Op 25 mei 2018 trad de Algemene Verordening Gegevensbescherming (AVG) in werking. Doel van de AVG is het standaardiseren van de regels met betrekking tot de verwerking van persoonsgegevens in de Europese Unie. Zo is onder meer geregeld dat burgers sneller toegang moeten krijgen tot hun data, dat burgers bedrijven kunnen verzoeken hun persoonsgegevens te verwijderen, dat burgers meer inzicht moeten krijgen in hoe hun gegevens worden gebruikt en dat het makkelijker moet zijn om persoonsgegevens te anonimiseren. Naast specifieke rechten voor burgers is geregeld dat grotere bedrijven een functionaris voor de gegevensbescherming moeten aanstellen die toezicht houdt op de verwerking van persoonsgegevens. Ook als je bijvoorbeeld verwerkersovereenkomsten gebruikt, is het belangrijk dat gegevensbescherming goed geregeld is.
Dataopslag in de cloud
Een relevante ontwikkeling op dit gebied is de opslag van persoonsgegevens in de cloud. Deze vorm van opslag komt erop neer dat data niet worden opgeslagen op eigen servers op de locatie van de gebruiker. In plaats daarvan worden data via internet opgeslagen op een datacenter van een clouddienstverlener. Dit biedt verschillende voordelen, maar nadelen zijn er ook. Een voorbeeld daarvan is dat de clouddienst een hoeveelheid data toevertrouwd krijgt, waarbij het in sommige gevallen gaat om (gevoelige) persoonsgegevens. Juist in dat geval is de AVG relevant, want deze clouddienstverlener zal zich aan de verordening moeten houden, mits deze partij de data binnen de Europese Economische Ruimte – de Europese Unie plus Noorwegen, Liechtenstein en IJsland – opslaat.
De MRDM-casus
MRDM is een bedrijf dat medische gegevens verwerkt voor verschillende Nederlandse ziekenhuizen. Data worden hierbij opgeslagen in de cloud. Het gaat veelal om medische gegevens, die naar hun aard bijzonder en zeer gevoelig kunnen zijn. MRDM treedt hierbij op als verwerker van de gegevens met de clouddienst als subverwerker. Saillant detail is dat de subverwerker in kwestie buiten de Europese Economische Ruimte is gevestigd. Juist om die reden is door de Autoriteit Persoonsgegevens (AP) onderzocht of er noodzaak was tot nader onderzoek.
Beoordeling door de Autoriteit Persoonsgegevens
De AP beoordeelde door verkennend onderzoek of een nader controlerend onderzoek naar de rechtmatigheid van de verwerking van persoonsgegevens geboden was in deze zaak. In een duidelijke conclusie geeft de AP aan dat dat niet het geval is, om de volgende redenen:
- In de contracten tussen MRDM en de clouddienst is vastgelegd dat geen doorgifte van persoonsgegevens plaatsvindt aan landen buiten de EER.
- De gegevens worden opgeslagen in Nederland.
- De AP is geïnformeerd over de wijze waarop de gegevens worden beveiligd.
Interessant hierbij is dat het gaat om zeer gevoelige medische gegevens. Indien de opslag van dergelijke gegevens voldoet aan bovengenoemde eisen is er wat de AP betreft dus geen reden om aan te nemen dat de AVG op welke wijze dan ook wordt geschonden. Belangrijker nog is dat de AP invulling geeft aan zijn taak als ‘privacy waakhond’ en dat de verwerkers van persoonsgegevens steeds beter weten wat in de praktijk wel en niet geoorloofd is.
Conclusie: cloudopslag is geen probleem, maar weet waar de grenzen liggen
Naar aanleiding van het onderzoek van de AP kan worden gesteld dat cloudopslag ook in combinatie met zeer gevoelige persoonsgegevens heel goed mogelijk is. Houd echter wel in de gaten dat duidelijke afspraken gemaakt worden over de locaties, binnen of buiten de EER, van de gebruikte datacenters. De AVG is immers niet van toepassing op verwerkingen buiten de EER. Denk daarnaast aan eventuele faillissementen en andere onvoorziene omstandigheden, waardoor opslaglocaties in de toekomst mogelijk wijzigen. Bovendien speelt de beveiliging van gegevens een belangrijke rol in dit verband, maar dat geldt uiteraard ook als data lokaal worden opgeslagen.