Cloud Provider GDPR

Een belangrijk en complex aspect van GDPR is dat je niet alleen moet zorgen dat je zelf compliant bent, maar dat ook oplossingen en diensten die je gebruikt voor dataverwerking dat zijn. De eindverantwoordelijkheid wat betreft compliance ligt op dat vlak bij jou. Niet evident in een tijd waar heel wat van onze data zich in de cloud bevindt.

Welk bedrijf kan vandaag nog zeggen dat het niets in de cloud heeft staan of geen cloudtoepassingen gebruikt? Denk maar aan oplossingen als Microsoft Office 365, Salesforce, SuccessFactors, Dropbox, Evernote, WeTransfer, enz. Heel wat van die toepassingen worden vaak bovendien oogluikend of zelfs zonder medeweten van IT gebruikt. De vraag is dus: kan je wel helemaal GDPR-compliant zijn met zoveel tools – waarvan je van sommige niet eens weet dat ze gebruikt worden – in de cloud?

Wij hebben alvast een aantal vereisten opgelijst om toch met cloud providers te kunnen blijven werken.

  1. Weet waar je cloud provider je data verwerkt en bewaart

De eerste vereiste is meteen een hele belangrijke. Je moet weten waar je cloud provider je data verwerkt en bewaart en welke wetgeving er op van toepassing is. Op elk moment. Want de kans is reëel – zeker bij grotere toepassingen – dat je data al eens tussen datacenters kan reizen.

  1. Weet hoe je cloud provider je data beveiligt

Je moet weten welke cloudtoepassingen voldoen aan jouw privacy- en veiligheidseisen. Degenen die niet voldoen, moeten ofwel worden opgelijst als potentieel risico ofwel stopgezet worden.

  1. Bezorg je cloud provider alleen noodzakelijke gegevens

Verzamel alleen gegevens die je ook effectief gebruikt. Probeer het verzamelen of verwerken van speciale data – waardoor je een Data Protection Officer moet aanwerven – te vermijden. Om welke data het gaat, kan je lezen in onze blogpost ”Heeft jouw bedrijf een Data Protection Officer nodig?” Bezorg cloud providers ook enkel gegevens die nodig zijn voor het functioneren van de specifieke toepassing.

  1. Zorg ervoor dat je gegevens kan verwijderen bij je cloud provider

Zorg ervoor dat je al je gegevens kan wissen wanneer je de toepassing niet langer gebruikt of je contract of account opzegt. Download zelf je gegevens en zie erop toe dat de cloud provider je gegevens verwijdert – binnen een redelijke termijn – zodra jullie overeenkomst stopt.

  1. Sluit dataverwerkingscontracten af met je cloud provider

Sluit een contract af met je cloud provider dat duidelijk aflijnt wat er kan op vlak van dataverwerking, binnen de regels van de GDPR.

  1. Verbied je cloud provider data voor andere doeleinden te gebruiken

Sta niet toe dat je cloud provider persoonlijke gegevens gebruikt voor andere doeleinden en zet dit duidelijk in je dataverwerkingscontract. Controleer in de gebruiksvoorwaarden of er vermeldt wordt dat de klant eigenaar is van de gegevens en dat de cloud provider gegevens niet zal delen met andere partijen.

Het is duidelijk dat dit een van de moeilijkste aspecten zal worden van de GDPR. Er is een zeer groot aanbod aan cloudtoepassingen en de opkomst van ‘shadow IT’ helpt ook niet. Heel wat cloud providers zijn bovendien internationale (lees: niet-Europese) spelers die niet staan te springen om de strenge regelgeving die de GDPR voorstaat. Lokale hosting van data en lokale (lees: Europese) cloudtoepassingen zouden dus mogelijk een flinke boost kunnen krijgen eens de GDPR van kracht wordt.

Heeft jouw bedrijf veel cloudtoepassingen? En zijn die GDPR compliant? Laat het ons weten via de comments hieronder.

Deze blogpost maakt deel uit van een gratis eBook waarin alle aspecten van de GDPR aan bod komen.

Download ons gratis eBook over GDPR

Gerelateerde berichten
Nucleus - Laravel

Wat is de beste manier om Laravel te hosten?

Wat is de beste manier om Laravel te hosten? Door Laravel, Forge en gebruiksvriendelijke deployments te combineren met managed hosting. Lees hier waarom!

Lees meer

Spectre en Meltdown

Spectre en Meltdown: wat was de échte impact ?

Spectre en Meltdown – en meer bepaald het patchen van de lekken – hebben zowat elke system administrator bezig gehouden de afgelopen dagen. Nu […]

Lees meer

Spectre en Meltdown

Important information regarding Meltdown & Spectre CPU vulnerabilities

By exception, this blogpost will be in English to inform all our clients. News has come out about highly critical vulnerabilities in all Intel […]

Lees meer