Sundial: Fault-tolerant Clock Synchronization for Datacenters
OVH EN DE BESCHERMING VAN PERSOONLIJKE GEGEVENS · van zijn datacenters. Met uitzondering van onze...
8
OVH EN DE BESCHERMING VAN PERSOONLIJKE GEGEVENS
Transcript of OVH EN DE BESCHERMING VAN PERSOONLIJKE GEGEVENS · van zijn datacenters. Met uitzondering van onze...
OVH EN DE BESCHERMING VAN PERSOONLIJKE
GEGEVENS
OVH, opgericht in 1999, is tegenwoordig een van de toonaangevende providers in de cloudindustrie, met een aanwezigheid in 18 landen over de hele wereld. We hebben meer dan 1 miljoen klanten en we nemen hun klantervaring en de bescherming van hun persoonlijke gegevens zeer serieus.
Wanneer u ervoor kiest om uw data geheel of gedeeltelijk te laten hosten bij OVH, vertrouwt u ons ook enkele van uw meest gevoelige gegevens toe. We zijn ons zeer bewust van de uitdagingen die deze outsourcing kan opleveren voor uw organisatie, vooral als het gaat om de naleving van het privacybeleid. Daarom bieden we u zoveel mogelijk informatie over de uitdagingen op het gebied van de bescherming van persoonsgegevens.
W W W. O V H. C O M
H E T B E L A N G VA N H E T ZO R G V U L D I G K I E Z E N VA N U W C LO U D P R O V I D E R
1
O V H E N Z I J N V E R P L I C H T I N G E N A L S V E R W E R K E R VA N P E R S O O N S G E G E V E N S
2
O V H STA AT G A R A N T V O O R V E I L I G H E I D3
3
4
7
1 Artikel 28 (EU) van het Europees Parlement en de Raad van 2016/679 27 april betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens: http://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32016R0679
2 CNIL, aanbevelingen voor bedrijven die van plan zijn om gebruik te maken van cloud computing-services: https://www.cnil.fr/sites/default/files/typo/document/Recommendations_for_companies_planning_to_use_Cloud_computing_services.pdf
1.2. Criteria voor economische intelligentie
OVH is een pure player met één unieke focus: IT-infrastructuren, met name op basis van cloud. Daarom concurreren we niet rechtstreeks met onze klanten, hetzij via andere eenheden of filialen, of het nu gaat om online verkoop of als software-uitgevers. We vinden het zelfs verontrustend als een bedrijf onvrijwillig een concurrent co-financiert via zijn cloudprovider omdat deze zijn activiteiten diversifieert.
H E T B E L A N G VA N H E T ZO R G V U L D I G K I E Z E N VA N U W C LO U D P R O V I D E R
1.1. Criteria van conformiteit
Wanneer u een cloudprovider kiest, moet uw beslissing niet alleen op technische uitdagin-gen zijn gebaseerd. Strengere regelgeving zal binnenkort worden afgedwongen door de Al-gemene Verordening Gegevensbescherming (AVG, of in het Engels: GDPR — General Data Protection Regulation) van de EU 2016/679, en er is een toenemende publieke bewustwording van de ethische en economische uitdagingen van de locaties waar bedrijven hun gegevens opslaan. Als reactie hierop passen cloudspelers zich dienovereenkomstig aan en kijken ze verder dan enkel technologische capaciteit. In die zin le-vert OVH hoogwaardige en veilige diensten, en bovendien garandeert het dat het voldoet aan de regelgeving en dat zijn manier van werken transparant blijft voor klanten.
Deze factoren zijn cruciaal voor organisaties die hun gegevens willen hosten bij een externe pro-vider, omdat hun compliance volledig afhankelijk is van de naleving door de processor. Vanwege onze toewijding aan compliance, kunt u er zeker van zijn dat u voldoet aan uw eigen wettelijke verplichtingen. Deze eis is vastgelegd in artikel 28 van de AVG, waarin staat dat een beheerder alleen kan samenwerken met verwerkers (pro-cessors) die voldoende garanties bieden om de
passende technische en organisatorische maat-regelen uit te voeren om ervoor te zorgen dat de verwerking voldoet aan de vereisten van deze verordening1. — (“Wanneer een verwerking na-mens een verwerkingsverantwoordelijke wordt verricht, doet de verwerkingsverantwoorde-lijke uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en orga-nisatorische maatregelen bieden opdat de ver-werking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.”)
CNIL is als nationale gegevensbeschermings-autoriteit in Frankrijk verantwoordelijk voor het naleven van de bepalingen inzake gegevensbe-scherming. Het adviseert bedrijven die op zoek zijn naar een cloud computing-service eerst een risicoanalyse uit te voeren en de beslissing voor een specifieke leverancier zorgvuldig te over-wegen. Bovenal moet het bedrijf aandacht be-steden aan de garanties van de provider voor de bescherming van persoonlijke gegevens en er-voor zorgen dat deze voldoen aan alle noodza-kelijke vereisten, zodat het zijn eigen wettelijke verplichtingen kan nakomen2.
