De Gegevensbeschermingsautoriteit (GBA) keurt een GDPR-gedragscode goed voor leveranciers van clouddiensten op de Europese markt. De code komt er op initiatief van de grote cloudproviders zelf. Alleen Amazon Web Services (AWS) past.
De EU Cloud CoC, zoals de gedragscode officieel heet, is opgesteld door een groep verenigde cloudbedrijven en legt de verplichtingen van cloudbedrijven voor het beveiligen van persoonsgegevens gedetailleerd vast. Ook regelt ze de verhouding tussen de cloudprovider en de klanten. Iaas-klanten die kiezen voor diensten die aan de code voldoen, kunnen zich verzekeren van betrouwbare cloudinfrastructuren die gegevens verwerken in overeenstemming met de GDPR.
De code moet ook vertrouwen scheppen bij klanten en hun eindgebruikers door te garanderen dat een gecertificeerde IaaS-dienst volledig in overeenstemming is met de GDPR.
Opvolgen
‘De goedkeuring van de EU Cloud CoC is een belangrijke stap naar een geharmoniseerde interpretatie en toepassing van de GDPR in een cruciale sector voor de digitale economie’, oppert David Stevens, voorzitter van de GBA. De Belgische toezichthouder kwam tot een positief advies in samenwerking het Europees Comité voor Gegevensbescherming (EDPB), waarin alle 27 nationale privacytoezichthouders uit de Europese Unie zetelen
De GBA moet de naleving van de gedragscode niet actief opvolgen. Dat is een taak voor Scope Europe als toezichthoudend orgaan, die rapporteert aan de GBA. Scope Europe wordt als organisatie gefinancierd door de deelnemende cloudbedrijven. Ook de eindgebruikers, de gewone consumenten, kunnen een klacht indienen bij Scope Europe. Al kunnen zij ook nog altijd rechtstreeks bij de GBA aankloppen.
Wie doet mee?
De gedragscode wordt onderschreven door grote spelers als Microsoft, Google, Alibaba Cloud en IBM. Ook namen als Salesforce, Dropbox, Oracle, SAP, Workday en Cisco staan op de lijst, maar ook kleinere bedrijven als Fabasoft, Octa en Trustarc. Deelname aan de gedragscode gebeurt op vrijwillige basis. Van de grote cloudspelers doet Amazon Web Services (AWS) niet mee. AWS hanteert een gedragscode (CISPE) waar ook andere Europese cloudproviders, zoals OVHcloud uit Frankrijk en Leaseweb uit Nederland, zich achter scharen en die door de Franse toezichthouder wordt onderzocht.
De GBA wil de ontwikkeling van dergelijke gedragscodes overigens blijven aanmoedigen. ‘Gedragscodes zijn niet alleen een efficiënte manier om de GDPR te implementeren binnen een bepaalde sector, ze helpen ook om vertrouwen te bouwen tussen de verwerkingsverantwoordelijken en betrokkenen’, vult Stevens aan.
Info over de goedkeuringsbeslissing 05/2021 van de EU Cloud CoC.
Info over de accreditatiebeslissing 06/2021 van SCOPE Europe.
