In principe betekent dit dat de kans groot is dat organisaties die persoonsgegevens op de een of andere manier laten opslaan en bewerken bij een cloud provider in de USA, niet meer voldoen aan wet- en regelgeving m.b.t. privacy. Bedenk daarbij dat lokale (of Europese) service providers in hun dienst ook gebruik kunnen maken van de diensten van cloud providers in de USA (denk maar eens aan cloud diensten die draaien op Amazon).
Wake-up call
Even los van de mogelijke wettelijke consequenties en reparatieacties die gestart gaan worden (zo heeft SalesForce een aangepast “Data processing Addendum” gestuurd die het e.a. contractueel moet repareren), is de werkelijke vraag hoe met betrouwbaarheid van cloud diensten is gesteld m.b.t de beveiliging van gegevens. Wat dat betreft is deze berichtgeving een goede “wake-up call” om niet blind te vertrouwen op wat de cloud dienstverlener op papier belooft.
Zowel de vernieuwde wet bescherming persoonsgegevens (wbp) als de European Data Protection Directive (EUDPD) stellen dat de opdrachtgever (owner) te allen tijde aansprakelijk is voor de bescherming van persoonsgegevens, ook al wordt deze uitbesteed aan derden (in de EUDPD is ook deze aansprakelijk!). Dat betekent dat je als opdrachtgever te allen tijden zicht moet hebben op hoe je cloud dienstverlener persoonsgegevens (of andere data) verwerkt en hoe deze beveiligd worden (en hoe niet).
Grote uitdagingen
Organisaties willen juist naar de cloud vanwege flexibiliteit, kostenbesparing, maar ook om ingewikkelde zaken als beveiliging niet zelf te hoeven regelen (wat ook een verkapte kostenbesparing is). Als dat laatste niet op orde blijkt te zijn (en zelfs mogelijk in strijd met de wet is), dan kan dat voor grote uitdagingen zorgen.
Aanvullende maatregelen
Als organisatie ontkom je er dan niet aan om je vooraf te verdiepen in het reilen en zeilen van de cloud provider en in geval van twijfel te bepalen of er aanvullende maatregelen nodig zijn. Zoals bijvoorbeeld het inschakelen van een cloud broker om gegevens alsnog versleuteld op te slaan of te versturen. Deze aanvullende maatregelen kosten uiteraard geld, tijd en moeite, waardoor de mogelijk de business case voor het gebruik van cloud diensten wellicht minder gunstig uitvalt.
Een onafhankelijke partij als inspearit kan u helpen bij het in kaart brengen van de risico’s die voor uw organisatie van toepassing zijn bij het (gedeeltelijk) naar de cloud gaan en op welke manier deze risico’s kunnen worden beperkt.