Privacy in de cloud

mr. J.J. BraatAdvocaat IT, privacy en contracten

Legaltree

06-05-2013 Privacy in de cloud

Partijen• Verantwoordelijke: alle verplichtingen • Cloud service provider = bewerker• Beveiligingsplicht• Geheimhoudingsplicht

• Andere CSP´s = sub-bewerkers• Idem, o.b.v. overeenkomst

Privacy in de cloud 06-05-2013

Controle is de sleutel

Privacy in de cloud 06-05-2013

- Waar staan de data (data-export verbod)?

- Wie kan er bij de data (overheden)?

- Hoe kom ik bij de data (voldoen aan rechten betrokkenen)?

- Hoe lang worden de data bewaard?

- Hoe zorg ik dat ik aan mijn verplichtingen voldoe?

- Wie kan ik aansprakelijk stellen als het fout gaat?

Betere controle beperkt aansprakelijkheid

21-2-2013 Privacy in de cloud

In house

Public

Tabel is illustratief

Gevolgen wetsovertreding

• Huidig recht:• Schadevergoeding door betrokkene• Reputatieschade• Vermindering vertrouwen klant

• Toekomstig recht:• Aanvullend: hoge boetes

Privacy in de cloud 06-05-2013

Boetes

Privacy in de cloud

Soort overtreding Hoogte boete

Mild 250 000 of 0,5% wereldwijze omzet

Gemiddeld 500 000 of 1% wereldwijze omzet

Ernstig 1 000 000 of 2% wereldwijze omzet

• NL wetsvoorstel meldplicht datalekken:• Tot EUR 250.000 bij niet melden

• Boetes nieuwe wetgeving:

06-05-2013

De boetes op huidige verplichtingen in de cloud

Privacy in de cloud 06-05-2013

Verplichting Boete

Betrokkene tijdig antwoorden op inzageverzoek 250 000 / 0,5 %

Betrokkenen inzage geven in gegevens 500 000 / 1%

Gegevens betrokkenen op verzoek verwijderen 500 000 / 1%

Data export verbod 1 000 000 / 2,5%

Bewerkersovereenkomst sluiten 1 000 000 / 2,5%

De boetes op “nieuwe” verplichtingen in de cloud

Privacy in de cloud 06-05-2013

Verplichting Boete

Documentatieplicht 500 000 / 1%

Zorgen voor data portability 500 000 / 1%

Voldoen aan het recht om vergeten te worden 500 000 / 1%

“Mechanismen” instellen om te voldoen aan rechten betrokkenen, bewaartermijnen

500 000 / 1%

Privacy impact assessment uitvoeren 1 000 000 / 2,5%

Datalekken melden 1 000 000 / 2,5%

Er komen ook zelfstandige verplichtingen voor CSP´s

• Cloud service providers krijgen eigen, zelfstandige verplichtingen, o.a.:• Data export verbod• Geheimhouding• Beveiligen• Sub-bewerkers alleen met toestemming • Meewerkingsplicht

• Niet voldoen = verantwoordelijke = boete

Privacy in de cloud 06-05-2013

Risico´s mitigeren• Risk assessment / privacy impact assessment• Maatregelen m.b.t. persoonsgegevens• Anonimiseren• Encrypten

• Contractuele afspraken maken• Verplichting om cloud bewerkersovereenkomst

sluiten

Privacy in de cloud 06-05-2013

Wat moet er in de bewerkersovereenkomst staan?

Privacy in de cloud 06-05-2013

Laat je niet van de wijs brengenGez. Toezichthouders:

“De onbalans van de contractuele verhouding tussen een kleine

verantwoordelijke en een grote service provider mag geen reden

zijn voor de verantwoordelijke om contractvoorwaarden te

accepteren die in strijd zijn met het Europese Privacyrecht.”

Privacy in de cloud06-05-2013

Vragen?

Privacy in de cloud 06-05-2013

Bieneke BraatLegaltree

http://www.legaltree.nl/nl/partners/bieneke-braat/

Privacy in de cloud 06-05-2013