Bij outsourcing van data lopen bedrijven en organisaties een erg hoog risico, en dit komt niet alleen door cybercriminaliteit. Wanneer data extern bewaard en beveiligd wordt heb je geen oog op de manier waarop ermee om wordt gegaan.

Het Zweedse transportagentschap STA (Swedish Transport Agency) draagt bijvoorbeeld de verantwoordelijkheid voor een enorm datalek bij de outsourcing van gegevens van miljoenen Zweedse burgers. De overheidsinstantie dacht hun databases veilig in de Cloud van IBM en NCR in Tsjechië en Servië te kunnen bewaren, terwijl dit allerminst het geval bleek te zijn: werknemers zonder veiligheidsvoorschriften konden moeiteloos bij de informatie komen.

Gelekte databases

De gelekte databases stonden vol met burgerrijbewijzen en voertuiggegevens, maar ook met foto’s, namen en adressen van defensiemedewerkers, veroordeelde criminelen en beschermde getuigen. Dat schrijft Rick Falkvinge voor Privacy News Online. Hij is de Zweedse oprichter van de eerste piratenpartij. Volgens hem waren de specificaties van Zweedse militaire voertuigen ook inzichtelijk voor derde partijen, maar de ware omvang van de datalek is nog niet helemaal bekend. De datalek kwam aan het licht toen de verantwoordelijke directrice Maria Ågren in januari dit jaar onverwachts werd ontslagen.

Beveiliging bij outsourcing

Deze datalek onderstreept het belang van Cloud Security én duidelijkere afspraken tussen samenwerkende bedrijven en organisaties. Dit privacybeleid wordt sinds de invoering van de Meldplicht Datalekken in een bewerkersovereenkomst uitgebreider vastgelegd. Daarvoor werd het in de Wet bepaling persoonsgegevens (Wbp) met één alinea geregeld:

“De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.”

Nieuwe verplichtingen voor verwerkers

Onder de Algemene Verordening Gegevensbescherming (AVG) worden er nieuwe verplichtingen aan verwerkers van data gesteld. Cloudleveranciers worden hierin bijvoorbeeld ook direct wettelijk aansprakelijk gesteld voor datalekken. Tot die tijd rust de verantwoordelijkheid hoofdzakelijk op de schouders van het bedrijf of organisatie dat gebruik maakt van externe cloudservices. Wat zijn nog meer nieuwe verplichtingen van verwerkers onder de AVG?

  • Samenwerken met toezichthouders
  • Het uitvoeren van periodieke beveiligingstests
  • Een register bijhouden van de manier waarop data verwerkt is
  • Aan de eisen voldoen bij het doorspelen van data aan landen buiten de Europese Unie
  • Het benoemen van een Functionaris voor Gegevensbescherming (FG) wanneer het bijvoorbeeld om grootschalige gegevensverwerking en persoonsgevoelige informatie gaat

10 nieuwe eisen

Om aan deze nieuwe verplichtingen én andere criteria van de AVG te voldoen, moeten er verschillende kwesties worden vastgelegd in een bewerkersovereenkomst.

  1. De schriftelijke instructies van de verantwoordelijke
  2. Het benoemen van de categorieën van betrokkenen (de personen wiens data worden verwerkt)
  3. Welke gegevensverwerking er plaatsvindt en met welk doel
  4. Een verklaring dat verwerkers vertrouwelijkheid in acht nemen
  5. Toestemming van de verantwoordelijke dat de verwerker een subverwerker in mag schakelen, zoals een hosting provider
  6. Verantwoordelijkheidsverklaring van de verwerker voor de technische en organisatorische beveiligingsmaatregelen die op de risico’s afgestemd zijn
  7. Hoe de verwerker de verantwoordelijke assisteert bij het vervullen van de plicht naar de betrokkenen toe, zoals het verwijderen en wijzigen van data
  8. Dat de verwerker assistentie verleent bij het vervullen van andere verplichtingen zoals het melden van datalekken aan en het uitvoeren van risicoanalyses
  9. De verplichting dat de data gewist wordt na afloop van de bewerkersovereenkomst
  10. De toezegging van de verwerker om mee te werken bij controles van de verantwoordelijke