Privacy in de cloud-praktijk

Martin RomijnPrivacy & Security Officertevens functionaris voor de gegevensbescherming

2Seminar Cloud Computing SURF 16 juni 2011

Thema’s

n Cloud computingn Scopebepalingn Praktische invullingn Bewerkersovereenkomst in de Wbpn Controlemogelijkhedenn Safe Harbor certificering

3Seminar Cloud Computing SURF 16 juni 2011

Cloud Computing

n “Een manier om computerkracht te leveren waarbij schaalbare en flexibele ICT-capaciteiten als een dienst beschikbaar worden gesteld aan verscheidene externe klanten op basis van internettechnologie” (Gartner)

n Leveringsmodellen: IaaS, PaaS, SaaSn Afname: individueel/collectief, private/public

Scopebepaling

Alleen vanuit rol toezichthouder naleving Wbp: (functionaris voor de gegevensbescherming)

t.o.v. de eisen in SURF rapport par. 3.2:n Beschikbaarheidn Integriteit (volledigheid, juistheid, tijdigheid)n Vertrouwelijkheidn Onweerlegbaarheidn Bedienbaarheid

(http://www.surfnet.nl/Documents/Cloud%20Security%20v1.0.pdf)

4Seminar Cloud Computing SURF 16 juni 2011

Praktische invulling Wbp

n Dienstverlening vindt plaats op basis van een formeel contract

n Er wordt een bewerkersovereenkomst afgesloten (Wbp verplichting indien uitbesteed aan derde)

n Verantwoordelijkheden zijn duidelijk belegd: wie informeert wie bij storingen, wie lost welke storingen op, wie bewaakt het SLA

n Er is voldoende zekerheid over de kwaliteit van beveiliging door de leverancier

n De gegevens worden opgeslagen binnen de Europese Unie

5Seminar Cloud Computing SURF 16 juni 2011

Bewerkersovereenkomst

n De bewerker is “degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.”

n Een overeenkomst (ook contract en convenant) is een afspraak tussen minimaal twee natuurlijke personen of rechtspersonen (de partijen) over wat ze met elkaar of voor elkaar zullen gaan doen (de te leveren prestatie) of laten.

6Seminar Cloud Computing SURF 16 juni 2011

Inhoud overeenkomst

1. Ingangsdatum en duur

2. Opdracht met heel concreet het doel

3. Naleving wet- en regelgeving

4. Geheimhoudingsplicht

5. Beveiligingsmaatregelen

6. Controlerecht (zelf doen of laten controleren)

7. Inschakeling derden

8. Wijziging overeenkomst

9. Toepasselijk recht: Nederlands recht

7Seminar Cloud Computing SURF 16 juni 2011

5. Passend beveiligingsniveau

“De bewerker zal passende technische en organisatorische maatregelen nemen om de persoonsgegevens welke worden verwerkt ten dienste van de verantwoordelijke te beveiligen tegen verlies of tegen enige onrechtmatige vorm van verwerking.”

Verdeeld in:n Technische maatregelenn Organisatorische maatregelen

8Seminar Cloud Computing SURF 16 juni 2011

9Seminar Cloud Computing SURF 16 juni 2011

Controlemogelijkheden

n Paragraaf 4.3 SURF checklist (http://www.surfnet.nl/Documents/Cloud%20Security%20v1.0.pdf)n ISO/IEC 27001 en SAS 706n ISAE3402 n PCI-eisen (betaalkaartindustrie VS) op

http://www.pcicomplianceguide.org/pci-basics.php

n Zelf controleren of vertrouwen op verklaringen

Safe Harbor certificaat

Bedrijven met Safe Harbor certificaat op witte lijst van Europese Unie.

Risico’s:n Veel opvraagmogelijkheden op basis van de

USA PATRIOT-act (Providing Appropriate Tools Required to Intercept and Obstruct Terrorism)

n Fraude door ontbreken van controle en toezicht op gebruik

10Seminar Cloud Computing SURF 16 juni 2011