image

Juridische vraag: Ons bureau slaat gevoelige gegevens op in de G Suite cloud. Is dit wel toegestaan?

woensdag 19 april 2017, 13:49 door Arnoud Engelfriet, 22 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Ons bureau adviseert gezinnen, en slaat rapporten en adviezen op in de G Suite cloud, de zakelijke Google Drive zeg maar. Maar is dit wel toegestaan, gezien het gevoelige karakter van deze documenten?

Antwoord: G Suite is een officepakket in de cloud van Google, bedoeld voor bedrijven die veilig en snel bij hun gegevens willen kunnen. Maar in principe doet dat er niet toe: waar het om gaat, is dat het bureau persoonsgegevens opslaat bij een derde. (Er is geen cloud, het is gewoon iemand anders z'n computer.)

Het opslaan van persoonsgegevens bij een ander - uitbesteding - is in principe legaal, mits je aan een aantal voorwaarden voldoet:

1. Er moet een overeenkomst zijn tussen jou en de ander, een zogeheten bewerkersovereenkomst, waarin de privacyaspecten van de dienstverlening worden uitgewerkt. Hier zal onder meer over beveiliging, continuïteit en toegang zaken moeten zijn opgenomen.

2. De veiligheid van de gegevens moet daadwerkelijk zijn gewaarborgd, en je moet daar toezicht op kunnen uitoefenen. De ander mag er niet bij kunnen tenzij dat noodzakelijk is voor de dienst.

3. De persoonsgegevens moeten in de Europese Unie (heel formeel de EER, dus ook Noorwegen of Zwitserland zijn goed) zijn opgeslagen.

Van eis 3 mag alleen worden afgeweken als het land als 'veilig' is aangemerkt door de Europese Commissie. De VS (waar Google z'n data neerzet) wordt als veilig gezien sinds we het Privacy Shield hebben (de opvolger van Safe Harbor), hoewel daar nogal wat vraagtekens bij te zetten zijn. Het grote probleem met de VS is dat hun Justitie al snel vindt dat ze bij opgeslagen data mag, ongeacht van welke klant die afkomstig is. Dat botst met het idee dat dit data van Europeanen is, waar men alleen via een rechtshulpverzoek bij zou moeten kunnen. Dit is in Privacy Shield niet goed geregeld en zal dus tot problemen gaan leiden.

Een tussenoplossing is om met de Europese dochter van Amerikaanse bedrijven te werken. Daar kan de Amerikaanse Justitie dan geen bevelen aan geven, zeker niet nu Microsoft in hoger beroep een zaak heeft gewonnen die zegt dat ook de Amerikaanse moeder niet gedwongen mag worden die gegevens te gaan halen bij hun buitenlandse dochter.

Bij Google werken ze (voor zover ik weet) niet met die constructie, je doet altijd zaken met Google Inc. Data staat dan wel fysiek in Europa als je daarom vraagt, maar Justitie in de VS kan er dan dus legaal om vorderen en dat is dus een probleem.

Dat het hier om bijzondere persoonsgegevens gaat, maakt daarbij overigens weinig uit. Bij zulke gegevens is het vooral extra belangrijk om de noodzaak van het hebben daarvan aan te kunnen tonen, en om apart duidelijk toestemming te hebben gevraagd voor het gebruik. Maar beveiligingseisen en dergelijke blijven gelijk.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (22)
19-04-2017, 14:00 door [Account Verwijderd]
As far as I know (en ik hoor het heel graag als het anders is) is het bij Google niet mogelijk om een geografische lokatie van je data-opslag te kiezen. Althans, niet bij Google Suite (Works/Apps).

