Mogen onze persoonsgegevens nu wel of niet bij Microsoft staan?
Steeds meer gemeenten overwegen gebruik te maken van de clouddiensten van Microsoft (Office 365 en Azure). In dat geval worden er persoonsgegevens waarvoor een gemeente verantwoordelijk is, opgeslagen op servers van Microsoft. Mag dat volgens de wet- en regelgeving?
UPDATE: lees ook onze blog van 20 juli 2020: Wat betekent het ongeldig verklaren van het ‘Privacy Shield’ voor gemeenten?
De cloud van Microsoft en de AVG
Het antwoord op bovenstaande vraag is ‘ja, onze persoonsgegevens mogen bij Microsoft staan’. Microsoft voldoet op dit moment aan de voorwaarden die hiervoor worden genoemd in de Algemene Verordening Gegevensbescherming (AVG). In het kort:
- Uitgangspunt van de Microsoftvoorwaarden is dat de persoonsgegevens worden opgeslagen in de Europese Unie.
- Je moet er echter van uitgaan dat Microsoft deze gegevens ook kan verwerken in de Verenigde Staten of andere landen buiten de Europese Economische Ruimte (EER).
- Je mag data naar de Verenigde Staten transporteren als de partij naar wie je de persoonsgegevens transporteert zich aan het EU/VS Privacy Shield heeft gecommitteerd (artikel 45 AVG). Dat heeft Microsoft.
- Daarnaast heeft Microsoft in haar voorwaarden het modelcontract van de Europese Commissie geïncorporeerd. Ook daardoor is dataverkeer naar de Verenigde Staten toegestaan. Net als naar andere landen die zich buiten de EER bevinden (artikel 46 lid 2 AVG).
Geldigheid modelcontracten?
Overigens is de Oostenrijker Max Schrems een procedure gestart waarin hij de rechtsgeldigheid van de modelcontracten aan de orde heeft gesteld. De verwachting is dat het Europese Hof van Justitie hierover medio 2020 een uitspraak doet (Eerder spande deze activist een procedure tegen Facebook aan, waarna het Europese Hof van Justitie de Safe Harbor Principles ongeldig verklaarde.) De belangen van alle betrokken partijen zijn groot in de lopende procedure. Daarom zal een uitspraak naar onze verwachting leiden tot een aanpassing aan de zijde van de providers en/of een aanpassing aan de zijde van de wetgever.
In slimme stappen naar de cloud
Spelen partijen als Microsoft een rol in je hybride cloudarchitectuur? Dan adviseren wij het volgende:
- Definieer een cloudbeleid met dataclassificaties en definities van cloudservice- en implementatiemodellen.
- Zorg voor overeenstemming over een ‘startvulling’ van een tabel waarin staat voor welke klasse data welke cloudservice- en implementatiemodellen acceptabel zijn.
- Implementeer een set processen die borgen dat de juiste cloudprovider wordt geselecteerd (advies) gecontracteerd (inkoop) en gecontroleerd (audit). Hierbij horen ook verbeterprocessen (van aanpassing van de overeenkomst tot en met een exitstrategie).
- Laat een gespecialiseerd juridisch bureau een ‘cloud compliancy’ scan uitvoeren op je plannen en je huidige situatie.
UPDATE: lees ook onze blog van 20 juli 2020: Wat betekent het ongeldig verklaren van het ‘Privacy Shield’ voor gemeenten?
Meer weten over cloudstrategieën voor gemeenten?
Stel je vraag aan Wim. Of laat een bericht achter in de chat.
