|
|
Cloud Computing - Respect voor de persoonlijke levenssfeer - Gegevensbescherming - Waarborgen
informatiebeveiliging
opslag van documenten
informatiedienstverlening
computernetwerk
persoonlijke gegevens
eerbiediging van het privé-leven
gegevensbescherming
netwerkserver
cloudcomputing
| 8/7/2011 | Verzending vraag |
| 24/8/2011 | Antwoord |
De Europese Commissie heeft een publieke consultatie opgestart over de uitdagingen die Cloud Computing stelt met betrekking tot de gegevensbescherming, de standaardisering en de toe-eigeningsniveaus. Tegelijkertijd stelde Apple zijn nieuwste product voor: de iCloud. Dat is het eerste systeem voor de online opslag van alle gegevens van de gebruikers van die diensten.
De meesten mensen bewaren hun persoonlijke bestanden op een harde schijf die aan een computer verbonden is. Cloud Computing wil een einde stellen aan die beperking en alle digitale gegevens bewaren op gigantische servers van gespecialiseerde firma's. Zo zouden de eigen persoonlijke bestanden gemakkelijker toegankelijk worden vanaf losse drager (laptop, smartphone, tablet-pc enzovoort)
Cloud Computing biedt zeker voordelen, maar het concept doet ook heel wat vragen rijzen, in de eerste plaats over de privacy en de veiligheid. Volgens specialisten zouden de nieuwe systemen ware 'nachtmerries' zijn voor de veiligheid omdat ze niet met de traditionele methoden kunnen worden aangepakt.
1) Welke invloed heeft het loutere bestaan van Cloud Computing op het respect voor de persoonlijke levenssfeer? Het systeem wordt voorgesteld als een instrument voor de opslag van informatie.
2) Welke bestaande waarborgen maken het mogelijk de persoonlijke gegevens die onvermijdelijk in de Cloud Computing rondwaren, te beschermen?
1. De vraag naar de bescherming van persoonsgegevens in het kader van “cloud computing services” (CCS), als systeem voor massale opslag van gegevens, kan zowel worden gesteld in gevallen waarin de gebruiker rechtstreeks een beroep doet op de diensten van een cloud computing service provider (CCSP) als wanneer het een ander persoon (werkgever, financiële instelling, mutualiteit, leverancier, …) is die een beroep doet op CCS voor de gegevensverwerking van zijn individuele gebruikers en/of klanten.
De gebruiker is zich er bovendien niet altijd van bewust dat zijn persoonsgegevens het voorwerp uitmaken van CCS.
2. Overdracht van persoonsgegeven in het kader van CCS is een verwerking van persoonsgegevens in de zin van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna: privacywet).
Is de verantwoordelijke van de verwerking gevestigd in België of maakt hij gebruik van een in België gelokaliseerd geautomatiseerd verwerkingssysteem, dan is de privacywet van toepassing op de overdracht van persoonsgegevens in het kader van CCS, los van de locatie waar de gegevens worden opgeslagen.
Het is bijgevolg steeds belangrijk te weten wie exact de verantwoordelijke van de verwerking is aangezien dan de waarborgen van deze wet toepassing vinden. De privacywet definieert de verantwoordelijke van de verwerking als degene die het doel en de middelen van de verwerking bepaalt.
In dit verband is het nuttig een onderscheid te maken tussen een aantal vormen van CCS:
- Bij CCS waarbij “solftware as a service” (SaaS) wordt geleverd gaat het om toepassingen die in een browser kunnen worden gebruikt; ze worden ontwikkeld en via internet aangeboden door een CCSP, bijvoorbeeld email, softwaretoepassingen zoals google docs, online sociale netwerken. De gebruiker zal hier nauwelijks vorm geven aan de toepassing.
Zowel de gebruiker als de CCSP kunnen verantwoordelijke van de verwerking zijn.
De gebruiker omdat hij het doel van de verwerking bepaalt; het doel van de gebruiker bij het gebruik van toepassingen zoals hotmail, facebook, flickr zijn respectievelijk het uitwisselen van communicatie, het opslaan van bestanden, het onderhouden van informatie met contacten, het opslaan en delen van foto’s.
En omdat hij de middelen daartoe bepaalt, in het bijzonder door gebruik te maken van de door de CCSP aangeboden toepassingen.
Ook de CCSP kan verantwoordelijke van de verwerking zijn wanneer hij het doel van de verwerking bepaalt (bijvoorbeeld gerichte marketing) door middel van gebruiksrechtenovereenkomsten of algemene voorwaarden, en omdat hij het middel van de verwerking bepaalt, namelijk zijn eigen services en eventueel die van derden-subcontractanten.
