Uw Privacy in de Cloud

door 21 november 2018

2017 is een keerpunt jaar geweest als het aankomt op Cloud oplos­singen en dit jaar zullen er nog meer Cloud­dien­sten worden afgenomen. Maar wanneer of hoe beslis je of je al dan niet naar de Public Cloud gaat? En wat is nu die GDPR waar iedereen over spreekt? En wat voor impact heeft dit op jouw bedrijf?

Is er een duide­lijke evolutie te zien in het aantal Cloud toepassingen?

Sinds 2017 is er een gestage groei qua Cloud adoptie in België (zie ook onze Cloud Barometer) waarbij er inmiddels een op de vijf appli­ca­ties recht­streeks vanuit de Cloud draaien. In 2017 zagen we dat bijna elke KMO of MKB zich steeds meer in Cloud oplos­singen verdiept, of zich laat bege­leiden door hun IT-huis­le­ve­ran­cier met als opdracht het maximale van de voordelen van Cloud oplos­singen te benutten. Vaak krijgen we de vraag om daarin te adviseren aangezien de Cloud nog niet voor iedereen even duidelijk is.

Maar wat is dat nu, die Public Cloud?

Velen beseffen het zelf niet, maar de meeste KMO’s of MKB’s zitten al lang in de Public Cloud. Bijna elke werknemer heeft onder­tussen wel een eigen privé e‑mail of Dropbox account die hij/zij ook gebruikt op sociale media zoals Facebook, WhatsApp of LinkedIn. Dit bewijst vooral dat het gebruik van toepas­singen uit de Cloud allang zijn inge­bur­gerd en dat de meeste ervan afkomstig zijn van Public Cloud providers uit de Verenigde Staten.

Als antwoord op dit fenomeen heb ik ooit ergens in de wandel­gangen van een fabrikant het volgende gezegde opge­vangen: “Amerika vindt het uit (lees Amazon), China kopieert het (lees Alibaba) en Europa regu­la­ri­seert het (lees GDPR).

Zeer toepas­se­lijk als je ziet dat de grootste Public Cloud providers allemaal uit Amerika komen (Big 5) en al een decennia lang hun diensten aanbieden, maar nu gaat Europa hier dus een stokje voor steken onder de noemer GDPR (General Data Protec­tion Regu­la­tion). Je kunt geen ICT-website of vakblad openslaan of je leest wel ergens iets over deze nieuwe regel­ge­ving en vaak met de wijzende vinger of zelfs doem­den­kers scenario’s. Want als je niet conform deze regel­ge­ving bent, zijn de boetes niet mals!

Wat houdt GDPR in?

De General Data Protec­tion Regu­la­tion (GDPR) houdt de gemoe­deren behoor­lijk bezig. Deze door de EU vast­ge­steld reglement moet gaan toezien op hoe er met de persoon­lijke data van de Europese burger wordt omge­sprongen. Voor België zal er officieel moeten worden voldaan aan de eisen van GDPR vanaf 25 mei 2018, dus als je dit nog niet hebt gedaan dan is het de hoogste tijd geworden om orde op zaken te stellen voordat je een Cloud Provider kan selecteren.

Voor GDPR komt er in het kort op neer dat:

  1. Alle bedrijven trans­pa­rant moeten zijn over hoe data wordt verzameld en verwerkt en burgers expliciet toestem­ming moeten geven
  2. Dat burgers zonder gedoe gegevens van de ene naar de andere dienst­ver­lener over moeten kunnen zetten en geen data hoeven te delen die niet relevant is.
  3. Het recht hebben om vergeten te worden en hun data kunnen opvragen. 
  4. Dat bedrijven een meld­plicht voor data­lekken opgelegd krijgen.

Op wie is deze wetgeving van toepassing?

Als KMO of MKB moet je kunnen aantonen dat je aan deze hierboven vermelde verplich­tingen voldoet. Blijf je in gebreke op een van de onder­delen van GDPR, dan kan er een boete opgelegd worden van enkele miljoenen of maximaal vier procent van jouw wereld­wijde omzet als bedrijf. Vooral als het gaat om Cloud­dien­sten, is de GDPR een heet hangijzer, omdat de data van jouw bedrijf en jouw gebrui­kers dan continu ‘buiten het bereik’ opge­slagen wordt.

