Afgelopen jaar hebben wij met ruim 40 overheidsinstellingen de stap richting de Microsoft cloud gemaakt. In elk traject blijken er veel vragen te zijn rondom de juridische aspecten. Vanuit een samenwerking met het IT, Data en Privacyteam van Pels Rijcken & Droogleever Fortuijn, kwamen we met passende antwoorden. Onze 6 legal lessons learned omtrent het veilig naar de cloud stappen als gemeente, delen we in dit blog.
1. Mag ik als gemeente naar de Cloud?
Of je als gemeente nu alleen de werkplek in de cloud zet of gebruik maakt van een zaaksysteem in de cloud, de kans is groot dat de data die je in de cloud opslaat persoonsgegevens bevat. Als gevolg daarvan is de Wet bescherming persoonsgegevens van toepassing. Deze wet bepaalt dat het opslaan van persoonsgegevens in de cloud is toegestaan als een bewerkersovereenkomst wordt gesloten. Hierin stelt de gemeente wettelijk vastgelegde eisen aan de cloudprovider, onder meer op het terrein van beveiliging.
Het lastige is dat de aanbieders van de clouddiensten een door de gemeente opgestelde bewerkersovereenkomst vaak niet accepteren. In plaats daarvan hanteren zij hun eigen standaardvoorwaarden. Een gemeente die toch gebruik wil maken van de clouddiensten, zal daarom moeten beoordelen of deze standaardvoorwaarden aan de wettelijke eisen voldoen.
Jeroen Naves, advocaat bij Pels Rijcken en gespecialiseerd in IT, data en privacy heeft veel overheden geadviseerd over de voorwaarden die Microsoft hanteert voor de meeste clouddiensten: “De voorwaarden van Microsoft voldoen op de meeste punten aan de eisen die de Wet bescherming persoonsgegevens stelt aan een bewerkersovereenkomst. Of een gemeente in overeenstemming handelt met het privacyrecht is echter ook afhankelijk van de manier waarop een gemeente zelf omgaat met persoonsgegevens.”
Het is dan ook belangrijk om als gemeente maatregelen te nemen. Zorg ervoor dat alleen geautoriseerde ambtenaren toegang hebben en borg dat privacy gevoelige informatie niet onrechtmatig bij externen terecht komt. Als gemeente kun je dit bijvoorbeeld doen door het inzetten van multi-factor authenticatie. Zo kun je de identiteit waarborgen door naast het wachtwoord (wat een gebruiker weet), een tweede bewijs te leveren in de vorm van een ‘token’ op de mobiele telefoon (wat een gebruiker heeft). Daarnaast kan technologie ook worden ingezet voor het versleutelen van data zodat bij verlies of diefstal van apparaten de data altijd veilig is.
2. Waar moet ik als gemeente zelf op letten?
Als gemeente bepaal je uiteindelijk zelf welke gegevens wel en welke niet in de cloud worden opgeslagen. Je zult daarom zelf steeds de afweging moeten maken of een getroffen technische beveiligingsmaatregel in verhouding staat tot de vertrouwelijkheid van de persoonsgegevens. Het is verstandig om in dit verband een beveiligingsbeleid op te stellen waarin gegevens zijn verdeeld in verschillende categorieën van vertrouwelijkheid. Een uitkomst daarvan zou bijvoorbeeld kunnen zijn dat bepaalde, zeer vertrouwelijke gegevens niet per reguliere e-mail verstuurd worden.
Een belangrijk uitgangspunt van het privacyrecht is dat niet meer werknemers toegang krijgen tot de persoonsgegevens dan noodzakelijk. Ga daarom serieus om met autorisatierechten. Ook hier kun je als gemeente zelf voor zorgen. De basis is wel dat je je identity-beleid écht goed op orde hebt. Het advies is met één identiteit veilig toegang te verlenen tot applicaties, bij voorkeur risk-based toegang (maak bijvoorbeeld een zaaksysteem alleen vanaf het interne netwerk toegankelijk en e-mail vanaf het internet maar voorzie dit van multi-factor authenticatie). Belangrijk is om toegang tot identiteiten real-time te monitoren op ongeoorloofde toegang tot de systemen, zodat direct actie genomen kan worden. Tevens is audit logging van belang om achteraf in te zien wat externe maar ook interne gebruikers en beheerders gewijzigd hebben in de systemen. De meeste datalekken vinden namelijk plaats via een interne medewerker of partner die directe toegang heeft tot de systemen.
