Aanbieders van cloud-diensten, zoals TransFollow, moeten voldoen aan de Wet bescherming persoonsgegevens en zorgdragen voor technische en juridische continuïteit. Waar moet u op letten als u gebruik maakt van een cloud-dienst?
1. DE VOORDELEN VAN EEN ELEKTRONISCHE VRACHTBRIEF
In de transportwereld zit men op ICT-gebied niet stil. Zoals in feite voor iedere sector geldt, zijn er belangrijke efficiëntievoordelen te behalen door het slim inzetten van ICT. Een voorbeeld daarvan is het systeem voor elektronische vrachtbrieven, dat momenteel door Beurtvaartadres, TLN en EVO ontwikkeld wordt, genaamd TransFollow.
Vrachtbrieven zijn van essentieel belang voor de transportwereld. Een belangrijke functie van de vrachtbrief is het bewijs van afspraken tussen afzender, vervoerder en ontvanger, alsmede het bewijs van het tijdstip en de plaats van overdracht van de goederen (inontvangstneming door de vervoerder, aflevering aan de geadresseerde). In de praktijk van alledag is het werken met allerlei met pen ingevulde en ondertekende (doordruk)velletjes papier minder handig en efficiënt dan een elektronisch systeem dat in de cloud draait. Sterker nog, naar verluidt zou de Nederlandse logistieke sector per jaar ongeveer 675 miljoen euro kunnen besparen met de elektronische vrachtbrief. Dergelijke besparingen zouden dankzij TransFollow mogelijk worden, doordat via TransFollow een vooraanmelding bij de afzender/aflader c.q. ontvanger kan worden gedaan met de gegevens over ophalen en aflevering. Zodoende zouden wachttijden kunnen worden beperkt en zogeheten afleverdiscrepanties voorkomen.
2. CLOUDDIENSTEN
Iedereen die Gmail, Dropbox, Facebook, Twitter, WhatsApp, LinkedIn, Instagram, WeTransfer en dergelijke diensten kent, en dat is tegenwoordig bijna iedereen, weet hoe handig en tijdbesparend clouddiensten en apps kunnen zijn.
Vanuit het perspectief van de zakelijke afnemer en gebruiker hebben cloud-diensten naast het bedieningsgemak voor de gebruiker, nog meer belangrijke voordelen. Doordat men in feite een dienst uitbesteedt en huurt, hoeft (de ICT-afdeling van) de afnemer/gebruiker bijvoorbeeld niet zelf hardware en software aan te schaffen om de dienst te ontwikkelen en te leveren. De hardware en software waar de dienst mee wordt aangeboden, draait in speciaal ingerichte en professioneel gerunde datacenters, terwijl een eenvoudige laptop, tablet of smartphone met internetverbinding en een standaard browser volstaat om er gebruik van te maken. Een ander voordeel is dat cloud-diensten meestal erg flexibel schaalbaar zijn. Als er méér nodig is, of dat nu in termen van rekenkracht, opslag, gebruikersaccounts of functionaliteiten is, kan dat op aanvraag vaak direct geleverd worden.
De belangrijkste nadelen voor afnemers liggen daarin, dat zij de controle over de beschikbaarheid en de beveiliging van de diensten en de daarin verwerkte gegevens uit handen geven. Daarom zijn veel bedrijven nog steeds huiverig om zich afhankelijk te maken van diensten die in de cloud draaien. Doordat succesvolle aanbieders enorm veel klanten tegelijk bedienen, hebben zij een grote schat aan waardevolle en gevoelige data onder hun hoede. Zeker in een tijdperk van langdurige financiële malaise en een sterke stijging in criminele hacks en datalekken, moet het buiten kijf staan dat de dienst én de daarmee verwerkte gegevens continu beschikbaar zijn en goed beveiligd tegen verlies, aantasting en onrechtmatige toegang. Vóórdat bedrijven overstappen van meer traditionele ICT naar apps en cloud-diensten, moeten zij zich dan ook goed verzekeren van de veiligheid en betrouwbaarheid daarvan. Voor bedrijven die cloud-diensten aanbieden of afnemen, is een aantal maatregelen juridisch verplicht en een aantal aanvullende maatregelen juridisch aanbevolen.
