Zienswijze CBP over cloud computing (2012)

Het College bescherming persoonsgegevens (CBP) heeft in een zienswijze antwoord gegeven op 3 vragen van SURFmarket over privacykwesties bij cloud computing. Het CBP heeft deze vragen in algemene zin beantwoord, om daarmee een zo groot mogelijke groep van aanbieders van clouddiensten en hun klanten duidelijkheid te bieden.

De zienswijze van het CBP gaat in op de situatie van in Nederland gevestigde organisaties die gebruikmaken van de clouddiensten (onder meer e-mail, agendabeheer, groepsdiscussies en relatiebeheer) van leveranciers gevestigd in de Verenigde Staten (VS). Het uitgangspunt hierbij is dat deze organisaties eindverantwoordelijk zijn voor de naleving van de Wet bescherming persoonsgegevens (Wbp).

Bij het sluiten van een overeenkomst voor clouddienstverlening moeten de organisaties dan ook controleren of de toepasselijke wettelijke regels zijn afgedekt. Zo nodig moeten zij aanvullende afspraken in de overeenkomst met de Amerikaanse aanbieder opnemen. In ieder geval geldt dat voor de beveiliging van de in de cloud verwerkte persoonsgegevens.

Cloud computing

Clouddienstverlening is in opkomst en staat sterk in de belangstelling, onder meer vanwege de schaalvoordelen en mogelijkheden voor innovatieve dienstverlening. In juli 2012 hebben de gezamenlijke Europese privacytoezichthouders een opinie aangenomen over privacykwesties bij cloud computing.

Hierin wordt cloud computing gedefinieerd als de verzamelnaam voor technologieën en diensten die gericht zijn op het gebruik van IT-applicaties, rekenkracht en opslag op afstand via internet. De zienswijze van het CBP is gebaseerd op deze opinie.