>
    5. 5. Gevolgen cloud voor verwerking data
    6. 6. Ontwikkelingen opslag van data…
    7. 9. In 2011
    8. 10. En het gaat verder…
    9. 11. Gevolgen cloud computing verwerking data <ul><li>Verlies of verminderde controle klant over data </li></ul><ul><ul><li>Gespreide (internationale) opslag </li></ul></ul><ul><ul><li>Locatie data onbekend </li></ul></ul><ul><ul><li>Gedeeld gebruik gegevensdragers </li></ul></ul><ul><ul><li>Data veel in transit </li></ul></ul><ul><ul><li>Data moeilijk te wissen </li></ul></ul><ul><li>Afhankelijk van deployment model (publiek of privaat) </li></ul>
    10. 12. Juridische implicaties
    11. 13. Juridische implicaties <ul><li>Wet bescherming persoonsgegevens </li></ul><ul><li>Hoedanigheid klant en leverancier </li></ul><ul><li>Passende waarborgen </li></ul><ul><li>Internationale doorgifte </li></ul>
    12. 14. Wet bescherming persoonsgegevens (Wbp) <ul><li>Van toepassing op iedere geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens </li></ul><ul><ul><ul><ul><ul><li>Persoonsgegeven is elk gegeven betreffende </li></ul></ul></ul></ul></ul><ul><ul><ul><ul><ul><li>een geïdentificeerde of identificeerbare </li></ul></ul></ul></ul></ul><ul><ul><ul><ul><ul><li>natuurlijke persoon </li></ul></ul></ul></ul></ul><ul><li>Verwerking is elke handeling met betrekking tot persoonsgegevens </li></ul>
    13. 15. Hoedanigheid klant en leverancier
    14. 16. Hoedanigheid klant en leverancier <ul><li>Wbp richt zich primair tot verantwoordelijke </li></ul><ul><li>Verantwoordelijke stelt het doel van en de middelen voor de verwerking vast </li></ul><ul><li>Bewerker verwerkt gegevens voor de verantwoordelijke, zonder dat hij diens ondergeschikte is </li></ul><ul><li>Leverancier bepaalt vaak wijze waarop persoonsgegevens worden verwerkt ( middelen ) </li></ul>
    15. 17. WP29 Opinie 1/2010 <ul><li>Klant (verantwoordelijke) mag invulling technische en organisatorische aspecten van gegevensverwerking delegeren aan leverancier </li></ul><ul><li>Leverancier alleen verantwoordelijke als </li></ul><ul><ul><li>zeggenschap leverancier verder gaat </li></ul></ul><ul><ul><li>gegevensverwerking door leverancier instructie van klant te buiten gaat </li></ul></ul><ul><li>Kwalificatie in contract is niet doorslaggevend </li></ul>
    16. 18. Contractsbepaling voldoende? Partijen houden het er voor dat leverancier ten aanzien van de verwerking van persoonsgegevens ‘ bewerker ’ is in de zin van de Wet Bescherming Persoonsgegevens is.
    17. 19. Passende beveiligingsmaatregelen
    18. 20. Passende beveiligingsmaatregelen <ul><li>Klant is verplicht tot treffen passende technische en organisatorische beveiligingsmaatregelen tegen verlies of enige vorm van onrechtmatige verwerking van persoonsgegevens (art. 13 en 14 Wbp) </li></ul><ul><li>Klant dient ervoor zorg te dragen dat leverancier voldoende waarborgen biedt voor beveiliging persoonsgegevens </li></ul><ul><li>Klant moet daadwerkelijk nagaan of cloud oplossing van de leverancier voldoende waarborgen biedt </li></ul>
    19. 21. Contractsbepaling voldoende?
    20. 22. Voldoende waarborgen? <ul><li>Klant moet voor iedere verwerking </li></ul><ul><ul><li>een risicoanalyse uitvoeren </li></ul></ul><ul><ul><li>nagaan of de door de leverancier getroffen maatregelen passend zijn </li></ul></ul><ul><li>Balans tussen (art. 13 Wbp) </li></ul><ul><ul><li>risicoklasse (hoe hoger het risico, hoe hoger het vereiste niveau van beveiliging) </li></ul></ul><ul><ul><li>stand van de techniek </li></ul></ul><ul><ul><li>kosten van tenuitvoerlegging </li></ul></ul>
    21. 23. Is cloud computing veilig?