3. Hoe zit het met de locatie waar gegevens worden opgeslagen?
Op grond van de Wet bescherming persoonsgegevens mogen persoonsgegevens in beginsel alleen worden opgeslagen buiten de Europese Unie indien het land buiten de Europese Unie “een passend beschermingsniveau waarborgt”. Of een land dit waarborgt hoef je als gemeente niet zelf te bepalen. De Europese Commissie heeft een lijst met landen gepubliceerd met een dergelijk beschermingsniveau.
De Verenigde Staten staan niet op deze lijst. Met de Verenigde Staten is echter de afspraak gemaakt dat als een Amerikaans bedrijf zich committeert aan het EU/VS Privacy Shield, het opslaan van persoonsgegevens in de Verenigde Staten alsnog is toegestaan.
Daarnaast biedt de Wet bescherming persoonsgegevens ook de mogelijkheid om persoonsgegevens op te slaan in een land dat geen “passend beschermingsniveau waarborgt”, indien de gegevens zijn opgeslagen bij een bedrijf dat een zogenaamde modelovereenkomst heeft getekend. Dit is een door de Europese Commissie opgestelde overeenkomst.
Het privacyrecht biedt dus best veel mogelijkheden om persoonsgegevens op te slaan op locaties buiten de Europese Unie. Als gemeente moet je echter zelf de afweging maken of je dit ook wenselijk acht.
4. Zijn er nog andere wetten waar ik als gemeente rekening mee moet houden?
Er zijn veel wetten en regelingen die voorwaarden stellen aan de manier waarop gemeenten gegevens mogen opslaan en verwerken, zoals de Archiefwet, de Wet Basisregistratie Personen en de Wet Hergebruik Overheidsinformatie. Welke wetten en regelingen van toepassing zijn, is afhankelijk van de gegevens die in de cloud worden opgeslagen.
5. Hoe zit het met Big Data?
Veel gemeenten die over zijn naar de cloud, willen hun data plaatsen in een datalake. Zo kunnen zij met tools analyses loslaten op hun data. Of dat vanuit privacyrechtelijk oogpunt is toegestaan, is afhankelijk van de data en het doel. Bepaalde gegevens die een gemeente heeft in het kader van een uitvoering van een specifiek doel, mogen niet zomaar gebruikt worden voor een heel ander doel. Houd bij de inrichting van een datalake hier rekening mee. Dit kan bijvoorbeeld door persoonsgegevens zoveel als mogelijk te anonimiseren en goed na te denken over wie wanneer toegang heeft tot een datalake.
6. Voldoet Microsoft aan de algemene verordening gegevensbescherming?
Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. De AVG gaat de Wet bescherming persoonsgegevens vervangen. De eisen die de AVG stelt aan bewerkersovereenkomsten zijn anders dan de eisen uit de Wet bescherming persoonsgegevens. Als gemeente moet je daarom jouw bewerkersovereenkomsten aanpassen.
Veel gemeenten die InSpark naar de cloud begeleidt, maken gebruik van Microsofttechnologie. Ook voor Microsoft geldt dat zij haar voorwaarden moet aanpassen om te voldoen aan de AVG. Microsoft heeft deze maand aangekondigd dat zij als eerste cloudprovider volledig in overeenstemming zal handelen met de AVG. Een goed streven om onder meer gemeenten volledig te ondersteunen om veilig de stap richting de cloud te zetten. Wat dit praktisch betekent, weten we op dit moment nog niet. Zodra hier meer over bekend is, delen wij deze informatie in een nieuw blog.