Zienswijze CBP over cloud computing

Mededeling, 10 september 2012

Het College bescherming persoonsgegevens (CBP) heeft in een zienswijze antwoord gegeven op een drietal vragen van SURFmarket over cloud computing in relatie tot de bescherming van persoonsgegevens. De vragen zijn door het CBP in algemene zin beantwoord om daarmee een zo groot mogelijke groep van aanbieders van clouddiensten en hun afnemers duidelijkheid te bieden over de door SURFmarket opgeworpen privacykwesties rondom cloud computing. In zijn zienswijze benadrukt het CBP dat een belangrijk uitgangspunt is dat Nederlandse bedrijven of organisaties die clouddiensten afnemen bij een Amerikaanse aanbieder eindverantwoordelijk zijn voor de naleving van de Wet bescherming persoonsgegevens (Wbp). Bij het sluiten van een overeenkomst voor clouddienstverlening zal een bedrijf of organisatie zich dan ook moeten vergewissen dat de toepasselijke wettelijke regels zijn afgedekt. Zo nodig moeten zij aanvullende afspraken in de overeenkomst met de Amerikaanse aanbieder van de clouddiensten opnemen. In ieder geval geldt dat voor de beveiliging van de in de cloud verwerkte persoonsgegevens.

De zienswijze van het CBP ziet op de situatie van een in Nederland gevestigd bedrijf of organisatie die gebruik maakt van de cloud computing diensten (onder meer e-mail, agendabeheer, groepsdiscussies en relatiebeheer) van een leverancier die gevestigd is in de Verenigde Staten (VS).

Safe Harbor Principles
Doorgifte van persoonsgegevens naar de VS is mogelijk als de betreffende Amerikaanse clouddienstverlener zich heeft verplicht tot naleving van de zogeheten Safe Harbor Principles (Veilige Haven Beginselen). De Europese Commissie heeft namelijk bepaald dat in dat geval sprake is van een ‘passend beschermingsniveau’. Het CBP benadrukt in zijn zienswijze dat hierdoor doorgifte weliswaar mogelijk is, maar dat dit echter niet garandeert dat de daadwerkelijke verwerking van persoonsgegevens in de VS ook voldoet aan alle eisen van Europese inclusief Nederlandse privacywetgeving. Voor naleving van de wet blijft de Nederlandse afnemer van clouddiensten verantwoordelijk, aldus het CBP.

Europese privacytoezichthouders
Clouddienstverlening is in opkomst en staat sterk in de belangstelling, onder meer vanwege de schaalvoordelen en mogelijkheden voor innovatieve dienstverlening. In juli 2012 hebben de gezamenlijke Europese privacytoezichthouders een opinie aangenomen over privacykwesties rondom cloud computing. De zienswijze van het CBP is gebaseerd op de opinie. Hierin wordt cloud computing gedefinieerd als de verzamelnaam voor technologieën en diensten die gericht zijn op het gebruik van IT-applicaties, rekenkracht en opslag op afstand via internet.