1 min

Het College Bescherming Persoonsgegevens (CBP) stelt dat bedrijven er niet vanuit moeten gaan dat persoonsgegevens voldoende beschermd worden wanneer zij een overeenkomst sluiten met Amerikaanse clouddienst aanbieders zoals Amazon, Microsoft Azure, Dropbox en Google.

Het CBP heeft een zienswijze online gezet waarin vermeld wordt dat Bedrijven er niet vanuit mogen gaan dat een Amerikaanse clouddienst aanbieder persoonsgegevens behandeld en beschermd volgens Europese en Nederlandse maatstaven. In de zienswijze worden vragen behandeld die Surf had gesteld aan het CBP.

De Europese Unie en de Verenigde Staten hebben een overeenkomst gesloten over de verwerking van persoonsgegevens. Deze safe harbor overeenkomst geeft aan dat Amerikaanse aanbieders aan de Europese eisen voldoen. In de praktijk is het echter zo dat deze eisen niet altijd worden nageleefd.

“Nederlandse bedrijven blijven zelf verantwoordelijk voor de naleving van de Wet bescherming persoonsgegeven ” stelt het CBP, "Zo nodig moeten zij aanvullende afspraken met de aanbieder van de clouddiensten maken. In ieder geval geldt dat voor de beveiliging van de in de cloud verwerkte persoonsgegevens."

in de vorm van een ‘bewerkersovereenkomst’ zouden een aantal aanvullende afspraken over privacy moeten worden vastgelegd, hierin moet de clouddienst aanbieder toezeggen de Europese richtlijnen te handhaven. En ook zou er een risico-analyse gemaakt moeten worden waarin vermeld wordt in wat voor situaties welke gegevens opgeslagen mogen worden.