6.2 Cloud
cloud
Een andere oplossing om werken op afstand mogelijk te maken, is de cloud. De cloud (letterlijk vertaald: wolk) is een virtuele infrastructuur op het internet. In de cloud kunt u bestanden opslaan, maar er kan ook software in worden ondergebracht. Een werknemer kan vanaf iedere locatie via het internet de cloud benaderen, daarin werken en ook daarin opslaan. De software blijft dus in de cloud en staat niet op de computer van de gebruiker. Bijvoorbeeld programma’s zoals Microsoft Outlook staan tegenwoordig vaak in de cloud en niet meer op de computers van werknemers.
6.2.1 Vormen
Werken in de cloud kan op verschillende manieren, u benadert de cloud altijd via een internetverbinding:
- Publiek: dit is de meest algemene vorm van de cloud. U gebruikt bijvoorbeeld de diensten van Google, Microsoft of programma’s zoals Dropbox (zie ook paragraaf 6.3.1). Deze software is niet specifiek voor de gebruiker gemaakt.
- Gemeenschappelijk: bijvoorbeeld brancheorganisaties kunnen gebruikmaken van de gemeenschappelijke cloud. In deze cloud staat software die door meerdere mensen wordt gebruikt. Zij worden daartoe uitgenodigd door een beheerder.
- Privé: bij een privécloud heeft de gebruiker het alleenrecht op de software in de cloud. Dit is een op maat gemaakte ‘wolk’. Hierin kan bijvoorbeeld een eigen administratieprogramma worden ondergebracht, juist daarom moet een privécloud op maat worden aangemaakt.
- Hybride: een organisatie kan natuurlijk verschillende vormen van clouds gebruiken: een privécloud voor eigen specifieke diensten en bijvoorbeeld de publieke Google Calendar voor agendabeheer.
De kans is groot dat u onbewust al een aantal activiteiten in de cloud uitvoert, omdat het inmiddels een geïntegreerde en eenvoudige manier van werken op afstand is.
6.2.2 Locatie van de cloud
opslaan
Hoewel het lijkt of de cloud ‘in de lucht’ hangt, is er natuurlijk een server nodig om uw bestanden in de cloud op te slaan en te beheren. De servers die de clouds mogelijk maken, staan verspreid over de hele wereld. Veel van die servers staan in de Verenigde Staten. Dat zorgt ervoor dat u in een risicogebied terechtkomt. De regels omtrent privacygevoelige informatie zijn in de Verenigde Staten immers anders dan in Nederland. Het opslaan van persoonsgegevens in een Amerikaanse cloud kan dan ook illegaal zijn.
WBP
Er is een ISO-standaard ontwikkeld voor de opslag in de cloud. Werkt u met een bedrijf met een ISO 27018-certificering, dan weet u zeker dat het bedrijf aan een aantal belangrijke eisen op het gebied van privacy voldoet.
6.2.3 Persoonsgegevens in de cloud
persoonsgegevens
Volgens de Wet bescherming persoonsgegevens (WBP) bent u verplicht om de persoonsgegevens die u opslaat goed te beveiligen. Dat zit bij werken in de cloud iets ingewikkelder in elkaar, omdat daar een derde partij om de hoek komt kijken, namelijk de eigenaar van de cloudserver.
Wie is wie in de WBP?
Er is sprake van persoonsgegevens (zie ook hoofdstuk 10) als losse informatie of een combinatie daarvan te herleiden is tot één persoon. Denk daarbij aan namen, contact- en adresgegevens (ook een IP-adres), foto’s, geboortedata, medische gegevens enzovoorts. Een klantenbestand bijvoorbeeld zit vol persoonsgegevens:
- De persoon achter de gegevens is ‘de betrokkene’.
- U slaat de gegevens op en bewerkt en gebruikt ze, daarom is uw organisatie ‘de verantwoordelijke’.
- Slaat u gegevens in de cloud op, dan is de cloudbeheerder: ‘de bewerker’.
bewerkersovereenkomst
U bent verplicht om een contract af te sluiten met de bewerker, dat wordt een bewerkersovereenkomst genoemd.
Bewerkersovereenkomst
datalekken
Verwerkt u persoonsgegevens, dan bent u wettelijk verplicht om een bewerkersovereenkomst met de beheerder van de cloud af te sluiten. Ook al slaat u klantgegevens in de cloud op, u bent en blijft verantwoordelijk voor de persoonsgegevens. Verwerk daarom de volgende punten in de bewerkersovereenkomst:
- De bewerker zorgt voor passende beveiliging.
- De bewerker mag de persoonsgegevens alleen bewerken in opdracht van de verantwoordelijke.
- Vermelding van de situaties waarin subbewerkers (derden) ingeschakeld mogen worden.
- De bewerker is verplicht om persoonsgegevens geheim te houden en mag die niet gebruiken voor eigen doeleinden.
- De locatie van de cloudserver is bekend.
- De bewerker meldt datalekken aan de verantwoordelijke.
Lek melden bij Autoriteit Persoonsgegevens
Autoriteit Persoonsgegevens
Het laatste punt uit de opsomming is geen wettelijke verplichting, maar neem het wel op in de overeenkomst. Dit is vooral slim met het oog op de ‘meldplicht datalekken’ (zie hoofdstuk 9). Bij verlies van persoonsgegevens bent u verplicht om de Autoriteit Persoonsgegevens (het voormalige College Bescherming Persoonsgegevens) daarover te informeren. Afhankelijk van de ernst van het lek moet u ook de betrokkenen op de hoogte brengen. Spreek in ieder geval af wie het lek meldt bij de Autoriteit Persoonsgegevens, meestal doet u dat als verantwoordelijke en meldt de beheerder een lek bij u.