Cloud Provider GDPR

Een belangrijk en complex aspect van GDPR is dat je niet alleen moet zorgen dat je zelf compliant bent, maar dat ook oplossingen en diensten die je gebruikt voor dataverwerking dat zijn. De eindverantwoordelijkheid wat betreft compliance ligt op dat vlak bij jou. Niet evident in een tijd waar heel wat van onze data zich in de cloud bevindt.

Welk bedrijf kan vandaag nog zeggen dat het niets in de cloud heeft staan of geen cloudtoepassingen gebruikt? Denk maar aan oplossingen als Microsoft Office 365, Salesforce, SuccessFactors, Dropbox, Evernote, WeTransfer, enz. Heel wat van die toepassingen worden vaak bovendien oogluikend of zelfs zonder medeweten van IT gebruikt. De vraag is dus: kan je wel helemaal GDPR-compliant zijn met zoveel tools – waarvan je van sommige niet eens weet dat ze gebruikt worden – in de cloud?

Wij hebben alvast een aantal vereisten opgelijst om toch met cloud providers te kunnen blijven werken.

  1. Weet waar je cloud provider je data verwerkt en bewaart

De eerste vereiste is meteen een hele belangrijke. Je moet weten waar je cloud provider je data verwerkt en bewaart en welke wetgeving er op van toepassing is. Op elk moment. Want de kans is reëel – zeker bij grotere toepassingen – dat je data al eens tussen datacenters kan reizen.

  1. Weet hoe je cloud provider je data beveiligt

Je moet weten welke cloudtoepassingen voldoen aan jouw privacy- en veiligheidseisen. Degenen die niet voldoen, moeten ofwel worden opgelijst als potentieel risico ofwel stopgezet worden.

  1. Bezorg je cloud provider alleen noodzakelijke gegevens

Verzamel alleen gegevens die je ook effectief gebruikt. Probeer het verzamelen of verwerken van speciale data – waardoor je een Data Protection Officer moet aanwerven – te vermijden. Om welke data het gaat, kan je lezen in onze blogpost ”Heeft jouw bedrijf een Data Protection Officer nodig?” Bezorg cloud providers ook enkel gegevens die nodig zijn voor het functioneren van de specifieke toepassing.

  1. Zorg ervoor dat je gegevens kan verwijderen bij je cloud provider

Zorg ervoor dat je al je gegevens kan wissen wanneer je de toepassing niet langer gebruikt of je contract of account opzegt. Download zelf je gegevens en zie erop toe dat de cloud provider je gegevens verwijdert – binnen een redelijke termijn – zodra jullie overeenkomst stopt.

  1. Sluit dataverwerkingscontracten af met je cloud provider

Sluit een contract af met je cloud provider dat duidelijk aflijnt wat er kan op vlak van dataverwerking, binnen de regels van de GDPR.

  1. Verbied je cloud provider data voor andere doeleinden te gebruiken

Sta niet toe dat je cloud provider persoonlijke gegevens gebruikt voor andere doeleinden en zet dit duidelijk in je dataverwerkingscontract. Controleer in de gebruiksvoorwaarden of er vermeldt wordt dat de klant eigenaar is van de gegevens en dat de cloud provider gegevens niet zal delen met andere partijen.

Het is duidelijk dat dit een van de moeilijkste aspecten zal worden van de GDPR. Er is een zeer groot aanbod aan cloudtoepassingen en de opkomst van ‘shadow IT’ helpt ook niet. Heel wat cloud providers zijn bovendien internationale (lees: niet-Europese) spelers die niet staan te springen om de strenge regelgeving die de GDPR voorstaat. Lokale hosting van data en lokale (lees: Europese) cloudtoepassingen zouden dus mogelijk een flinke boost kunnen krijgen eens de GDPR van kracht wordt.

Heeft jouw bedrijf veel cloudtoepassingen? En zijn die GDPR compliant? Laat het ons weten via de comments hieronder.

Deze blogpost maakt deel uit van een gratis eBook waarin alle aspecten van de GDPR aan bod komen.

Download ons gratis eBook over GDPR

Gerelateerde berichten
hoe voorkom je dat je gehackt wordt

Voorkomen is beter dan genezen: hoe voorkom je dat je gehackt wordt?

Breng alle cyberrisico’s op technisch en juridisch vlak in kaart en neem de passende technische en organisatorische maatregelen. Een overzicht.

Lees meer

communicatie bij een hack

Hoe moet je communiceren als je gehackt bent?

Hoe ga je als bedrijf, groot of klein, met veel of weinig gegevens, best om met de communicatie omtrent een hack en (eventueel) datalek?

Lees meer

welke juridische stappen na hack

Welke juridische maatregelen moet je nemen na een datalek?

In dit artikel willen we zo concreet mogelijk maken welke juridische stappen je moet ondernemen als je bedrijf geconfronteerd wordt met een datalek.

Lees meer