1
3
O V H E N Z I J N V E R P L I C H T I N G E N A L S V E R W E R K E R VA N P E R S O O N S G E G E V E N S
OVH wordt geclassificeerd als een ‘verwerker’ (of ‘processor’) wanneer het persoonsgegevens verwerkt namens een controller. Dit is meestal het geval wanneer u persoonlijke informatie opslaat op onze infrastructuur.
Verbintenis nr. 1: We gebruiken de gegevens die worden gehost op onze diensten niet voor eigen
doeleindenOVH verwerkt de persoonlijke gegevens van zijn klanten uitsluitend met het oog op het vervullen van zijn diensten en verwerkt alleen persoonsgegevens volgens de instructies van de klant.
De klant blijft de enige eigenaar van de gegevens die door hem zijn opgeslagen als onderdeel van de OVH-diensten.
Elke doorverkoop van de bovengenoemde gegevens, evenals elk gebruik van de gegevens voor commerciële doeleinden (bijvoorbeeld profileringsactiviteit of direct marketing) is ten strengste verboden.
Verbintenis nr. 2: We bieden data-omkeerbaarheid
“Als u ons uw data toevertrouwt, zult u het zonder problemen kunnen terughalen.”
Omkeerbaarheid van gegevens/dataportabiliteit, d.w.z. de mogelijkheid om uw ei-gen gegevens te migreren of het terug te krijgen in een standaardformaat — wordt niet bij alle cloudoplossingen op de markt aangeboden. Bovendien kan het proces worden belemmerd door technische obstakels, zoals het vendor lock-in-beleid. De cloud is een belangrijk onderwerp voor bedrijven geworden. Te belangrijk om risico‘s te nemen of zich levenslang aan een provider vast te leggen. Door een open cloud te verdedigen, kunnen we dominante spelers ervan weerhouden de regels vast te stellen, alleen omdat ze een deel van de markt beheersen.
Om dit tegen te gaan, hebben we onze cloudoplossingen gebaseerd op techno-logische standaarden, waaronder een aantal open-source technologieën. Op deze manier kunt u uw gegevens gemakkelijk herstellen en migreren — uw gegevens zijn altijd omkeerbaar en interoperabel.
2
4
Verbintenis nr. 4: We garanderen volledige transparantie wat betreft gebruik van
dochterondernemingenOVH beheert de gehele hostingketen, van de bouw van zijn servers tot het beheer van zijn datacenters. Met uitzondering van onze dochterondernemingen, en ten-zij vermeld onder specifieke bepalingen binnen de speciale voorwaarden van een dienst, zal geen enkel ander bedrijf de gegevens van onze klanten kunnen bekijken of raadplegen.
Er is een lijst met OVH-partners beschikbaar op de OVH-website, maar u kunt ook contact opnemen met ons support-team. Dit zijn in principe simpelweg internatio-nale afdelingen van de OVH Group: OVH Duitsland, OVH Spanje, enz.
Om de gegevens van onze klanten optimaal te beschermen, beschouwen wij OVH US niet als een dochteronderneming van OVH. Onze Amerikaanse eenheid is daar-om strikt gescheiden van onze Europese dochterondernemingen. Als een nieuwe dochteronderneming aan de lijst wordt toegevoegd, zullen we onze klanten ten min-ste 30 dagen van tevoren informeren.
Tot slot, als OVH ooit zijn activiteit moet uitbesteden en het gaat om het bekijken of gebruiken van gegevens, zal deze bewerking alleen worden uitgevoerd met instem-ming van de klant.
Verbintenis nr. 3: U weet altijd precies waar uw gegevens worden opgeslagen en verwerkt
Wanneer u een dienst selecteert waarmee u uw inhoud en persoonlijke gegevens kunt opslaan, worden datacenters en geografische regio’s altijd vermeld op onze website. En als er meerdere locaties of geografische regio’s beschikbaar zijn, kunt u ook een locatie kiezen tijdens het plaatsen van uw bestelling.
Echter, ‘dataopslag’ is geen synoniem voor ‘dataverwerking’. De AVG stelt regels in voor ‘verwerking’, niet alleen voor ‘opslag’. Daarom is het goed om extra voorzichtig te zijn wanneer u deze twee begrippen toepast.
Als u een locatie binnen de Europese Unie selecteert, garandeert OVH dat deze gegevens niet worden overgedragen buiten de Europese Unie of buiten andere lan-den waarvan het niveau van bescherming van persoonsgegevens (evenals privacy, fundamentele rechten, fundamentele vrijheden en privacy), en het uitoefenen van dergelijke rechten [adequaatheidsbesluit]) door de Europese Commissie als geschikt is erkend. We verbinden ons er ook toe nooit uw gegevens over te dragen aan de Verenigde Staten.