Het is overigens wel mogelijk om een MCC en een DPA te tekenen met Google, waarmee je voldoet aan de Europese normen van data-export van PII. Hiermee bij je niet afhankelijk van Privacy Shield. Of het juridisch überhaupt wel fijn is laat ik even in het midden.
19-04-2017, 16:35 door Anoniem
3. De persoonsgegevens moeten in de Europese Unie (heel formeel de EER, dus ook Noorwegen of Zwitserland zijn goed) zijn opgeslagen.
Zwitserland is geen lid van de EER. Wel Noorwegen, Liechtenstein en IJsland (en de EU).
19-04-2017, 17:35 door karma4
Door Anoniem:]
Zwitserland is geen lid van de EER. Wel Noorwegen, Liechtenstein en IJsland (en de EU).
Zwitserland doet officieel niet nee maar met alle verdragen toch weer wel. https://nl.m.wikipedia.org/wiki/Europese_Economische_Ruimte
19-04-2017, 20:28 door Anoniem
Als ik dat als klant zou weten, zou het voor mij reden zijn om per direct elke vorm van contact te verbreken...
Privacy shield of niet. Dergelijke data hoort niet in een 'cloud' en al helemaal niet bij google.
19-04-2017, 21:27 door Anoniem
Dergelijke data hoort niet in een 'cloud' en al helemaal niet bij google.

Ik heb dezelfde gevoelens bij cloud, maar ik zit tegelijkertijd met het volgende: waarom zou ik er vanuit moeten gaan dat gegevens die niet in een 'cloud', maar op de pc/server van de bedoelde partij veiliger opgeslagen staan?
20-04-2017, 05:26 door Anoniem
Het grote probleem met de VS is dat hun Justitie al snel vindt dat ze bij opgeslagen data mag, ongeacht van welke klant die afkomstig is.
Dat geldt tegenwoordig net zo goed voor de Nederlandse overheid. In de US kunnen bedrijven tegen dergelijke opdrachten in beroep gaan. Dat is in NL niet eens mogelijk.

Wie heeft nu boter op z'n hoofd?

Peter
20-04-2017, 06:59 door Anoniem
Door Anoniem: Als ik dat als klant zou weten, zou het voor mij reden zijn om per direct elke vorm van contact te verbreken...
Privacy shield of niet. Dergelijke data hoort niet in een 'cloud' en al helemaal niet bij google.
Het maakt mij niet uit waar de gegevens zich bevinden zolang de beveiliging ervan optimaal is ingeregeld. Tegenwoordig is de inhoud van databases prima te encrypten zodat de beheerder geen inzage in de gegevens kan hebben. Datzelfde geldt voor storage oplossingen, beheerders horen daar geen toegang toe te hebben. Backup & Restore systemen werken altijd met een serviceaccount (of dat zou zo moeten), en deze hoeft geen inhoudelijke toegang tot gegevens te hebben want deze backuped en restored een hoop bits met een checksum. Als de checksum goed is dan zijn de gegevens ook correct.
Daarnaast kun je er ook nog voor kiezen om de persoonsgegevens zelf binnen te houden en alleen de bewerkingen, zonder identificeerbare gegevens, buiten de deur te hosten. Dat vergt wat hoger denkwerk in de voorbereiding, en een applicatie die dit aan kan, maar onmogelijk is het niet. Dat is een vorm van privacy by design, wat in de AVG de voorkeur heeft.
20-04-2017, 09:36 door Anoniem
Google Cloud is niet regio gebonden. Dus het antwoord is NEE. Dit is niet toegestaan. Prive data van personen in de EU dient in de EU opgeslagen te worden.

Het gaat hier niet om wie erbij komt / kan. En of dat data opslaan bij Google slim is.

Je ziet steeds meer Cloud providers hun datacenters openen in Duitsland of Frankrijk. Deze landen hebben de strengste privacy regelementen van de EU.
20-04-2017, 10:25 door spatieman
alsof overheden zich daar wat van aantrekken...
20-04-2017, 11:36 door Anoniem
Door Anoniem:
Dergelijke data hoort niet in een 'cloud' en al helemaal niet bij google.

Ik heb dezelfde gevoelens bij cloud, maar ik zit tegelijkertijd met het volgende: waarom zou ik er vanuit moeten gaan dat gegevens die niet in een 'cloud', maar op de pc/server van de bedoelde partij veiliger opgeslagen staan?
Arnold schreef het al: de "cloud" bestaat niet, het is een computer beheerd door een ander.

