26 april 2017

Als gemeente veilig naar de cloud

6 legal lessons learned

Afgelopen jaar hebben wij met 30 gemeenten en 4 provincies de stap richting de (Microsoft) cloud gezet. In elk traject blijken er veel vragen te zijn rondom de juridische aspecten. Vanuit een samenwerking met het IT-, Data- en Privacyteam van Pels Rijcken & Drooglever Fortuijn, kwamen we met passende antwoorden. Onze 6 legal lessons learned omtrent het veilig naar de cloud stappen als gemeente, delen we in dit blog.

1) Mag ik als gemeente naar de cloud?
Of je als gemeente nu alleen de werkplek in de cloud zet of gebruik maakt van een zaaksysteem in de cloud, de kans is groot dat de data die je in de cloud opslaat persoonsgegevens bevat. Als gevolg daarvan is de Wet bescherming persoonsgegevens van toepassing.

De Wet bescherming persoonsgegevens bepaalt dat het opslaan van persoonsgegevens in de cloud is toegestaan als met de cloudprovider een bewerkersovereenkomst wordt gesloten. Dit is een overeenkomst waarin de gemeente wettelijk vastgelegde eisen stelt aan de cloudprovider, onder meer op het terrein van beveiliging.

Het lastige is dat de aanbieders van de clouddiensten vaak niet een door de gemeente opgestelde bewerkersovereenkomst accepteren, maar in plaats daarvan hun eigen standaardvoorwaarden hanteren. Een gemeente die toch gebruik wil maken van de clouddiensten zal daarom moeten beoordelen of deze standaardvoorwaarden aan de wettelijke eisen voldoen.

Jeroen Naves, advocaat bij Pels Rijcken en gespecialiseerd in IT, data en privacy heeft veel  overheden geadviseerd over de voorwaarden die Microsoft hanteert voor de meeste clouddiensten: "De voorwaarden van Microsoft voldoen op de meeste punten aan de eisen die de Wet bescherming persoonsgegevens stelt aan een bewerkersovereenkomst. Of een gemeente in overeenstemming handelt met het privacyrecht is echter ook afhankelijk van de manier waarop een gemeente zelf omgaat met persoonsgegevens."

Het is dan ook belangrijk om als gemeente maatregelen te nemen. Zorg ervoor dat alleen geautoriseerde ambtenaren toegang hebben en borg dat privacy gevoelige informatie niet onrechtmatig bij externen terecht komt. Als gemeente kun je dit bijvoorbeeld doen door het inzetten van multi-factor authenticatie om de identiteit te waarborgen door naast het bekende wachtwoord (wat een gebruiker weet) een 2e bewijs te leveren in de vorm van een 'token' op de mobiele telefoon (wat een gebruiker heeft). Daarnaast kan technologie ook worden ingezet voor het versleutelen van data zodat bij verlies of diefstal van apparaten de data altijd veilig is.   

2) Waar moet ik als gemeente zelf op letten?
Als gemeente bepaal je uiteindelijk zelf welke gegevens wel en niet in de cloud worden opgeslagen. Je zult daarom zelf steeds de afweging moeten maken of een getroffen technische beveiligingsmaatregel in verhouding staat tot de vertrouwelijkheid van de persoonsgegevens. Het is verstandig om in dit verband een beveiligingsbeleid op te stellen waarin gegevens zijn verdeeld in verschillende categorieën van vertrouwelijkheid. Een uitkomst daarvan zou bijvoorbeeld kunnen zijn dat bepaalde, zeer vertrouwelijke gegevens niet per reguliere e-mail verstuurd worden.

Een belangrijk uitgangspunt van het privacyrecht is dat niet meer werknemers toegang krijgen tot de persoonsgegevens dan noodzakelijk. Ga daarom serieus om met autorisatierechten. Ook hier kun je als gemeente zelf voor zorgen. De basis is wel dat je je identity beleid écht goed op orde hebt. Het advies is met één identiteit veilig toegang te verlenen tot applicaties, bij voorkeur risk-based toegang (maak bijvoorbeeld een zaaksysteem alleen vanaf het interne netwerk toegankelijk en e-mail vanaf het internet maar voorzie dit van multi-factor authenticatie). Belangrijk is om toegang tot identiteiten real-time te monitoren op ongeoorloofde toegang tot de systemen, zodat direct actie genomen kan worden. Tevens is audit logging van belang om achteraf in te zien wat externe maar ook interne gebruikers en beheerders gewijzigd hebben in de systemen. De meeste hacks vinden namelijk plaats via een interne medewerker of partner die directe toegang heeft tot de systemen.