5
Verbintenis nr. 6: We verstrekken uitgebreide documentatie over onze diensten
Het is van essentieel belang dat uw cloudprovider ook de juiste garanties biedt, ge-zien de kritische aard van uw gegevens. Dit is een van de criteria waarmee u ervoor kunt zorgen dat u voldoet aan de voorschriften voor de bescherming van persoons-gegevens.
Om hier een goed besluit over te nemen en uw beslissing aan toezichthoudende au-toriteiten te rechtvaardigen, moet u beschikken over uitgebreide documentatie over alle diensten die door uw verwerkers worden aangeboden. Dit is de reden waarom OVH u alle benodigde documentatie zal verstrekken, inclusief een beschrijving van de veiligheidsmaatregelen die zijn getroffen voor uw diensten, een attest van de locatie waar uw gegevens zijn opgeslagen, enz.
Verbintenis nr. 7: We bieden u een contractuele garantie voor onze verplichtingen
OVH-verbintenissen zijn niet alleen idealistische beloftes: ze zijn contractueel geïn-tegreerd in onze Data Processing Agreement (DPA). Dit document wordt verstrekt als bijlage bij onze contracten. Het is op aanvraag beschikbaar voor al onze klanten.
Verbintenis nr. 5: We brengen u op de hoogte als uw dataprivacy wordt geschonden
OVH handhaaft strikte veiligheidsmaatregelen. We anticiperen ook op alle scena-rio’s, inclusief datalekken.
Als we ooit een gegevensinbreuk ervaren, zorgen we ervoor dat de betrokken klan-ten zo snel mogelijk worden geïnformeerd. Het bericht bevat de aard van het inci-dent, voorzienbare gevolgen en de maatregelen die zijn genomen om de overtreding op te lossen of te beperken.
6
O V H STA AT G A R A N T V O O R V E I L I G H E I D
Bij OVH nemen we alle voorzorgsmaatregelen om ervoor te zorgen dat de persoonlijke gegevens die we verwerken veilig en vertrouwelijk blijven. Meer specifiek: onze doelstelling is er om te voorkomen dat uw data wordt beschadigd of wordt gebruikt door onbevoegde derden.
3.1. Uitsplitsing van de vereiste beveiligingsmaatregelen
Het is belangrijk om het verschil aan te geven tussen de beveiliging van de gegevens die door de klant worden gehost en de beveiliging van de infrastructuren waarop deze gegevens zijn opgeslagen.
• Beveiliging van de gehoste gegevens: de klant is als enige verantwoordelijk voor het be-veiligen van de bronnen en applicatiesystemen die zij gebruiken als onderdeel van onze dien-sten. OVH biedt zijn klanten tools waarmee ze hun gegevens kunnen beveiligen.
• Infrastructuurbeveiliging: OVH zorgt ervoor dat zijn infrastructuren optimaal beveiligd zijn. We hebben een beveiligingsbeleid voor infor-matiesystemen geïmplementeerd en voldoen aan de vereisten voor verschillende normen en certificeringen: PCI DSS, ISO/IEC 27001-certi-ficering, SOC 1 type 2 en SOC 2 type 2-attes-ten, enz. We hebben ook een accreditatie voor het hosten van gezondheidszorgdata (HDS) als onderdeel van onze Healthcare-oplossing.
3.2. Beveiligingsmaatregelen gegarandeerd door OVH
De veiligheidsmaatregelen die we garande-ren, zijn afhankelijk van de diensten die u ge-bruikt. Voor elk van deze oplossingen bieden wij volledige, adequate documentatie. Dit helpt onze klanten om te beslissen of een oplossing is aangepast aan de persoonlijke gegevens die ze willen verwerken.
Voor al zijn diensten, garandeert OVH de inzet van:• Fysieke beveiligingsmaatregelen om te voorkomen dat zijn infrastructuur wordt ge-bruikt door niet-geautoriseerde personen.• Beveiligingspersoneel dat ervoor zorgt dat onze datacenters 24/7 fysiek beveiligd blijven.• Een systeem voor het beheren van machti-gingen, waardoor datacenter- en datatoegang
alleen wordt beperkt tot personeelsleden die toegang moeten hebben tot het centrum als onderdeel van hun rol en werkbereik.• Een fysiek en/of logisch isolatiesysteem (af-hankelijk van de dienst) voor klanten.• Een failsafe authenticatieproces voor ge-bruikers en beheerders, middels een streng wachtwoordbeheerbeleid en de inzet van be-paalde two-factor authenticatiemaatregelen, zoals YubiKey.• Processen en apparaten die we kunnen ge-bruiken om alle uitgevoerde acties in ons infor-matiesysteem bij te houden en om rapporten te maken voor incidenten die van invloed zijn op de gegevens van onze klanten, volgens de geldende regelgeving.
3
7
W W W. O V H. C O M