Dus is van belang:
- wie is verantwoordelijk voor beheer en veiligheid? Dat is doorgaans de aanbieder (maar bij IAAS huur je alleen systemen en ben je het zelf)
- zijn ze zich daarvan bewust? Doorgaans wel, en daarom hebben ze een standaard set maatregelen die ze kunnen waarmaken
- weten ze welke verwachtingen je als klant hebt? Doorgaans niet, want ze vertellen wat zij bieden. De vraag is dus: heb je je als klant verdiept in de maatregelen die de provider biedt?
- weten ze aan welke eisen jij als klant moet voldoen? Doorgaans niet, ze kijken niet naar de bitjes en bytejes. Als klant ben je verantwoordelijk om dit met je leverancier (de provider) af te stemmen
- gaan ze hun eigen beveiliging aanpassen? Heel onwaarschijnlijk: ze kunnen goedkope diensten aanbieden door een vast aanbod voor iedereen. Heb je als klant onvoldoende aan dat pakket, dan moet je zelf naar een andere provider!
- als je dan privacy gevoelige data opslaat en er lekken gegevens, kan je dan de provider aansprakelijk stellen? Nee, niet echt: als klant blijf je verantwoordelijk en heb je de maatregelen geaccepteerd. Het was dus een bewuste keuze. Het grootste probleem is dat dit door een gemiddelde klant niet begrepen wordt. Vanaf mei 2018 wordt dit des te dringender, omdat je dan als klant moet aantonen dat je de gegevens die je onder je beheer hebt goed beschermd hebt. Ofwel: afspraken met alle toeleveranciers (bewerkingsovereenkomsten) en controle dat de leverancier zich aan de afspraken houdt.

Kortom: als klant (in dit geval het buro van de vragensteller) ben je verantwoordelijk. Het is net zo iets als een te kleine aanhanger huren en er dan 3 ton zand en tegels in gooien. Als je crashed kan je de verhuurder niet aansprakelijk stellen dat de aanhanger niet geschikt was voor zo'n zware last.

Q
20-04-2017, 15:28 door Anoniem
Door Anoniem:
Het grote probleem met de VS is dat hun Justitie al snel vindt dat ze bij opgeslagen data mag, ongeacht van welke klant die afkomstig is.
Dat geldt tegenwoordig net zo goed voor de Nederlandse overheid. In de US kunnen bedrijven tegen dergelijke opdrachten in beroep gaan. Dat is in NL niet eens mogelijk.

Wie heeft nu boter op z'n hoofd?

Peter

Allemaal :-)
Nederlandse overheid werkt nauw met USA bedrijven .
Ik hoop het, dat vrij snel boeten uitgedeeld zullen worden. Allen dan zal wet serieus genomen worden.
20-04-2017, 15:30 door Anoniem
Kijk hier eens naar ....komt uit de algemene voorwaarden van Google ....

When you upload, submit, store, send or receive content to or through our Services, you give Google (and those we work with) a worldwide license to use, host, store, reproduce, modify, create derivative works (such as those resulting from translations, adaptations or other changes we make so that your content works better with our Services), communicate, publish, publicly perform, publicly display and distribute such content.

Veilig?
20-04-2017, 19:32 door Anoniem
Door Anoniem: Als ik dat als klant zou weten, zou het voor mij reden zijn om per direct elke vorm van contact te verbreken...
Privacy shield of niet. Dergelijke data hoort niet in een 'cloud' en al helemaal niet bij google.
Ik ben benieuwd of je dat als klant van iedere organisatie waar je klant bent eerst gaat uitzoeken en dan daadwerkelijk
naar een andere leverancier gaat (en die kunt vinden) die wel aan je eisen voldoet.
Het zal steeds lastiger worden om dan nog leveranciers te vinden, want niet alleen gaat er steeds meer "in de cloud",
maar vooral ook wordt er steeds meer uitbesteed vaak nog in meerdere lagen. Dus als jij bij een dergelijk bureau
zo'n vraag stelt zal het antwoord vaak zijn dat men dat niet weet en dit eerst aan de IT leverancier moet vragen. Die
leverancier waar men mee werkt heeft het ook weer ergens anders ondergebracht. Daar kun je als klant allemaal
niet zo makkelijk bij.
21-04-2017, 00:44 door Anoniem
Niet veilig, gerechtelijke uitspraak geeft US toegang tot in andere regio's opgeslagen data: https://www.theregister.co.uk/AMP/2017/04/20/google_must_provide_overseas_gmail_data/
21-04-2017, 05:13 door Anoniem
Door Anoniem:
Door Anoniem:
Het grote probleem met de VS is dat hun Justitie al snel vindt dat ze bij opgeslagen data mag, ongeacht van welke klant die afkomstig is.
Dat geldt tegenwoordig net zo goed voor de Nederlandse overheid. In de US kunnen bedrijven tegen dergelijke opdrachten in beroep gaan. Dat is in NL niet eens mogelijk.