3. VERPLICHTE MAATREGELEN
Als er in de cloud-dienst (ook) persoonsgegevens worden verwerkt, wat tegenwoordig bijna altijd het geval is, is het wettelijk verplicht om een bewerkersovereenkomst te sluiten. Daarin regelen de aanbieder en de afnemer juridisch hoe de privacy van de betrokkenen wordt beschermd en welke technische en organisatorische maatregelen er worden genomen om persoonsgegevens te beveiligen tegen verlies en onrechtmatige verwerking.(1)
Bij cloud-diensten zijn bewerkersovereenkomsten van groot belang voor veiligheid en continuïteit. Vaak is er sprake van een lange keten van dienstverleners die samenwerken om de cloud-dienst te kunnen leveren. Het ene bedrijf programmeert de software, terwijl een ander bedrijf het exploiteert en verkoopt, al dan niet via externe distributeurs. De hosting (het draaien en via het internet beschikbaar stellen) van de software wordt vaak bij een externe hostingprovider ingekocht, die op zijn beurt wellicht rackspace (ruimte om fysieke servers in te hangen) huurt in een datacenter. Al deze partijen hebben vaak feitelijk toegang tot de gegevens van de cloud-dienst.(2) In bewerkersovereenkomsten maken alle schakels in de keten onderling afspraken over hoe de veiligheid en continuïteit van de cloud-dienst wordt gewaarborgd.
Ook moet er normaliter een duidelijke privacy-policy zijn gepubliceerd waarin informatie voor de betrokkenen wordt geboden over de doeleinden waarmee persoonsgegevens worden verwerkt, hoe betrokkenen inzage kunnen krijgen in hun persoonsgegevens en hoe deze gegevens zijn verwerkt en op welke wijze zij om correctie kunnen verzoeken. In de privacy-policy kan ook enige algemene uitleg aan de betrokkenen worden verschaft over het niveau van veiligheid dat ze kunnen verwachten.(3)
4. AANBEVOLEN MAATREGELEN
Hacks, cybercrime en datalekken zijn tegenwoordig belangrijke onderwerpen, ook in het algemene nieuws. Steeds meer bedrijven realiseren zich het risico dat zij de volgende kunnen zijn die op de voorpagina staat. Daarbij verplicht de Wbp bedrijven om passende beveiligingsmaatregelen te treffen tegen verlies en onrechtmatige verwerking van persoonsgegevens. Hoewel de wet de onderstaande maatregelen niet met zoveel woorden verplicht, zijn deze wel aanbevolen om te voldoen aan de beveiligingsplicht.
4.1 BEVEILIGINGSPROTOCOL
Het is bijvoorbeeld aan te bevelen om voor intern gebruik een informatiebeveiligingsprotocol op te stellen. Het protocol stelt iedereen in de organisatie in staat op een veilige en ‘hygiënische’ manier met persoonsgegevens om te gaan . Een beveiligingsprotocol kan ook als bijlage bij de verplichte bewerkersovereenkomst worden opgenomen.
4.2 INCIDENTENDRAAIBOEK
Omdat geen enkele maatregel voor 100 procent kan garanderen dat er nooit een incident zal plaatsvinden, is het ook verstandig om een incidentendraaiboek op te stellen. Als een groep hackers onverhoopt een database vol met persoonsgegevens heeft buitgemaakt, kan een vooraf opgesteld draaiboek de organisatie helpen om de juiste acties snel te nemen en te vermijden dat paniekvoetbal de schade juist groter maakt.
