Home / Informatie managen / Cloud / Mogen onze persoonsgegevens nu wel of niet bij Microsoft staan?

Mogen onze persoonsgegevens nu wel of niet bij Microsoft staan?

Steeds meer gemeenten overwegen gebruik te maken van de clouddiensten van Microsoft (Office 365 en Azure). In dat geval worden er persoonsgegevens waarvoor een gemeente verantwoordelijk is, opgeslagen op servers van Microsoft. Mag dat volgens de wet- en regelgeving?

De cloud van Microsoft en de AVG

Het antwoord op bovenstaande vraag is ‘ja’. Microsoft voldoet op dit moment aan de voorwaarden die hiervoor worden genoemd in de Algemene Verordening Gegevensbescherming (AVG). In het kort:

  • Uitgangspunt van de Microsoftvoorwaarden is dat de persoonsgegevens worden opgeslagen in de Europese Unie.
  • U moet er echter van uitgaan dat Microsoft deze gegevens ook kan verwerken in de Verenigde Staten of andere landen buiten de Europese Economische Ruimte (EER).
  • U mag data naar de Verenigde Staten transporteren als de partij naar wie u de persoonsgegevens transporteert zich aan het EU/VS Privacy Shield heeft gecommitteerd (artikel 45 AVG). Dat heeft Microsoft.
  • Daarnaast heeft Microsoft in haar voorwaarden het modelcontract van de Europese Commissie geïncorporeerd. Ook daardoor is dataverkeer naar de Verenigde Staten toegestaan. Net als naar andere landen die zich buiten de EER bevinden (artikel 46 lid 2 AVG).

Geldigheid modelcontracten?

Overigens is de Oostenrijker Max Schrems een procedure gestart waarin hij de rechtsgeldigheid van de modelcontracten aan de orde heeft gesteld. De verwachting is dat het Europese Hof van Justitie hierover medio 2020 een uitspraak doet (Eerder spande deze activist een procedure tegen Facebook aan, waarna het Europese Hof van Justitie de Safe Harbor Principles ongeldig verklaarde.) De belangen van alle betrokken partijen zijn groot in de lopende procedure. Daarom zal een uitspraak naar onze verwachting leiden tot een aanpassing aan de zijde van de providers en/of een aanpassing aan de zijde van de wetgever.

In slimme stappen naar de cloud

Spelen partijen als Microsoft een rol in uw hybride cloudarchitectuur? Dan adviseren wij het volgende:

  1. Definieer een cloudbeleid met dataclassificaties en definities van cloudservice- en implementatiemodellen.
  2. Zorg voor overeenstemming over een ‘startvulling’ van een tabel waarin staat voor welke klasse data welke cloudservice- en implementatiemodellen acceptabel zijn.
  3. Implementeer een set processen die borgen dat de juiste cloudprovider wordt geselecteerd (advies) gecontracteerd (inkoop) en gecontroleerd (audit). Hierbij horen ook verbeterprocessen (van aanpassing van de overeenkomst tot en met een exitstrategie).
  4. Laat een gespecialiseerd juridisch bureau een ‘cloud compliancy’ scan uitvoeren op uw plannen en uw huidige situatie.

Meer informatie

Wilt u meer informatie over een slimme cloudstrategie? Neem dan contact op met Wim Hoekstra.

 

Wij delen kennis, tips en adviezen. Blijf op de hoogte.
Meld u aan voor de nieuwsbrief.

Of volg ons op LinkedIn.

Wim Hoekstra
Wim Hoekstra
Ik ben één van de partners van Quarant en werkzaam als Consultant. Dienstverlening verbeteren, meer samenwerken met andere gemeenten en interne werkprocessen stroomlijnen, daar liggen nog genoeg mogelijkheden. Mijn specialisme is het zorgen voor goede informatisering en automatisering. Meer informatie? 06 212 606 38
Lees meer blogs

Aanbevolen berichten