Het nieuwe kader legt niet enkel verplich­tingen op aan de verant­woor­de­lijke voor de verwer­king, maar ook aan partijen die verder in de keten de persoons­ge­ge­vens verwerken voor data-analytics, opslag, factu­ratie, … Dit laatste is toch een belang­rijke nieu­wig­heid voor ICT-dienst­ver­le­ners en meer specifiek de aanbie­ders van Cloud­dien­sten. Deze privacy veror­de­ning voorziet dat men contracten zal moeten aanpassen en data protec­tion policies zal moeten opzetten, conform aan de vereisten van de veror­de­ning. Alle bedrijven zullen immers moeten kunnen aantonen dat zij op een verant­woorde manier omgaan met persoons­ge­ge­vens van mede­wer­kers, klanten of toele­ve­ran­ciers. Hierdoor zijn er uitda­gingen op verschil­lende niveaus. Veel bedrijven hebben – laten we eerlijk zijn – nooit stil­ge­staan bij gege­vens­be­vei­li­ging. Tech­no­logie kan veel, maar appli­ca­ties en processen zullen herbe­keken moeten worden in het licht van deze nieuwe regelgeving.

Hoe kunnen bedrijven zich voor­be­reiden op deze GDPR-verplichtingen?

Ik zal een 6‑tal tips meegeven die je zullen helpen om als bedrijf de nieuwe regel­ge­ving rondom Privacy en veilig­heid conform toe te kunnen passen.

 

  1. Ken de locatie waar appli­ca­ties gegevens verwerken of opslaan.

Je kan dit bereiken door alle Cloud-apps die je in jouw orga­ni­satie gebruikt in kaart te brengen en te vragen waar ze jouw gegevens hosten. Hint: het hoofd­kan­toor van de Cloud leve­ran­cier is zelden de plaats waar jouw gegevens worden opge­slagen. Jouw gegevens kunnen ook worden verplaatst tussen de data­cen­ters onderling waar de appli­catie gehost zal worden.

 

  1. Neem voldoende bevei­li­gings­maat­re­gelen om persoon­lijke gegevens te beschermen tegen verlies, wijziging of onbe­voegde verwer­king.

Je moet weten welke appli­ca­ties voldoen aan jouw bevei­li­gings­normen. Als er appli­ca­ties niet voldoen aan die normen, dan zal je maat­re­gelen moeten nemen en extra controles moeten uitvoeren.

 

  1. Sluit een gegevens-verwer­kings­over­een­komst met de Cloud Provider af die je zal selecteren. 

Zodra je alle appli­ca­ties in gebruik in jouw orga­ni­satie hebt geïn­ven­ta­ri­seerd, kan je in samen­spraak met de Cloud Provider een over­een­komst tekenen om ervoor te zorgen dat zij voldoen aan de gegevens-bescher­mings­ver­eisten die in de GDPR zijn vermeld.

 

  1. Verzamel alleen “benodigde” gegevens en beperk de verwer­king van “speciale” gegevens.

Geef in jouw gegevens­verwerkings­overeen­komst (en verifieer dit in jouw Data Policy) aan dat alleen de persoon­lijke gegevens die nodig zijn om de functie van de appli­catie uit te voeren, door deze app zal worden verzameld over jouw gebrui­kers of orga­ni­satie. Zorg dat er beper­kingen zijn op het verza­melen van “speciale” data zoals ras, etni­ci­teit, politieke over­tui­ging, religie enzovoort.

 

  1. Laat geen Cloud­ap­pli­ca­ties toe die persoon­lijke gegevens gebruiken voor andere doeleinden.

Zorg ervoor dat je via jouw gege­vens­ver­wer­kings­over­een­komst en in jouw appli­catie zorg­vuldig contro­leert dat de apps duidelijk vermelden dat je als klant de eigenaar bent van de gegevens en dat de Cloud Provider de gegevens niet zal delen met derden.

 

  1. Zorg ervoor dat je de gegevens kan wissen wanneer je de appli­catie niet meer gebruikt.

Zorg ervoor dat de voor­waarden duidelijk zijn dat je jouw gegevens direct kan down­lo­aden en dat de app jouw gegevens zal wissen zodra je de Cloud­dien­sten hebt beëindigd. Indien mogelijk, kijk dan ook na hoe lang ervoor nodig is voor de Cloud Provider om dit te doen. Beter onmid­del­lijk (in minder dan een week), omdat het langdurig bewaren van de gegevens een hoger risico op bloot­stel­ling zal hebben.

Nog een laatste tip om mee te geven

Als je een aantal van deze stappen hierboven uitvoert dankzij jouw Data Policy, zorg er dan ook voor dat je ten alle tijden actie kunt onder­nemen wanneer jouw gebrui­kers lokaal of op afstand zijn, op een laptop of mobiel apparaat of op hun eigen device. Afhan­ke­lijk van de Cloud-service die je kiest, liggen bepaalde verant­woor­de­lijk­heden binnen jouw eigen orga­ni­satie (als data-controller) of bij de Cloud-provider (als data-processor). Maar als gevolg van de GDPR, ben je als enige de eind­ver­ant­woor­de­lijke voor de data. Dus hou hier zeker rekening mee.

Pin It on Pinterest

Share This