Nederlandse bedrijven en organisaties die clouddiensten afnemen in Amerika zijn zelf eindverantwoordelijk voor de bescherming van persoonsgegevens, betoogt het College Bescherming Persoonsgegevens (CBP).

Op verzoek van SURF, de ICT-samenwerkingsorganisatie van het hoger onderwijs en onderzoek, heeft het CBP een zienswijze ten aanzien van cloud computing en bescherming van persoonsgegevens uitgebracht. Deze zienswijze geeft handvatten bij het afnemen van clouddiensten, geleverd door Amerikaanse bedrijven. Tevens benadrukt de zienswijze onder andere de verantwoordelijkheid die een instelling heeft bij de verwerking van persoonsgegevens in de cloud. De hogeronderwijsinstellingen trekken binnen SURF gezamenlijk op bij het maken van afspraken met cloudleveranciers.

De Europese Commissie heeft bepaald dat de door Amerikaanse cloudaanbieders gehanteerde Safe Harbor Principles (Veilige Haven Beginselen) een ‘passend beschermingsniveau’ bieden wanneer er sprake is van doorvoer van gegevens. Dit garandeert echter niet dat de daadwerkelijke opslag en verwerking van die persoonsgegevens in de VS ook voldoet aan alle eisen van de Nederlandse privacywetgeving. Het CBP stelt dat voor naleving van de wet de Nederlandse afnemer van clouddiensten verantwoordelijk blijft. Deze zal bij het afsluiten van clouddiensten moeten controleren of de toepasselijke wettelijke regels zijn afgedekt.

De zienswijze bevestigt voor SURF dat de door het Nederlandse hoger onderwijs gekozen route de juiste is. Door gezamenlijk op te trekken in SURF-verband kunnen instellingen eigen aanvullende afspraken maken met cloudleveranciers. Deze samenwerking zorgt ervoor dat instellingen op een veilige manier clouddiensten kunnen afnemen. Tegelijkertijd biedt het leveranciers van clouddiensten de mogelijkheid hun diensten op een verantwoorde manier aan het hoger onderwijs en onderzoek aan te bieden.

Link: Zienswijze CPB (pdf)