Voor elke individuele verwerking moet worden uitgemaakt wie de verantwoordelijke ervan is en, voor zover de gebruiker zelf de verantwoordelijke is van de verwerking, is de privacywet niet van toepassing.
- Bij CCS waarbij “platform as a service” (PaaS) wordt geleverd gaat het om een computer- en softwareplatform waarop de klant zelf diensten en voorzieningen kan ontwikkelen (zoals Amazon Web Services), waarbinnen hij zelf websites en webapplicaties kan bouwen die hij ter beschikking kan stellen aan zijn eindgebruikers en/of klanten.
Bij CCS waarbij “infrastructure as a service” (Iaas) wordt geleverd gaat het om hardware die via het internet kan worden benaderd, waarop de klant iedere gewenste software en besturingssysteem kan installeren.
Bij PaaS en Iaas moet geval per geval worden onderzocht wie de verantwoordelijke van de verwerking is. Indien de CCSP enkel een platform of infrastructuur aanbiedt en verder niets doet met de gegevens die de gebruikers van die services aanleveren, dan is de CCSP geen verantwoordelijke van de verwerking; hij werkt in dit geval enkel in opdracht van de gebruiker en stelt geen eigen doelen, noch bepaalt hij het middel van de verwerking.
De overeenkomst tussen gebruiker en CCSP werkt hier vaak door naar eindgebruikers die een beroep doen op de diensten van de CCS gebruiker. De gebruiker kan een werkgever, zorgverstrekker, leverancier enz. zijn van de eindgebruiker, de fysieke persoon die inlogt en gegevens overdraagt aan de CCS gebruiker. Afhankelijk van de afspraken die tussen gebruiker en eindgebruiker worden gemaakt kan de identiteit van de verantwoordelijke van de verwerking geval per geval verschillend zijn.
Wanneer de CCSP andere doelen stelt voor de verwerking van de persoonsgegevens (zoals gerichte marketing) die verder gaan dan de doelen die met de gebruikers zijn overeengekomen dan is hij mede verantwoordelijke van de verwerking in de zin van de privacywet die hij alsdan gehouden is na te leven.
De garanties die de privacywet biedt komen in het kort hierop neer:
Persoonsgegevens mogen enkel worden verwerkt met toestemming van de betrokkene. Het valt echter niet uit te sluiten dat de CCSP zich beroept op een uitzonderingsgrond, zoals onder meer wanneer de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, wanneer een verplichting met het oog op het naleven van de regels betreffende sociale zekerheid moet worden nagekomen, wanneer vitale belangen van de betrokkene moeten worden verdedigd, wanneer het gaat om de vervulling van een publiekrechtelijke zaak door een bestuursorgaan.
Verder moeten de gegevens eerlijk en rechtmatig worden verwerkt en moeten ze voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verkregen. Ze mogen niet langer worden bewaard dan noodzakelijk is in een vorm die het mogelijk maakt de betrokkene te identificeren.
De verantwoordelijke van de verwerking moet passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.
Een bijkomende garantie is dat de verantwoordelijke van de verwerking de persoon over wiens gegevens het gaat moet inlichten over de doeleinden van de verwerking (of de overdracht van de gegevens) en over zijn recht om zich tegen de overdracht ervan te verzetten. Bovendien is de privacywet van dwingend recht waardoor de toepassing ervan per overeenkomst niet kan worden uitgesloten.
Binnen de EU kunnen persoonsgegevens vrij worden overgedragen aangezien alle EU-landen een vergelijkbaar niveau van bescherming opleggen.
Overdracht van persoonsgegevens naar landen buiten de EU is enkel toegelaten indien deze gebeurt naar een land dat een passend beschermingsniveau waarborgt, hetgeen wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens van invloed zijn (de Privacycommissies in de EU-lidstaten hanteren daartoe een ‘witte lijst’). Bijgevolg is enkel in gevallen waarin de CCSP gevestigd is in een niet EU-land dat evenmin deel uitmaakt van de ‘witte lijst’ en waarbij de CCSP geen beroep doet op een geautomatiseerd verwerkingssysteem dat zich binnen de EU bevindt, de verwerking van persoonsgegevens niet voorzien van gelijkaardige waarborgen als deze die door de privacywet worden geboden.
Voor elke bijkomende toelichting over de inhoud en garanties van de privacywet verwijs ik naar mijn collega, de minister van Justitie, die bevoegd is voor deze materie.