Nederlandse bedrijven en organisaties zijn zelf eindverantwoordelijkheid voor de bescherming van persoonsgegevens op Amerikaanse cloudservers. Dat stelt het College Bescherming Persoonsgegevens (CBP).
Op verzoek van SURF
, de ICT-samenwerkingsorganisatie van het hoger onderwijs en onderzoek, bracht het CBP
een zienswijze uit de bescherming van persoonsgegevens in de cloud.
Safe Harbor
Daarmee heeft het College stelling genomen in de discussie rond het omstreden Safe Harbor-keurmerk. Het CBP stelt dat voor naleving van de wet de Nederlandse afnemer van clouddiensten verantwoordelijk blijft. Deze zal bij het afsluiten van clouddiensten moeten controleren of de toepasselijke wettelijke regels zijn afgedekt.
Privégegevens
Safe Harbor is een cruciale regeling tussen de EU en Verenigde Staten. Alleen als Amerikaanse bedrijven Safe Harbor-gecertificeerd zijn mogen zij privégegevens van Europese consumenten verwerken en opslaan. Het gaat om zeven principes, waaronder 'ondubbelzinnige toestemming' van betrokkenen, passende databeveiliging, een duidelijk omschreven handhaving en correcte klachtafhandeling.
Security
Echte veiligheid is nog geen garantie met het keurmerk, dat zou moeten worden gehandhaafd door het Amerikaanse ministerie van Handel. Er is in het verleden
structureel misbruik van gemaakt en een kritisch rapport daarover werd achtergehouden. Daarnaast heeft Amerika de mogelijkheid om via antiterreurwet Patriot Act alsnog data te vorderen.
Privacy
Daarom twijfelt SURF aan het keurmerk en kan de organisatie zich niet vinden in de mening van de Europese Commissie dat het keurmerk een 'passend beschermingsniveau' biedt. “Het garandeert niet dat de daadwerkelijke opslag en verwerking van die persoonsgegevens in de VS ook voldoet aan alle eisen van de Nederlandse privacywetgeving", zo schrijft de ICT-organisatie.
Afspraken
Daarom wilde SURF de mening van het CBP weten.SURF
vindt verder dat Nederlandse organisaties en bedrijven gezamenlijk moeten optrekken. “Door als overkoepelende organisatie in het vervolg aanvullende afspraken te maken met Amerikaanse cloudleveranciers, moet veiligheid gegarandeerd worden."