Nieuwe verplichtingen voor aanbieders van cloudcomputingdiensten

Met de Algemene Verordening Gegevensbescherming (AVG) die per 25 mei 2018 en de EU-richtlijn Netwerk en informatiebeveiliging (NIB) die per 1 mei 2018 van kracht worden, worden meer verplichtingen geïntroduceerd voor cloudcomputingdiensten (in de NIB ‘Cloudcomputerdiensten’ genoemd). Aanbieders van cloudcomputingdiensten zullen onder de AVG vaak als bewerkers kunnen worden aangemerkt. Bewerkers worden onder de AVG zwaarder gereguleerd dan onder de nu geldende Wet bescherming persoonsgegevens (Wbp). Daarnaast introduceert de NIB een specifieke zorgplicht en meldplicht voor aanbieders van cloudcomputingdiensten met toezicht en handhavingsbevoegdheden.

Verplichtingen Algemene Verordening Gegevensbescherming
Onder de AVG (die de huidige Wbp vervangt) kunnen cloudcomputingdiensten worden aangemerkt als “bewerkers” in de zin van de Wbp. Onder de AVG worden verwerkers zwaarder gereguleerd. Bewerkers worden direct aansprakelijk voor het niet-nakomen van verplichtingen onder de AVG, waaronder de verantwoordelijkheid om persoonsgegevens conform de wet en op behoorlijke en zorgvuldige wijze te verwerken. Een belangrijk onderdeel van deze verplichting vormt het nemen van passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. Bewerkers moeten bezien of de diensten die ze aanbieden en de afspraken die zij maken of hebben gemaakt met de verantwoordelijken, voldoen aan de AVG. Op het niet naleven van de wettelijke plichten onder de AVG kunnen hoge boetes worden opgelegd. Er bestaat dus een groter aansprakelijkheidsrisico voor de aanbieder van een cloudcomputingdienst onder de AVG. Bereid uw organisatie dus goed voor op deze nieuwe verplichtingen. Het blijkt namelijk dat een groot aantal aanbieders van cloudcomputingdiensten nog niet voorbereid zijn op de nieuwe verplichtingen onder de AVG. Wilt u weten waar uw blinde vlekken zitten? Doe dan een privacy compliance check.

Verplichtingen NIB
De Netwerk- en Informatiebeveilingsrichtlijn (NIB) heeft als doel het waarborgen van een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging. De NIB introduceert de verplichting voor digitale dienstverleners (waaronder aanbieders van cloudcomputingdiensten) om adequate maatregelen te nemen om beveiligingsrisico’s te beheersen (zorgplicht) en ernstige incidenten aan de nationale bevoegde autoriteiten en/of de CSIRT (computer security incident response team) te rapporteren (meldplicht). Nederland zal de komende maanden de richtlijn implementeren in nationale wetgeving. Zo moeten de toezichthoudende instanties nog worden aangewezen en moet worden bepaald wie de CSIRT taken voor digitale dienstverleners zal gaan uitvoeren. Op de hoogte blijven van wat de implementatie voor uw organisatie gaat betekenen? Dat kan! Zie onze Monitoring en Intelligence diensten.

Wat is een Cloudcomputingdienst?
Onder cloudcomputingdiensten worden diensten verstaan die computercapaciteit verschaffen. Onder computercapaciteit wordt verstaan capaciteit met betrekking tot netwerken, servers en andere infrastructuur, opslag applicaties en diensten. Cloudcomputingdiensten kunnen snel het aanbod van capaciteit veranderen naar gelang van de vraag van de dienst en zijn flexibel in het toewijzen van de computingcapaciteit ongeacht de geografische locatie. Daarnaast kan de dienst worden gebruikt door meerdere gebruikers, maar vindt de verwerking voor elke gebruiker afzonderlijk plaats.

Wilt u als aanbieder van cloudcomputingdiensten meer weten over de verplichtingen onder de AVG en de NIB? Of wilt u weten hoe u het beste uw vewerkersovereenkomsten kunt aanpassen of vormgeven met het oog op de AVG? Neem dan contact met ons op!