1

Gustav Mahlerplein 21082 MA AmsterdamPostbus 755101070 AM AmsterdamThe Netherlands

T +31 20 795 39 53www.boekel.com

Sil Kingma2 november 2011

Gegevensbescherming & IT

36-38 Cornhill6th FloorLondon EC3V 3NDUnited Kingdom

T +44 207 337 25 00www.boekel.com

2

1. Belang gegevensbescherming

2. Huidige mogelijkheden gegevensbescherming

3. Gegevensbescherming in de Cloud

- Wat is de Cloud

- Voor en nadelen

- Aandachtspunten

4. Conclusie

Onderwerpen

Agenda

3

Actueelonderwerp

4

Hierbij deel ik u mede dat bij vonnis van de Rechtbank

Haarlem van 20 september 2011 de besloten vennootschap

DigiNotar B.V. failliet is verklaard, met aanstelling van

ondergetekende tot curator. Het faillissement heeft tot gevolg

dat de activiteiten van DigiNotar binnenkort zullen eindigen.

Hoogachtend, Mr. R. Mulder, curator

Uitspraak

DigiNotar

5

• Preventieve maatregelen

- Technische bescherming

• Repressieve maatregelen

- Strafrechtelijke wettelijk bescherming

• Positieve (pro-actieve) maatregelen

- Contractuele bescherming

3 manieren

Beveiliging netwerkomgeving

6

Strafbaar is :

• Opzettelijk en wederrechtelijk binnendringen in

computersystemen (computervredebreuk)

• Het vernielen van gegevens,

verstikkingsaanvallen en andere vormen van

cybercrime

De WetComputer-criminaliteit

Ad 2. Wettelijke bescherming

7

Wat geldt tussen de leverancier en de afnemer van

een ICT services is in veel gevallen contractueel bepaalt

voor wat betreft:

• De beveiligingsverplichtingen leverancier

• De consequenties van niet nakoming

Onderlingeafspraken

Ad 3. Contractuele

bescherming

8

Cloud ComputingA NEW KID IN TOWN

9

1. Geen eenduidige wettelijke definitie

2. Kent verschillende verschijningsvormen

Mistig begrip

Wat is Cloud Computing?

10

• ”een vorm van computergebruik waarbij schaalbare en flexibele IT-

faciliteiten als dienst worden aangeboden aan grote aantallen klanten

die internettechnologie gebruiken” (Artikel 29 Werkgroep)

• “Een model dat het mogelijk maakt om door middel van een

computernetwerk gedeelde configureerbare computermiddelen (zoals

netwerken, servers, opslag, applicaties, en diensten) op aanvraag

beschikbaar te stellen op een snelle, gemakkelijke en

alomtegenwoordige manier met minimale beheermoeite of interactie

van een service provider” (Wikipedia 2011)

Pogingen

Definities

11

• Software as a Service ( SaaS )

- Denk aan diensten als Hotmail, Facebook,

Google docs

• Platform as a Service ( PaaS )

- Amazon AWS, Google Aps

• Infrastructure as a Service ( IaaS )

3 vormen

Verschijningsvormen

12

• Kostenbesparing

• Eenvoudiger beheer van software en data

• Schaalbaarheid (mate waarin het systeem is

voorbereid op een toename van intensiever of

breder gebruik ) en flexibiliteit

Voordelen

Voordelen & nadelen

13

• Afhankelijkheid CSP ( de zogeheten Vendor lock-in)

• Privacy-problematiek

Nadelen

Voordelen & nadelen

14

Dus niet doen?