3) Hoe zit het met de locatie waar gegevens worden opgeslagen?
Op grond van de Wet bescherming persoonsgegevens mogen persoonsgegevens in beginsel alleen worden opgeslagen buiten de Europese Unie indien het land buiten de Europese Unie "een passend beschermingsniveau waarborgt". Of een land dit waarborgt hoef je als gemeente niet zelf te bepalen. De Europese Commissie heeft een lijst met landen gepubliceerd met een dergelijk beschermingsniveau.

De Verenigde Staten staan niet op deze lijst. Met de Verenigde Staten is echter de afspraak gemaakt dat als een Amerikaans bedrijf zich committeert aan het EU/VS Privacy Shield, het opslaan van persoonsgegevens in de Verenigde Staten alsnog is toegestaan.

Daarnaast biedt de Wet bescherming persoonsgegevens ook de mogelijkheid om persoonsgegevens op te slaan in een land dat geen "passend beschermingsniveau waarborgt", indien de gegevens zijn opgeslagen bij een bedrijf dat een zogenaamde modelovereenkomst heeft getekend. Dit is een door de Europese Commissie opgestelde overeenkomst.

Het privacyrecht biedt dus best veel mogelijkheden om persoonsgegevens op te slaan op locaties buiten de Europese Unie. Als gemeente moet je echter zelf de afweging maken of je dit ook wenselijk acht.

4) Zijn er nog andere wetten waar ik als gemeente rekening mee moet houden?
Er zijn veel wetten en regelingen die voorwaarden stellen aan de manier waarop gemeenten gegevens mogen opslaan en verwerken, zoals de Archiefwet, de Wet Basisregistratie Personen en de Wet Hergebruik Overheidsinformatie. Welke wetten en regelingen van toepassing zijn, is afhankelijk van de gegevens die in de cloud worden opgeslagen. 

5) Hoe zit het met big data?
Veel gemeenten die over zijn naar de cloud, willen gebruik maken van de mogelijkheid om hun data te plaatsen in een datalake, zodat zij met tools analyses kunnen loslaten op hun data. Of dat vanuit privacyrechtelijk oogpunt is toegestaan, is erg afhankelijk van de data en het doel waarvoor de data gebruikt wordt. Bepaalde gegevens die een gemeente heeft in het kader van een uitvoering van een specifiek doel, mogen niet zomaar gebruikt worden voor een heel ander doel. Houd bij de inrichting van een datalake hier rekening mee. Dit kan bijvoorbeeld door persoonsgegevens zoveel als mogelijk te anonimiseren en goed na te denken over wie wanneer toegang heeft tot een datalake.

6) Voldoet Microsoft aan de Algemene Verordening Gegevensbescherming?
Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. De AVG gaat de Wet bescherming persoonsgegevens vervangen. De eisen die de AVG stelt aan  bewerkersovereenkomsten zijn anders dan de eisen uit de Wet bescherming persoonsgegevens. Als gemeente moet je daarom jouw bewerkersovereenkomsten aanpassen.

Veel gemeenten die Inspark naar de cloud begeleidt, maken gebruik van Microsofttechnologie. Ook voor Microsoft geldt dat zij haar voorwaarden moet aanpassen om te voldoen aan de AVG. Microsoft heeft deze maand aangekondigd dat zij als eerste cloudprovider volledig in overeenstemming zal handelen met de AVG. Een goed streven om onder meer gemeenten volledig te ondersteunen om veilig de stap richting de cloud te zetten. Wat dit praktisch betekent, weten we op dit moment nog niet. Zodra hier meer over bekend is, delen wij deze informatie in een nieuw blog.

Ook vraagstukken rondom cloud & veiligheid?
Dave Kiwi, lead publieke sector bij InSpark en Jeroen Naves, advocaat bij Pels Rijcken, gaan graag met u in gesprek.