U bent hier: Home > IT Recht > Cloud computing op komende agenda privacytoezichthouders
Cloud computing op komende agenda privacytoezichthouders

Cloud computing op komende agenda privacytoezichthouders

Geplaatst door: Mark Jansen op 2012-05-16 thema(s): IT Recht, Privacyrecht

Uit de agenda voor de komende bijeenkomst van de artikel 29 werkgroep blijkt dat er waarschijnlijk een opinie aankomt over de privacyrechtelijke aspecten van cloud computing.

De artikel 29 werkgroep is een onafhankelijk adviesorgaan dat onder meer tot taak heeft om te waken voor “een homogene toepassing” van het privacyrecht. In de praktijk geeft deze werkgroep met name opinies over hoe het privacyrecht (met beginselen die deels uit de jaren ’60 stammen) tegenwoordig (met allerlei moderne ontwikkelingen) moet worden toegepast. In de werkgroep hebben onder andere de privacytoezichthouders zitting.

Exportverbod privacyrecht

Cloud computing is een van de moderne ontwikkelingen die privacyrechtelijk veel vragen oproept. Het privacyrecht verbiedt namelijk (kort samengevat) de export van persoonsgegevens buiten de Europese Economische Ruimte. Het aardige van cloud computing is nu juist de schaalbaarheid en flexibiliteit en daarmee de mogelijkheid om data op eenvoudige wijze op te slaan in goedkope datacentra. Aangezien die goedkope datacentra vaak buiten de EER gevestigd zijn, wordt bij bepaalde vormen van cloud computing de data buiten de EER opgeslagen. Daarmee wordt waarschijnlijk het exportverbod uit het privacyrecht overtreden.

Uitzonderingen sluiten niet aan bij cloud computing

Er zijn uitzonderingen op dit exportverbod, maar die sluiten (om verschillende redenen) in de praktijk niet goed aan bij cloudcomputing. Een reden hiervoor is dat cloud computing vaak een standaardoplossing is, terwijl de modelcontracten juist uitgaan van (zeer) gedetailleerde (maatwerk)afspraken. Ook is de idee van cloud computing nu juist dat data flexibel over de wereld kan worden gealloceerd, terwijl de idee van privacyrecht nu juist is dat de verantwoordelijke (de klant van de cloud provider) weet waar “zijn” data is. Dat is lastig op eenvoudige wijze met elkaar te rijmen.

Waar houdt toepassing privacyrecht op?

Overigens is de vraag of het privacyrecht wel volledig van toepassing is op cloud computing. Datacentra versleutelen de bij hen opgeslagen data immers vaak en het is de vraag of die versleutelde data nog wel persoonsgegevens zijn. Voor de partij waar “de sleutel” bekend is (de cloud provider zelf) zal die vraag niet zo moeilijk te beantwoorden zijn; aangenomen mag worden dat dan sprake is van het verwerken van persoonsgegevens. De vraag is echter of de onder-onder-onderaannemer (het zoveelste datacentrum in de keten) die versleutelde data ontvangt van een ander datacentrum dat op zijn beurt ook alleen maar versleutelde data heeft ontvangen, nog wel persoonsgegevens aan het verwerken en is (dus) moet voldoen aan de strenge criteria uit het privacyrecht.

Opinie op agenda 6 en 7 juni 2012

Er staat nu dus een opinie over cloud computing op de agenda van de artikel 29 werkgroep van 6 en 7 juni 2012. Het concept van deze opinie heb ik niet online kunnen vinden. Ik vermoed dat de opinie eerst online komt na de bespreking. Hopelijk geeft de opinie duidelijk aan hoe de werkgroep (en daarmee ook de Europese toezichthouders) denken over cloud computing in het kader van privacyrecht. We houden u op de hoogte.

  • LinkedIn
  • Facebook
  • Twitter
  • Google Plus
  • del.icio.us
  • email
  • PDF
  • Print
Gerelateerde artikelen:
  1. 24-11-11 – seminar ‘Juridische aspecten van cloud computing’
  2. Privacytoezichthouders niet echt in de wolken over de cloud
  3. Spoedvragen EC over toegang USA tot Europese cloud

Gelabeld met:

Disclaimer & privacy statement © Dirkzwager advocaten & notarissen N.V. Alle rechten voorbehouden.
Naar boven scrollen