15

Door helder te krijgen:

• Welke gegevens zich in de cloud gaan begeven

• Waar deze gegevens terecht komen

• Welk recht daar van toepassing is

• Welke bevoegdheden de lokale overheid heeft

• Risico op datalekken

PraktischeOplossingen

Afhankelijkheid inperken

16

Contractueel vastleggen van de:

• verplichtingen van de CSP

• alsmede de rechten van de afnemer Cloud

dienst

JuridischeOplossingen

Afhankelijkheid inperken

17

• Aansprakelijkheid en vrijwaring

• Kwaliteit en continuïteit

• Onafhankelijkheid

• Regionalisatie of lokalisatie

• Beveiliging van de gegevens

Onderwerpen

Contractueel regelen

18

• Leveranciersovereenkomsten eenzijdig

- Uitsluiting indirecte schade

- beperking directe schade

- korte verjaringstermijnen

• Toepasselijk recht en jurisdictie

- praktisch probleem bij evaluatie rechten

- praktisch probleem bij afdwingbaarheid van

rechten

Schade

Aansprakelijkheid

19

• Service Level Agreement (SLA)

• Schaalbaarheid/Flexibiliteit

• Faillissement dienstverlener

3 aandachtpunten

Kwaliteit en continuïteit

20

• Cloud Computing = controleverlies

- Data is een waardevol bestanddeel van een

onderneming

- Beschikbaarheid van data is essentieel

• Einde overeenkomst

- Beschikbaarheid data in herbruikbare vorm

- Contractuele retransitiemaatregelen zijn essentieel

- Escrow

Van belang

Onafhankelijkheid

21

• Wettelijke plicht om gegevens te beveiligen en het

beveiligingsniveau te controleren

- Code Tabaksblat

- Sarbanes Oxley Act

- Wet bescherming perssongegevens

• Audit

• Certificatie en kwaliteitsgaranties CSP

-

Van gegevens

Beveiligingsniveau

22

• EU richtlijn 1995/46/EG

• Wet bescherming persoonsgegevens

Wettelijkeverplichtingen

Verwerking van

persoonsgegevens

23

• Bekendheid met locatie persoonsgegevens

regionalisatie/lokalisatie

• Technische en organisatorische

beschermingsmaatregelen (art 13 Wbp)

• Maximale bewaartermijnen

• Uitvoering controle- en correctierechten betrokkenen

Opletten

Verplichtingen Wbp

24

• Begrippen

• Belang onderscheid

• Beperking bij doorgifte van persoonsgegevens aan

derde landen

• Beveiligingsplicht

Belangrijksteaandachts-punten

Verwerking van

persoonsgegevens

25

• Verantwoordelijke bepaalt het doel en de

middelen van de verwerking (afnemer cloud

diensten)

• Bewerker (data processor) verwerkt gegevens ten

behoeve van de Verantwoordelijke (CSP)

• Betrokkene De natuurlijke persoon wier gegevens

verwerkt worden

Wbp

Begrippen

26

• Toewijzing verantwoordelijkheid

• Bepaling toepasselijk recht

• Sterke beveiligingsplicht (verplicht contractueel door

te schuiven bij uitbesteding aan een bewerker)

Geldt Wbp?

Belang onderscheid

27

• Doorgifte aan landen buiten de EU; dit is niet toegestaan,

tenzij een adequaat beschermingsniveau wordt geboden

• Lijst Europese Commissie (beperkt aantal landen)

• “Safe Harbor”gecertificeerde ondernemingen (VS)

• Binding corporate rules

• Toestemming betrokkene

• Noodzakelijk voor de uitvoering van een overeenkomst

Wbp

Uitzonderingen

Doorgifte persoonsgegevens

28

• Verplichting tot vertrouwelijkheid en doelgebonden gebruik

• Verplichting tot adequaat beveiligen (technisch &

organisatorisch)

• Cloud: hogere risico’s omwille van zakenmodel in

principe een zwaardere beveiligingsplicht bij bewerker

Volgens Wbp

Beveiligingsplicht

29

• Regel de locatie waar de data wordt vastgelegd

• Regel de beveiligingsverplichtingen en controle

mogelijkheden (compliance verplichtingen)

• Vermijd voorlopig de opslag van gevoelige gegevens in de

Cloud

• Zorg voor een goed contract!

Belangrijk

Conclusie

30

Vragen?

Mail: sil.kingma@boekel.com

http://nl.linkedin.com/in/silkingma

Tel: +31207953310