Wie heeft nu boter op z'n hoofd?

Peter

Allemaal :-)
Nederlandse overheid werkt nauw met USA bedrijven .
Ik hoop het, dat vrij snel boeten uitgedeeld zullen worden. Allen dan zal wet serieus genomen worden.

Aan wie?
De politie als ze illegaal persoonsgegevens verwerkrn?
De inlichtingendiensten als ze illegaal gegevens delen?

Waarom mogen trouwens overheidsinstellingen wel onbeperkt persoonsgegevens in de US (laten) verwerken en commerciele organisaties niet? We zijn bang dat de NSA bij bedrijven merkijkt, maar we gevrn ze wel diezelfde informatie.

Peter
21-04-2017, 08:40 door karma4
Cloud services neem AWS. https://d0.awsstatic.com/whitepapers/aws-security-best-practices.pdf Het IAAS/PAAS model: "To design an ISMS in AWS, you must first be familiar with the AWS shared responsibility model, which requires AWS and customers to work together towards security objectives.
AWS provides secure infrastructure and services, while you, the customer, are responsible for secure operating systems, platforms, and data. To ensure a secure global infrastructure, AWS configures infrastructure components and provides services and features you can use to enhance security, such as the Identity and Access Management (IAM) service, which you can use to manage users and user permissions in a subset of AWS services."

Dus als je denkt als manager: het staat in de cloud in ben niet meer verantwoordelijk, denk nog eens.

Google https://cloud.google.com/security/whitepaper "Traditionally organizations have looked to the public cloud for cost savings, or to augment private data center capacity. However, organizations are now primarily looking to the public cloud for security, realizing that providers can invest more in people and processes to deliver secure infrastructure."
Het begint al met het kostenbesparingsargument. Security is gewoonlijk iets om op te bezuinigen, dus even verder.
Het hele promotie verhaal hoe goed ze wel niet zijn zegt niets dus verder, tot:
"Administrative access
To keep data private and secure, Google logically isolates each customer’s Cloud Platform data from that of other customers and users, even when it’s stored on the same physical server. Only a small group of Google employees have access to customer data." en
"For customer administrators
Within customer organizations, administrative roles and privileges for Google Cloud Platform are configured and controlled by the project owner."
om vervolgens te verwijzen naar: https://cloud.google.com/security/compliance Dat zijn de audits en toekenningen hoe google het zaakje heeft ingericht. Nergens is uitgewerkt wat dat nu precies is die inrichting door google. Zegt dan niets. Nergens is er iets opgenomen aan welke eisen de klant zou moeten voldoen en hoe dat dan ingevuld is.

Nu ben ik dan heel cru. Al deze informatie zegt niets over het vereiste niveau van security bij de klant en wat er bij Google ingevuld is.
Het is van het niveau Max Verstappen Rijdt in de Formule 1, Max is nederlander, Elke nederlander rijdt Formule 1. Onzin.
Dus als je denkt als manager: het staat bij google in de cloud in ben niet meer verantwoordelijk, denk nog eens.
21-04-2017, 09:09 door Anoniem
Mijn deur staat open en je mag mijn huis niet leegroven.

Hoe groot zou de kans kunnen zijn dat mijn huis niet leeggeroofd wordt?

Google verdient haar geld met het verzamelen van (persoons) gegevens. Wanneer je privacygevoelige informatie opslaat op de servers van Google, dan moet je niet vreemd opkijken wanneer je "huis" wordt leeggeroofd.
21-04-2017, 09:28 door Anoniem
Door Anoniem:
Dergelijke data hoort niet in een 'cloud' en al helemaal niet bij google.

Ik heb dezelfde gevoelens bij cloud, maar ik zit tegelijkertijd met het volgende: waarom zou ik er vanuit moeten gaan dat gegevens die niet in een 'cloud', maar op de pc/server van de bedoelde partij veiliger opgeslagen staan?

