Op organisaties rust een wettelijke plicht om met informatiebeveiliging risico’s van onrechtmatige verwerking goed af te dichten. Dat gaat niet alleen over techniek, maar ook over de organisatie van ICT. Een recente uitspraak maakt duidelijk dat de cloud geen vage religie is, maar concreet geduid moet worden.
De plicht om aan beveiliging te doen vloeit voort uit de Wet bescherming persoonsgegevens. In artikel 13 staat: “De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.” Die ‘enige vorm van onrechtmatige verwerking’ is heel breed beschreven.
In de zaak van de Oostenrijker Max Schrems tegen Facebook speelt de vraag of de gegevens dan in de Verenigde Staten mogen worden verwerkt. In de uitspraak van het Europese Hof van Justitie komt precies dat punt terug bij een passage over gebruikers die moeten kunnen aantonen ‘dat hun gegevens doeltreffend worden beschermd tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik van deze gegevens’.
Om buiten Europa persoonsgegevens te mogen verwerken, moeten de waarborgen vergelijkbaar zijn met de situatie bij ons. Die bescherming zouden de ‘Safe Harbor’ principes, die de Europese Commissie heeft afgeroepen, moeten bieden. Maar sinds de onthullingen van Snowden kun je daaraan twijfelen. Het Hof vindt die principes dan ook onvoldoende en verklaarde ze ongeldig. Concreet betekent dat er nu niets is geregeld.
Naast de al veel beschreven implicaties intrigeert het mij dat het beschermen tegen onrechtmatige verwerking echt ver rijkt. Wie gegevens verwerkt moet zelf risico’s in kaart brengen en die gaan afdekken. Dat betekent dat van organisaties mag worden verwacht dat ze weten wie er allemaal bij de verwerking van de persoonsgegevens betrokken zijn.
Het verhaal dat de ‘cloud’ ergens is en niemand weet waar, volstaat niet. Ook kunnen we niet langer roepen dat we de schepper van onze cloud niet kennen. Nee, het andere eind van de creditcardtransactie moet helder antwoord geven op vragen: in welk datacentrum staan de data, wie kan erbij, hoe is het beveiligd, welke rechtsgebieden zijn van toepassing?
Doen ze dat niet, dan zullen privacytoezichthouders moeten ingrijpen. Vanaf 1 januari 2016 is het daarbij in Nederland mogelijk om boetes op te leggen. Het Europese Hof van Justitie heeft de mythe van de cloud doorgeprikt. Data zijn niet ongrijpbaar, maar tastbaar. Er kunnen wel normale afspraken worden gemaakt en de Europese wetgeving geldt gewoon.