4.3 BYOD-REGLEMENT
Omdat werknemers tegenwoordig soms ook eigen apparatuur voor hun werk gebruiken, is een bring-your-own-device-reglement ook verstandig. Daarmee kan het risico worden beperkt dat een laptop of smartphone van een werknemer de zwakke schakel in de beveiligingsketen is, waarmee onbevoegden toegang kunnen krijgen tot gevoelige databases.
4.4 ETHISCH HACKEN? RESPONSIBLE DISCLOSURE POLICY
Een responsible disclosure policy helpt om te zorgen dat de activiteiten van ethische hackers positief uitpakken voor de organisatie, in plaats van negatief. Een goede responsible disclosure policy geeft duidelijk aan waar ethische hackers zich aan moeten houden en hoe zij eventueel beloond kunnen worden als zij netjes volgens de regels een bijdrage leveren aan het opwaarderen van de beveiliging.
4.5 EEN STANDAARD IMPLEMENTEREN, ZOALS DE ISO 27001 EN 27002 NORMEN
Het College bescherming persoonsgegevens verwijst in zijn richtsnoeren ‘beveiliging persoonsgegevens’ naar diverse standaarden en best-practices om tot een goede informatiebeveiliging te komen. Met behulp van ISO 27001 kan een organisatie bijvoorbeeld een ‘information security management system’ (ISMS) opzetten, terwijl ISO 27002 vooral voorbeelden bevat van concrete beveiligingsmaatregelen die kunnen worden geïmplementeerd.
4.6 VERZEKERING AFSLUITEN
Steeds meer verzekeraars bieden tegenwoordig ook speciale verzekeringen voor hacks, datalekken en privacy-problemen. Náást de bovenstaande maatregelen, kan een verzekering helpen de risico’s te beperken. Daarbij dient wel goed op de uitsluitingen en beperkingen te worden gelet en niet te vergeten het eigen risico en andere, verborgen kosten.
5. HET WAARBORGEN VAN CONTINUÏTEIT
Als de aanbieder van de cloud-dienst failliet gaat, hebben alle klanten een groot probleem. Ze hebben dan normaal gesproken geen beschikking meer over de dienst waar zij inmiddels afhankelijk van zijn en waar zij veel belangrijke gegevens in hebben opgeslagen. Er bestaan juridische oplossingen om te waarborgen dat de bedrijfsvoering van klanten van cloud-diensten niet tot stilstand komen als de aanbieder failliet gaat. In essentie draaien deze oplossingen erom dat de essentiële onderdelen van de dienst zoveel mogelijk onder gebracht worden in aparte juridische entiteiten (trusted third parties, TTPs) die niet afhankelijk zijn van de solventie van de dienstverlener en zo min mogelijk (bedrijfs)risico draagt. Daarbij kan bijvoorbeeld worden gedacht aan een stichting die het waarborgen van de continuïteit van de dienst als doel heeft.
6. VRACHTBRIEF IN DE CLOUD MET WAARBORGEN
Zoals hierboven uitgelegd, kleven er risico’s aan het gebruik van cloud-diensten. Om verladers en vervoerders te overtuigen van de mogelijkheden van vrachtbrieven in de cloud, zullen waarborgen over die ‘cloud’ transparant moeten zijn. Voor het succes van de elektronische vrachtbrief is het cruciaal dat de beschikbaarheid, integriteit en vertrouwelijkheid van de vrachtbrieven en andere in het systeem opgeslagen informatie door de aanbieder consciëntieus wordt beheerd en gegarandeerd.
VOETNOTEN
Zie artikel 14 Wet bescherming persoonsgegevens (“Wbp”). 20
Om nog te zwijgen over alle aanbieders van internettoegang en –transit, over wiens netwerken de gegevens feitelijk worden verstuurd.
In artikel 7 Wbp is bepaald dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. In artikel 35 en 36 zijn de rechten op inzage en correctie voor betrokkenen geregeld.