beleidsmonitor

België - EU Cloud CoC

De Gegevensbeschermingsautoriteit heeft de eerste transnationale gedragscode voor cloud service providers goedgekeurd. De gedragscode is de eerste die gelanceerd wordt sinds de AVG binnen de Europese Unie van toepassing is. De “EU Cloud CoC” moet goede praktijken rond gegevensbescherming aanbevelen om zo bij te dragen tot een betere bescherming van persoonsgegevens die verwerkt worden in de cloud. De code is een vrijwillig instrument, waarmee een cloud service provider kan evalueren en aantonen dat het de vereisten van de code naleeft, hetzij via zelfevaluatie en een eigen verklaring van naleving en/of via certificatie door een derde partij.

Wat: Gedragscode en richtlijnen

Impactniveau: 2

Voor wie: cloud service providers, SaaS,...

URL: Het document

Samenvatting

De code is een privé-initiatief dat in overleg met verschillende autoriteiten is opgesteld en nu is goedgekeurd door de Belgische GBA. Het komt tegemoet aan artikel 40 van de AVG:

lidstaten, de toezichthoudende autoriteiten, het Comité en de Commissie bevorderen de opstelling van gedragscodes die, met inachtneming van de specifieke kenmerken van de diverse gegevensverwerkingssectoren en de specifieke behoeften van kleine, middelgrote en micro-ondernemingen, moeten bijdragen tot de juiste toepassing van deze verordening.

De Europese gedragscode vertaalt vereisten rond de AVG (onder andere artikel 28) naar een praktische implementatie en dit voor het hele spectrum van clouddiensten: infrastructuur (IaaS), platform (PaaS) en software (SaaS). Met de code wil men wetgeving met betrekking tot cloudomgevingen uniform maken in Europa.

Het biedt richtlijnen - zowel voor de voor verwerkingsverantwoordelijken als voor de verwerkers - met betrekking tot de kwesties zoals auditrechten, de verwijdering en teruggave van klantgegevens, beveiligingsmaatregelen en transparantievereisten (die in het laatste geval verder gaan dan de AVG-norm). In de praktijk zal dat betekenen dat bestaande verwerkingsovereenkomsten moeten worden herzien, waarschijnlijk in combinatie met Schrems 2-gerelateerde updates.

Daarnaast moet de gedragscode het voor cloudafnemers (met name kleine en middelgrote ondernemingen en overheidsinstanties) gemakkelijker maken om te bepalen of bepaalde clouddiensten geschikt zijn voor het beoogde doel. Bovendien zal de door de code gecreëerde transparantie bijdragen aan een klimaat van vertrouwen en een hoog standaardniveau van gegevensbescherming op de Europese markt voor cloud computing tot stand brengen.

Het is alleen van toepassing op "business-to-business" (B2B) clouddiensten waarbij de provider optreedt als een verwerker. Hij is dus niet van toepassing op "business-to-consumer" (B2C) diensten of voor verwerkingsactiviteiten waarvoor de provider als verantwoordelijke voor de verwerking van gegevens kan optreden.

De code bestaat uit vier grote hoofdstukken:

  • Gegevensbescherming: dit onderdeel beschrijft de inhoudelijke rechten en plichten van de aangesloten providers op basis van enkele kernprincipes. Het gaat daarbij om doelafbakening, data transfers, beveiliging, auditing, aansprakelijkheid en de rechten van de betrokkenen.
  • Beveiligingsvereisten: in dit hoofdstuk wordt beschreven hoe providers en hun clouddiensten moeten voldoen aan de gepaste technische en organisatorische vereisten
  • Controle en compliance: Het naleven van de richtlijnen wordt gecontroleerd door SCOPE Europe. Er is een compliancekader van drie niveaus.
    • Niveau 1: de provider moet een interne evaluatie uitvoeren en de geïmplementeerde maatregelen documenteren
    • Niveau 2: Aanvullend op het eerste niveau wordt de naleving van de code gedeeltelijk ondersteund door onafhankelijke certificaten en audits van derden
    • Niveau 3: Identiek aan het tweede niveau, maar de compliance wordt hier volledig ondersteund door onafhankelijke certificaten en audits van derden

De gedragscode rond de AVG in de cloud is te vinden op de website van EU Cloud CoC. Wie als bedrijf een verklaring wil krijgen dat het de richtlijnen volgt, moet hiervoor betalen.