Dat lijkt me wel een hele reële vraag. Een bedrijf dat data bij een provider plaatst zal niet per se de kennis in huis hebben om het zelf veiliger op te kunnen slaan. En dan ben je niet beter af met een onbeveiligde lokale database server die netjes aan het internet gehangen is, en met toegang voor medewerkers die blij op phishing mailtjes klikken...

Ik denk dat de vraag naar cloud of geen cloud pas aan het einde komt, en dat je moet beginnen met: hoe gaat dit bedrijf om met de gevoelige persoonsgegevens van klanten? Met informatiebeveiliging in het algemeen (als commercieel bedrijf heb je meer redenen om data geheim te houden, bv. om het je concurrenten niet te makkelijk te maken)?

Wat is er geregeld aan protocollen, procedures, voorschriften, hoe hoog is het beveiligingsbewustzijn? Wordt de bescherming van persoonsgegevens ook meegenomen in de uitbestedingstrajecten?

En als dat allemaal dik in orde is, dan kan de beslissing om de data in een cloud te zetten, best goed gemotiveerd zijn en kan er best een goede risico-analyse aan ten grondslag liggen.
21-04-2017, 09:39 door Prx
Door Anoniem: Kijk hier eens naar ....komt uit de algemene voorwaarden van Google ....

When you upload, submit, store, send or receive content to or through our Services, you give Google (and those we work with) a worldwide license to use, host, store, reproduce, modify, create derivative works (such as those resulting from translations, adaptations or other changes we make so that your content works better with our Services), communicate, publish, publicly perform, publicly display and distribute such content.

Veilig?

Je hebt het hier dan wel even over de Algemene Voorwaarden voor de consumentenproducten. Als je een G Suite gaat afsluiten dan wordt gevraagd of je akkoord gaat met de G Suite Terms of Service (https://admin.google.com/terms/apps/1/3/en/premier_terms_eea.html), daar staat het volgende in:

Except as stated in this Agreement, this Agreement does not grant either party any rights, implied or otherwise, to any of the other party's content, technology, or intellectual property. As between the parties, Customer owns all Intellectual Property Rights in Customer Data, and Google owns all Intellectual Property Rights in the Services.
21-04-2017, 10:38 door karma4 - Bijgewerkt: 21-04-2017, 10:41
De vraagsteller geeft iets aan bij Arnoud uit een bepaald circuit. "advies aan gezinnen" Ik denk hierbij snel aan de uitbesteding door gemeentes aan het private circuit voor deze taak. De betreffende gezinnen hebben door de situatie waarin ze zitten vaak geen keus. Het zijn de meest kwetsbaren op dat vlak.
Dan moet zoiets voor de administratie goedkoop en snel gerealiseerd worden. De informatie security staat dan meteen onder druk.

Zoals PRx al opmerkt het gaat om Gsuite niet de publieke dienst. Dan krijg je https://gsuite.google.nl/intl/nl/faq/security/{/url] moet zoiets goedkoop en snel gerealiseerd worden. De informatie security staat dan meteen onder druk.Het verhaal over locaties lijkt me door Google afdoende afgedekt te zijn. Ze noemen zonering (Europa) en het voldoen aan EU richtlijnen als standaard bij de diensten.Dat het hier om bijzondere persoonsgegevens gaat, maakt daarbij overigens weinig uit. Bij zulke gegevens is het vooral extra belangrijk om de noodzaak van het hebben daarvan aan te kunnen tonen, en om apart duidelijk toestemming te hebben gevraagd voor het gebruik. Maar beveiligingseisen en dergelijke blijven gelijk. Dat geloof ik niet dat de beveiligingseisen gelijk blijven (de technische invulling) de impact/risico klassificatie kan anders uitvallen en daardoor krijg je vanzelf andere eisen.
30-03-2018, 13:12 door Anoniem
Ok stel je wilt functionaliteiten zoals G-suite met primair excel en docs om samen te werken met klanten stukken die persoonlijke informatie bevat van die cliënt. Welke cloud oplossing is er dan wel die voldoet aan de GDPR?
26-04-2018, 10:00 door Anoniem
Ok, je moet dus een bewerkersovereenkomst met Google afsluiten. Maar hoe doe je dat dan? Waar stuur je dat naartoe, wie laat je hiervoor tekenen? Volgens mij is dit een stuk gecompliceerder dan een bewerkersovereenkomst met bv je salarisadministrateur..?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.