'Bedrijven moeten niet vertrouwen op cloudleveranciers VS'

AMSTERDAM - Het College bescherming persoonsgegevens (CBP) vindt dat Nederlandse bedrijven zelf verantwoordelijk blijven voor persoonsgegevens als zij in zee gaan met een Amerikaanse aanbieder van clouddiensten.

Dat blijkt uit een zienswijze die het CBP online heeft gezet. De organisatie kreeg vragen van Surf, een samenwerkingsverband van het Nederlandse hoger onderwijs en onderzoek op het gebied van ICT.

Wanneer een Nederlands bedrijf zaken doet met een aanbieder van clouddiensten in de Verenigde Staten worden deze gegevens opgeslagen in de VS. Daar gelden vaak andere regels dan in Nederland of Europa.

"Nederlandse bedrijven blijven zelf verantwoordelijk voor de naleving van de Wet bescherming persoonsgegevens", aldus het CBP. "Zo nodig moeten zij aanvullende afspraken met de aanbieder van de clouddiensten maken. In ieder geval geldt dat voor de beveiliging van de in de cloud verwerkte persoonsgegevens."

Safe Harbor

Deze verantwoordelijkheid geldt ondanks het Safe Harbor-keurmerk waarmee aangegeven wordt dat Amerikaanse aanbieders aan Europese eisen voldoen. In de praktijk worden de eisen namelijk niet altijd nageleefd.

"Voor naleving van de wet blijft de Nederlandse afnemer van de clouddiensten verantwoordelijk", schrijft het CBP. Surf roept partijen in een reactie op samen te werken omdat dan gemakkelijker aanvullende afspraken gemaakt kunnen worden met cloudleveranciers.

Lees meer over:
Tip de redactie