    22. 24. Perceptie ondernemingen <ul><li>“ Ruim 80 procent van de grote ondernemingen wil voorlopig niet investeren in cloud computing of cloud storage. De belangrijkste reden daarvoor is dat ze zich zorgen maken over de beveiliging van hun applicaties en gegevens .” </li></ul><ul><li>The State of Emerging Enterprises Hardware 2009 to 2010, Forrester) </li></ul>
    23. 25. Cloud computing niet persé (on)veiliger <ul><li>Cloud Security Alliance </li></ul><ul><li>“ Cloud Computing isn’t necessarily more or less secure than your current environment. As with any new technology, it creates new risks and new opportunities.” </li></ul><ul><li>European Network and Information Security Agency </li></ul><ul><li>“ […] the cloud’s economies of scale and flexibility are both a friend and a foe from a security point of view. The massive concentrations of resources and data present a more attractive target to attackers, but cloud-based defences can be more robust, scalable and cost-effective.” </li></ul>
    24. 26. Bronnen <ul><li>“ Checklist Cloud Security” (SURFnet, Gartner en SURFibo) </li></ul><ul><li>“ Cloud Computing. Benefits, risks and recommendations for information security”, ENISA </li></ul><ul><li>“ Security guidance for critical areas of focus in cloud computing”, Cloud Security Association </li></ul><ul><li>“ Beveiliging persoonsgegevens ” , College bescherming persoonsgegevens </li></ul>
    25. 27. Conclusies? <ul><li>Aanvullende beveiligingsmaatregelen (aan de zijde van klant, leverancier of beide) </li></ul><ul><li>Geen of slecht bepaalde persoonsgegevens naar de cloud </li></ul><ul><li>Combinatie publieke cloud en private cloud </li></ul>
    26. 28. Toezicht <ul><ul><li>Klant is verplicht om op naleving toe te zien (art. 14 Wbp) </li></ul></ul><ul><ul><ul><ul><ul><li>Audit? </li></ul></ul></ul></ul></ul><ul><ul><ul><ul><ul><li>Third Party Assurance (SAS70, ISO 270001, ISAE 3402) </li></ul></ul></ul></ul></ul><ul><ul><ul><ul><ul><li>“ Privacy seal” </li></ul></ul></ul></ul></ul>
    27. 29. Internationale doorgifte
    28. 30. Internationale doorgifte <ul><li>Doorgifte naar landen buiten EER die geen “passend beschermingsniveau” bieden verboden, tenzij </li></ul><ul><ul><li>toestemming: vaak geen optie </li></ul></ul><ul><ul><li>technische oplossingen: (nog) te duur </li></ul></ul><ul><ul><li>voor US: Safe Harbor </li></ul></ul><ul><ul><li>modelcontracten met vergunningen (weinig flexibel en arbeidsintensief) </li></ul></ul><ul><ul><li>processor Binding Corporate Rules </li></ul></ul><ul><ul><li>lokalisatie / regionalisatie </li></ul></ul>
    29. 31. Lokalisatie / regionalisatie <ul><li>Niveau van controle klant over waar data zich bevindt in de cloud varieert </li></ul><ul><ul><li>Sommige leveranciers geven klant geen keuze </li></ul></ul><ul><ul><li>Andere geven keuze tussen US en EU (Amazon Web Services) </li></ul></ul><ul><ul><li>Sommige slaan gegevens klant standaard op in de regio van de klant (Mozy Inc) </li></ul></ul><ul><li>Aanbeveling : opslag van / toegang tot EER data alleen in / vanuit EER </li></ul>
    30. 32. Aanbevelingen voor de cloudovereenkomst
    31. 33. Verplichte bepalingen <ul><li>Art. 14 Wbp vereist schriftelijk contract waarin is vastgelegd </li></ul><ul><ul><li>dat de leverancier slechts in opdracht van de klant data verwerkt </li></ul></ul><ul><ul><li>dat de leverancier data adequaat beveiligt tegen verlies of enige vorm van onrechtmatige verwerking </li></ul></ul><ul><ul><li>de door de leverancier te treffen beveiligingsmaatregelen </li></ul></ul><ul><ul><li>dat de leverancier de klant in staat stelt toe te zien op naleving door de leverancier van de verplichting tot adequate beveiliging </li></ul></ul>
    32. 34. Aanvullende bepalingen? <ul><ul><li>Klant wordt afhankelijk van leverancier, maar blijft verantwoordelijk en aansprakelijk voor nakoming Wbp </li></ul></ul><ul><ul><li>Bestuursdwang of last onder dwangsom College bescherming persoonsgegevens </li></ul></ul><ul><ul><li>Artikel 29 Werkgroep: “ The imbalance in the contractual power of a small data controller with respect to big service providers should not be considered as a justification for the controller to accept clauses and terms of contracts which are not in compliance with data protection law . ” (WP29 1/2010) </li></ul></ul>
    33. 35. Algemene bepalingen <ul><li>Verplichting leverancier </li></ul><ul><ul><li>- handelen in overeenstemming met instructies klant </li></ul></ul><ul><ul><li>naleven toepasselijke wet- en regelgeving </li></ul></ul><ul><li>Handelt leverancier in strijd hiermee, dan </li></ul><ul><ul><li>informeren klant </li></ul></ul><ul><ul><li>klant recht op ontbinding gehele overeenkomst </li></ul></ul><ul><ul><li>vrijwaren klant voor aanspraken derden en vergoeden schade klant </li></ul></ul>
    34. 36. (i) Specifieke bepalingen <ul><li>Verplichting leverancier om </li></ul><ul><li>gegevens alleen te verwerken voor zover noodzakelijk voor dienstverlening en niet langer te bewaren dan nodig voor dat doeleinde </li></ul><ul><li>derden geen toegang te geven tot data klant zonder toestemming klant </li></ul><ul><li>datalekken onmiddellijk te melden aan klant en mee te werken aan informeren autoriteiten en betrokkenen in overeenstemming met toepasselijke regelgeving </li></ul><ul><li>mee te werken aan verzoeken om correctie en inzage van betrokkenen </li></ul>
    35. 37. (ii) Specifieke bepalingen <ul><li>Verplichting leverancier om </li></ul><ul><li>mee te werken aan onderzoek van toezichthoudende autoriteiten en instructies op te volgen </li></ul><ul><li>ingeval van regionalisatie of lokalisatie: data alleen te verwerken in EER of land met passend beschermingsniveau </li></ul><ul><li>data bij einde overeenkomst terug te geven aan klant en te verwijderen uit systemen </li></ul>
    36. 38. What do you see in the clouds? <ul><li>Risk, opportunity or……….? </li></ul>
    37. 39. <ul><li>Lieneke Viergever </li></ul><ul><li>Advocaat </li></ul><ul><li>Project Moore Advocaten. </li></ul><ul><li>T +31 20 5200 876  |  M +31 6 1018 8299 </li></ul><ul><li>E [email_address]   |  www.projectmoore.com </li></ul><ul><li>Leidsegracht 78  |  1016 CR Amsterdam  </li></ul>

    ×