SaaS en Datasoevereiniteit: waar moet je op letten?

De moderne werkplek is afhankelijk van veel digitale tools zoals Zoom, Slack, Teams en Google Workspace. Heel handig, maar in het huidige privacy en geopolitieke landschap brengt dit een aantal aandachtspunten met zich mee. Waar staat je data nu eigenlijk opgeslagen en wie kan erbij? Natuurlijk wil je als ondernemer­­ dat je data veilig wordt opgeslagen, maar je moet hier ook rekening mee houden in het kader van de Algemene verordening gegevensbescherming (AVG). Je moet zorgvuldig omgaan met de persoonsgegevens die je verzamelt, en hierbij letten op de SaaS- en clouddiensten die je  gebruikt binnen je organisatie. Dit geldt ook voor bijvoorbeeld de fysieke servers waar je eigen website of cloud applicatie op draait. Het is in dit kader belangrijk dat de eigen organisatie, als digitale leveranciers, goed acht slaan op de mogelijke privacy-risico’s. Om deze problematiek te duiden is de term datasoevereiniteit nuttig.

Datasoevereiniteit gaat over de fysieke locatie waar data wordt opgeslagen en verwerkt, maar hiernaast ook over welke wetten van toepassing zijn op deze verzamelde data. De AVG heeft het uitgangspunt dat persoonsgegevens van EU-burgers slechts fysiek in de EU opgeslagen en verwerkt mogen worden. Dit kent enkele uitzonderingen, maar deze zijn niet geheel zonder risico, zo kunnen veranderende wetgeving of opvattingen van gegevensbeschermingsautoriteiten roet in het eten gooien van constructies die het verwerken van EU persoonsgegevens buiten de EU mogelijk maakten. Ook is het overdragen van EU-data naar Amerikaanse entiteiten (waaronder Big Tech) een stuk ingewikkelder gemaakt doordat het Privacy Shield ongeldig is verklaard met de Schrems II-uitspraak. Het opslaan en verwerken van persoonsgegevens buiten de EU is onder omstandigheden noodzakelijk en toegestaan. Maar de eerdergenoemde voorbeelden van juridische onzekerheid over dit onderwerp brengt een groot risico met zich mee dat een ooit geoorloofde privacyconstructie, niet meer toegestaan is. Al met al brengt het meer zekerheid en minder juridische risico’s met zich mee om je eigen zakelijke data, maar ook eventuele persoonsgegevens van je klanten in de EU te bewaren conform de regels die de AVG voorschrijft.

Kies de locatie van jouw data

De belangrijkste plek om bij te beginnen is de fysieke locatie van de data. De makkelijkste plek om te beginnen voor veel diensten is het gebruik van zogenaamde “data residency tools”. Dit zijn tools of instellingen die vaak in het product verwerkt zitten en jou als zakelijke gebruiker of organisatie de mogelijkheid bieden om de locatie te kiezen waar de data in wordt opgeslagen voor jouw organisatie. Microsoft 365 en Google Workspace bieden, als grote providers van zakelijke clouddiensten, mogelijkheden om dit te regelen. Hiernaast bieden ook andere zakelijke SaaS diensten als Zoom en Slack de mogelijkheid om een fysieke regio te selecteren waar je data wordt opgeslagen.

Vergelijkbare mogelijkheden heb je ook als je andere clouddiensten gebruikt bij bijvoorbeeld Amazon Web Services (AWS), Google Cloud Platform (GCP) of Microsoft Azure. Deze diensten bieden de mogelijkheid om te kiezen welke regio, of soms zelfs welk datacentrum je wil gebruiken. Zorg ervoor dat ook de technische verantwoordelijken zich hiervan bewust zijn zodat je cloud infrastructuur in een EU-dataregio wordt opgezet.

Let er wel op dat deze instellingen niet waterdicht zijn. Ook al selecteer je een EU-datacentrum voor je opslag, kan niet gegarandeerd worden dat je data ook echt fysiek in de EU blijft. Door de wereldwijde verbondenheid van cloud infrastructuur kan het namelijk zo zijn dat je data (tijdelijk) elders staat. Ook betekent een fysieke opslaglocatie binnen de EU niet dat deze data niet ook kan worden ingezien vanuit bijvoorbeeld het Amerikaans moederbedrijf van een tech-partij. Hoewel je data in principe in de EU staat, bestaat er dus nog steeds een risico dat je data wordt benaderd vanuit andere landen. Dit is geen probleem als de EU van mening is dat de privacywetgeving in dat land voldoende is, maar dit is vaak niet het geval, bijvoorbeeld in de VS. Werk je dus samen met bijvoorbeeld een Amerikaans tech-bedrijf, dan dien je dit te behandelen als datadoorgifte. Dit betekent dat aanvullende formaliteiten vereist zijn, zoals het uitvoeren van een Data Transfer Impact Assessment, het gebruik van een modelcontract (Standard Contractual Clauses) en het nemen van aanvullende (beveiligings)maatregelen zoals het zoveel mogelijk opslaan van data in de EU en werken met encryptie. Vanwege het transparantiebeginsel is het van belang dat je klanten ook goed informeert over de mogelijke risico’s, bijvoorbeeld in je privacyverklaring.

Check de certificaten van de dienstverlener

Een goede barometer voor de mate waarin een dienstverlener de AVG naleeft, en dus conform datasoevereiniteitsregels handelt, is of ze beschikt over één of meerdere certificeringen die dit kunnen aanduiden. Voorbeelden hiervan zijn ISO 27001 (informatiebeveiliging), ISO 27017 (beveiligingsmaatregelen voor het gebruik van cloud systemen) en ISO 27018 (over het beschermen van persoonsgegevens in de cloud). Let op dat deze certificeringen niet betekenen dat een partij ook daadwerkelijk AVG-compliant is, maar slechts dat ze best practices gebruiken op het gebied van gegevensbescherming. Daarnaast kan een eerder uitgevoerde externe audit of een eigen evaluatie van de privacypraktijken van deze partij een goede aanwijzing bieden als het gaat om risico’s op het gebied van datasoevereiniteit, security en AVG-compliance.  

Zijn beide partijen een Europees bedrijf? 

Om AVG-gerelateerde conflicten te vermijden is het nuttig om vast te stellen of de digitale leverancier waar je mee samenwerkt een Europees bedrijf is. Zo kan je controleren of beide partijen aan de AVG-gebonden zijn. Dit ligt anders als je zakendoet met internationale leveranciers of Big Tech partijen. Hierbij kan het soms onduidelijk zijn of je nu contracteert met een lokale dochteronderneming of de grote Amerikaanse moederonderneming. Belangrijke aanwijzingen zijn hiervoor de documentatie die het bedrijf zelf uitgeeft, maar ook de belangen van de leverancier en de zakelijke structuur van de onderneming kunnen hierbij belangrijke indicaties zijn.

Het is dus niet altijd even makkelijk om je data ook daadwerkelijk in de EU op te slaan, maar wel heel belangrijk. Op deze manier beperk je je risico om in strijd te handelen met de AVG en op hoge AVG-boetes. Door onderzoek te doen naar de afspraken met digitale leveranciers kun je veel problemen voor zijn.

Deze blog is in samenwerking geschreven met stagiair Michael de Borst.

Click me


Meer lezen over dit onderwerp? Lees verder:

Terug naar overzicht