Het College Bescherming Persoonsgegevens (CBP) heeft vorige week maandag een zienswijze gepubliceerd over het uitbesteden van ICT diensten door een Nederlands bedrijf aan een Amerikaanse cloudprovider. Het CBP heeft haar visie voor een groot deel gebaseerd op de opinie van de Europese Artikel 29 Werkgroep over cloud computing.
Prijs vergelijk ADSL, kabel, glasvezel aanbieders en bespaar geld door over te stappen!
Doorgifte van persoonsgegevens vanuit de EU naar de VS mag, mits de Amerikaanse cloudprovider zich committeert aan de Safe Harbor Principles en geregistreerd staat op de Safe Harbor List. Maar let op, dit is niet voldoende! Het verwerken van Nederlandse data in de VS moet ook verlopen conform de eisen van de Wet bescherming persoonsgegevens. Het Nederlandse bedrijf blijft immers verantwoordelijk en dient zelf ‘in control’ te blijven over de persoonsgegevens die in de cloud worden gezet. Het CBP gaat daarom ook in op het uitvoeren van audits op beveiliging (SAS70, ISAE 3402 en SSAE16) en op de vraag hoe om te gaan met subbewerkers die door de cloudproviders worden ingeschakeld.
