Duidelijkheid over cloud en privacy

Het College Bescherming Persoonsgegevens (CBP) heeft op verzoek van SURF een zienswijze uitgebracht ten aanzien van cloud computing en bescherming van persoonsgegevens. Deze zienswijze geeft onderwijs-instellingen de nodige handvatten bij het afnemen van clouddiensten, geleverd door Amerikaanse bedrijven, en benadrukt onder andere de verantwoordelijkheid die een instelling heeft bij de verwerking van persoonsgegevens in de cloud.

Safe Harbor De Europese Commissie heeft bepaald dat de door Amerikaanse cloudaanbieders gehanteerde Safe Harbor Principles (Veilige Haven Beginselen) een ‘passend beschermingsniveau’ bieden wanneer er sprake is van doorvoer van gegevens. Dit garandeert echter niet dat de daadwerkelijke opslag en verwerking van die persoonsgegevens in de VS ook voldoet aan alle eisen van de Nederlandse privacywetgeving. Het CBP stelt dat voor naleving van de wet de Nederlandse afnemer van clouddiensten verantwoordelijk blijft. Deze zal zich bij het afsluiten van clouddiensten moeten vergewissen dat de toepasselijke wettelijke regels zijn afgedekt.

Gezamenlijk optrekken 
De zienswijze bevestigt voor SURF dat de door het Nederlandse hoger onderwijs gekozenroute de juiste is. Door gezamenlijk op te trekken in SURF-verband kunnen instellingen eigen aanvullende afspraken maken met cloudleveranciers. Deze samenwerking zorgt ervoor dat instellingen op een veilige manier clouddiensten kunnen afnemen. Tegelijkertijd biedt het leveranciers van clouddiensten de mogelijkheid om hun diensten op een verantwoorde manier aan het hoger onderwijs en onderzoek aan te bieden.

SURF realiseert zich dat de CBP-uitspraak ook betrekking heeft op andere sectoren dan het hoger onderwijs en blijft met belangenorganisaties (op nationaal en Europees niveau) samenwerken om een juiste adoptie van clouddiensten te faciliteren. (bron)

Zie ook de duiding door SURF en de CBP-zienswijze.