Wet Bescherming Persoonsgegevens

Sinds 2001 is de Wet bescherming persoonsgegevens (kortweg Wbp) van kracht. Deze wet bepaalt hoe we rechtmatig omgaan met persoonsgegevens. Volgens de Autoriteit Persoonsgegevens zijn er zo’n 135.000 instanties die omgaan met persoonsgegevens. Ik durf te beweren dat het aantal in de praktijk veel hoger ligt.

Lange tijd leek de ICT-dienstverlener zich te onttrekken aan de strekking van deze wet. De cloud werd en wordt vanuit alle hoeken luidruchtig gepromoot. Maar met de invoering van de meldingsplicht van datalekken lijkt de strekking van de wet ook tot de cloud-dienstverlener te zijn doorgedrongen.

Je krijgt ermee te maken als je software vanuit de cloud wilt gaan afnemen. Stel je denkt erover om het digitale archief van jouw organisatie in de cloud onder te gaan brengen. Je moet dan een keuze maken uit het grote aanbod van dienstverleners. Waaraan voldoet een goede cloud-dienstverlener eigenlijk binnen de kaders van Wpb? Waar moet je op letten?

Wet Persoonsregistratie

“Persoonsgegevens mogen alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt.”

In het geval je persoonsgegevens van derden archiveert, zal dit moeten leiden tot een zogenaamde bewerkersovereenkomst. Hierin maak je schriftelijke afspraken met de cloud-dienstverlener over aspecten als beveiliging, melding en geheimhouding. Je bent hierin als klant leidend, maar een professionele cloud-aanbieder zal je een dergelijke overeenkomst kunnen aanbieden.

Duidelijkheid over de doelen van persoonsgegevens 

“Persoonsgegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. En vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn”.

Jouw klanten (de betrokkenen genoemd) moeten op de hoogte zijn van het feit dat je van hen persoonsgegevens verwerkt. Zij moeten ook weten waarom je dat voor hen doet. Het doel moet dus duidelijk zijn. Je kunt dus niet persoonsinformatie, zonder toestemming van betrokkene, doorverkopen aan andere marktpartijen om daar een ander doel mee te dienen dan vooraf is overeengekomen.

Identiteit verwerker van persoonsgegevens moet bekend zijn

“Degene van wie persoonsgegevens worden verwerkt (de betrokkene genoemd) moet ten minste op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verantwoordelijke) en van het doel van de gegevensverwerking.”

Hierin is de cloud-leverancier de bewerker van de data. Zijn rol is beperkt tot het beschikbaar stellen van de software en het leveren van opslagcapaciteit. De verantwoordelijke is degene die de doeleinden en de middelen voor de verwerking van de persoonsgegevens vaststelt. Je bent dus degene die door jouw klanten aangesproken kan worden op overtredingen voortkomend uit de Wbp. En natuurlijk moeten zij ervan weten dat hun gegevens door jou worden gebruikt.

Informatiebeveiliging bij clouddienst extra belangrijk

“De gegevensverwerking moeten op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.”

De voorbeelden waarin de beveiliging van persoonsgegevens niet goed gaat, zijn genoeg voorhanden. Beveiliging van de persoonsgegevens is bij een clouddienst extra belangrijk. De data liggen immers buiten de relatief veilige lokale omgeving en de flexibiliteit is tevens de kwetsbaarheid. Je dient hierover goede afspraken te maken, deze vast te leggen in de bewerkersovereenkomst, en de afspraken te controleren op uitvoering.

De wetgever stelt strenge eisen aan de opslag van persoonsgegevens op servers die buiten de Europese Unie staan. Voor jou als klant is het dus van belang te weten waar jouw data gestationeerd zijn. Het handhaven van een “passend beveiligingsniveau” buiten de EU grenzen wordt vaak lastig. Kan de cloud-leverancier de locatie of het gewenste beveiligingsniveau niet garanderen, dan zul je wellicht voor een andere leverancier moeten kiezen. Bedenk je dat “doorgifte naar het buitenland”, zoals de wetgever dit benoemt, ook gebeurt wanneer een helpdesk van de software bijvoorbeeld in India zit.

Voor jou geeft een bewerkersovereenkomst invulling aan de “zorgvuldigheid” die de wetgever beoogd.

In een goede bewerkersovereenkomst komen de volgende onderwerpen aan de orde:

  • voor welke doelen de leverancier de gegevens gaat verwerken;
  • met welke middelen de leverancier de gegevens gaat verwerken;
  • aan wie de leverancier de gegevens mag afstaan;
  • welke beveiligingsmaatregelen de leverancier heeft genomen (of gaat nemen) om de opgeslagen gegevens te beveiligen;
  • hoe aan de controle- en correctierechten van de betrokkene wordt voldaan;
  • een exit-scenario;
  • dat de klant de leverancier vrijwaart van aanspraken van derden met betrekking tot de persoonsgegevens.

Wat kan Expansion voor jou betekenen?

Expansion heeft al vele jaren ervaring met het aanbieden van het DMS Xtendis in de cloud. Bij ons staan jouw data veilig. Wij brengen jouw data onder in een gecertificeerde omgeving in Nederland, volgens de hoogst haalbare normen. Geen onduidelijkheid over waar jouw data staan en met welke garanties.

Expansion is NEN ISO 27001 gecertificeerd. Met deze certificering voor informatiebeveiliging bewijzen we als organisatie elke dag dat onze middelen, mensen en procedures op een veilige manier met jouw data omgaan.

Natuurlijk bieden wij jou een bewerkersovereenkomst aan. Een duidelijke exit-strategie is hierin belangrijk. Het zijn immers jouw data. Bij aanvang spreken we met elkaar af, hoe u jouw data aangeleverd krijgt en tegen welke kosten.

Continuïteit van de oplossing bieden wij jou met onze Cloud Secure Oplossing. Mocht Expansion stoppen met haar werkzaamheden, dan heb je de garantie dat jouw data bereikbaar blijven. De broncode gaat over naar een onafhankelijke stichting, die samen met jou bepaalt hoe de dienstverlening zal worden voortgezet.

Xtendis in de cloud biedt jou meer dan hosting alleen. je maakt gebruik van onze technische en functionele kennis voor een optimale beschikbaarheid van jouw data, 24x7. We spreken dan ook liever van een Managed Server omgeving.

De voordelen van Xtendis in de cloud nogmaals op een rij:

  • jouw data beveiligd volgens de hoogste normeringen: TIER 3, ISO 27001 en ISO 9001;
  • transparante bewerkersovereenkomst met onder andere een exit-strategie;
  • Cloud Secure Oplossing voor gegarandeerde beschikbaarheid en continuïteit;
  • Expansion is gecertificeerd met de NEN ISO 27001 norm voor informatiebeveiliging;
  • Managed serveromgeving in plaats van hosting alleen;
  • Een schaalbare en flexibele DMS oplossing, werkend bij meer dan 600 referenten.

Wil je meer weten over de mogelijkheden van Xtendis op het gebied van wet persoonsbescherming?

Vul het contactformulier en ontvang vrijblijvend informatie

 

marcel

Marcel Kuiper

Sales Consultant

Plaats reactie