GlobalSign Blog

GDPR: wat cloud service providers moeten weten

GDPR: wat cloud service providers moeten weten

Blog_CTA_NL_-_globalsign_solutions.pngDe General Data Protection Regulation (GDPR) van de Europese Unie kan de manier waarop gegevens in de cloud worden opgeslagen voorgoed veranderen. Het afgelopen jaar (mei 2021) heeft het Europees Comité voor gegevensbescherming (European Data Protection Board - EDPB) de EU-gedragscode voor de cloud goedgekeurd, met daaropvolgende definitieve goedkeuring door de Belgische gegevensbeschermingsautoriteit. De EU Cloud COC is van toepassing op alle soorten cloud service providers – IaaS, PaaS en SaaS – en bevat een reeks nalevingsvereisten die "CSP's in staat stellen aan te tonen dat ze kunnen voldoen aan de GDPR".

Dit is opmerkelijk vanwege het grote aantal bedrijfsorganisaties die hun gegevens al geheel of ten minste gedeeltelijk hebben gemigreerd naar een in de cloud gehost platform. Cloud computing biedt een hoger tempo van optimalisatie van IT-resources tegen betaalbare kosten voor bedrijven die hun infrastructuur snel willen opschalen.

In tegenstelling tot on-site gegevensbeheer, waarvan de kosten stijgen naarmate de omvang toeneemt, blijven de kosten van cloud computing binnen de perken van wat voor veel ondernemingen zinvol is. Ook cloud hosting is populair geworden bij diensten als Cloudflare in de VS, en werkt zonder een specifiek fysiek adres en in plaats daarvan met een gedistribueerd netwerk van honderden computers.

Volgens webontwikkelaar Nathan Finch van Best Web Hosting Australia is cloud-based webhosting de beste oplossing als u uw website snel wilt laten draaien.

“Een van de beste aspecten van cloud hosting is dat u op het moment dat u uw snelheid wilt verhogen, alleen maar een verzoek hoeft in te dienen bij het hostingbedrijf”, zegt Finch. “Als uptime en de mogelijkheid om zeer snel te schalen een punt van zorg zijn voor uw bedrijf, dan moet u cloud-based hosting serieus overwegen. Met cloud hosting hebt u toegang tot meerdere servers, waardoor u verschillende datacenters kunt gebruiken en uw informatie ook privé en veilig blijft.”

De aantrekkingskracht van clouddiensten maakt het voor deze aanbieders des te belangrijker om te begrijpen hoe GDPR-verplichtingen van invloed zijn op hun bedrijf, vooral nu steeds meer ondernemingen hun systemen en processen willen transformeren.

En zolang ze verantwoordelijk zijn voor de opslag of verwerking van de gegevens van EU-burgers, moeten cloud providers erop letten dat ze zich aan de GDPR houden. Hier zijn een paar belangrijke aandachtspunten.

De reactie op rampen en noodherstel moeten goed omschreven zijn

De GDPR heeft tot doel cloud providers meer verantwoordelijk te stellen voor persoonsgegevens die zij bezitten en die door inbreuken zijn aangetast. Een formele, goed gedefinieerde reactie op inbreuken en een coördinatieplan zijn van cruciaal belang voor cloud providers die aan de GDPR-wetgeving moeten voldoen.

Het is de verantwoordelijkheid van cloud providers om in hun dienstverleningsovereenkomst clausules op te nemen die verplichtingen en protocollen voor het melden van inbreuken definiëren. Deze verplichtingen en protocollen zijn doeltreffend wanneer de belangrijkste belanghebbenden van een organisatie duidelijk de processen voor bedrijfscontinuïteit, noodherstel en incidentenrespons definiëren voordat een inbreuk op de gegevens plaatsvindt. Wanneer deze processen duidelijk zijn gedefinieerd, bieden zij een kader om tijdig en efficiënt op elk incident te reageren.

Helaas kunnen er complicaties ontstaan doordat de GDPR voorschrijft dat alle persoonlijk identificeerbare informatie over een persoon in een database op verzoek moet worden verwijderd. Het afhandelen van deze verzoeken en het veilig wissen van de gevraagde gegevens moet zowel in een cloudomgeving als in een datacenter ter plaatse gebeuren.

Cloud service providers moeten geautomatiseerde processen en routines creëren waarmee verlopen gegevens kunnen worden geïdentificeerd en sets kunnen worden verwijderd die buiten het toepassingsgebied vallen. Zakenpartners moeten nagaan welke gegevens binnen het toepassingsgebied vallen en hoe lang de gegevens kunnen worden bewaard om te voldoen aan de wetgeving in hun rechtsgebied. Houd er rekening mee dat het resultaat van deze vereisten een grotere werklast en een hoger risico op menselijke fouten betekent, waardoor een bedrijf de GDPR-wetgeving kan overtreden.

Regels voor het bewaren van gegevens op meerdere locaties

De GDPR regelt in het algemeen hoe lang cloud providers persoonsgegevens mogen opslaan in hun omgeving. Dit maakt het implementeren van bewaring bijzonder lastig voor cloud providers, gezien het feit dat de gegevens die ze opslaan zich vaak in meerdere rechtsgebieden en locaties bevinden. Cloud service providers hebben een manier nodig om de bewaring van gegevens op betrouwbare wijze te beheren zonder de GDPR-wetgeving te overtreden, en een goede vuistregel is om er altijd voor te zorgen dat de belangrijkste IT-belanghebbenden, evenals een Data Protection Office (DPO), bij dit proces betrokken zijn. Cloud service providers moeten in hun contractovereenkomsten ook duidelijk omschreven procedures opnemen voor het veilig bewaren van gegevens in de cloud in meerdere rechtsgebieden zodra er een back-up van is gemaakt.

Conclusie

GDPR-verplichtingen zijn iets waar alle cloud service providers mee te maken krijgen in het licht van de wens van de EU om de Europese regelgeving te harmoniseren. Cloud service providers kunnen de privacyregels voor gegevens, zoals GDPR, aanpakken door hun noodherstelproces duidelijk te definiëren voor het geval ze de overheid documentatie over regelgeving moeten verstrekken en ervoor te zorgen dat ze de richtlijnen voor gegevensbewaring volgen, vooral als ze gegevensverzamelingen beheren die zich in meerdere rechtsgebieden bevinden.

Op zoek naar meer informatie over GDPR? Bekijk hier onze andere blogs en artikelen:

Hoe het groeiende aantal EU-verordeningen bedrijven wereldwijd beïnvloedt
GDPR-dag in 2020 – nog steeds geen zilveren kogel

Opmerking: Dit blogartikel is geschreven door een gastauteur om onze lezers een gevarieerder aanbod te kunnen geven. De meningen die in dit artikel van de gastauteur worden geuit, zijn uitsluitend die van de auteur en komen niet noodzakelijk overeen met die van GlobalSign.

Share this Post

Recent Blogs