Cloud
De cloud is fantastisch. Het helpt enorm om flexibel te kunnen werken en houdt onze data veilig. Er is ook een keerzijde: we weten niet altijd precies in welk land de gegevens worden verwerkt. Werk je met Google GSuite of Microsoft Office365? Dan kun je een verklaring (verwerkersovereenkomst op basis van een modelcontract) inzien, zodat je wél weet wat er met je data gebeurt.
GoogleBekijk het GSuite model contract
Bekijk de aanvullende verwerkersovereenkomst
Microsoft
Bekijk het model contract
Maak je gebruik van een andere cloud-opslagdienst om je dataverwerking uit te voeren? Dan moet je op zoek naar het antwoord op de vraag 'waar worden de data opgeslagen en worden die overeenkomstig de eisen verwerkt?'.
Eisen
Alle landen binnen de Europese economische zone voldoen aan de gestelde maatregelen. Daarmee kunnen zonder meer gegevens worden uitgewisseld. Dit betekent dat voor alle 28 EU-landen, Noorwegen, Liechtenstein en IJsland geen beperkingen gelden op basis van de AVG. Bij landen buiten de Europese economische zone geldt dat adequate bescherming moet zijn vastgesteld om gegevens te mogen overdragen.
Welke eisen stelt de Europese Commissie aan cross border personal data processing? In beginsel is het uitgangspunt dat gegevens in het land waar deze ter verwerking worden door het individu in het andere land (of territoria) hetzelfde niveau van (of adequate) bescherming ontvangen. Dit wordt beoordeeld aan de hand van de volgende criteria:
• De geldende wet- en regelgeving voor dat land• Respect voor rechten en vrijheden van de mens
• Relevante wetgeving
• Algemene rechten en sectorspecifiek waaronder publieke veiligheid, defensie, nationale veiligheid, rechtspraak en toegang voor publieke autoriteiten tot privacygegevens
• Het aanwezig zijn van een onafhankelijke autoriteit/toezichthouder
• Andere bindende laterale verdragen die invloed hebben op de bescherming van persoonsgegevens
De lijst
De Europese Commissie houdt een lijst bij met landen/territoria waarvoor het is toegestaan om gegevens uit te wisselen. Deze lijst wordt normaliter iedere 4 jaar bijgewerkt, tenzij er aanleiding is om dit vaker te doen, bijvoorbeeld in het geval van het uitbreken van een oorlog. De lijst vind je hier.
Niet op de lijst?
Wil je data transporteren naar landen die niet op deze lijst voorkomen? Dan begeef je je mogelijk op glad ijs en moet je aan de slag met het bieden van adequate bescherming. Uiteraard kan dit op basis van het transparantieprincipe door expliciet goedkeuring te vragen, maar dat is veel werk en foutgevoelig. Voor mondiaal opererende ondernemingen is er nog een alternatief: de Binding Corporate Rules, een set afspraken die een onderneming maakt als gedragscode om de privacy te waarborgen.
Zelf aan de slag
Het allerbelangrijkste is dat je weet waar je data worden verwerkt of opgeslagen. Let wel: back-ups bevatten ook persoonsgegevens. Het maakt niet uit of ze zijn versleuteld of niet: de data zijn er en ze gaan bij cloud back-upsystemen dus ook de grens over.