Privacy Company controleert naleving privacywetgeving door cloudproviders

Privacy Company voert data protection impact assessments (DPIA’s) uit om duidelijk te maken of en waar privacyrisico’s ontstaan bij het gebruik van softwareproducten en online diensten. Een DPIA brengt de risico’s in kaart en beschrijft maatregelen die cloudproviders en hun klanten zouden moeten nemen om de risico’s te verkleinen of te voorkomen. Sjoera Nas en Floor Terra, senior privacy adviseurs bij Privacy Company, vertellen wat een DPIA is en hoe die in zijn werk gaat. De digitale transformatie leidt ertoe dat veel (semi-) overheidsinstellingen en bedrijven gebruikmaken van online diensten van cloudproviders. De cloudproviders verzamelen en verwerken daarbij ook zelf informatie uit het netwerkverkeer, bijvoorbeeld voor het verbeteren van hun dienstverlening of voor gerichte marketingcampagnes. Het is aan Privacy Company om door middel van een DPIA te achterhalen wat er precies gebeurt, of dit risico’s met zich meebrengt en wat er beter kan.

Wat is een DPIA?

Cloudproviders hebben toegang tot persoonsgegevens en dienen dus de regels na te leven van de Algemene Verordening Gegevensbescherming (AVG). Daarom vragen overheden en bedrijven Privacy Company om een data protection impact assessment (DPIA). “Een DPIA is een gegevensbeschermingseffectbeoordeling, oftewel een inschatting van de privacyrisico’s voor de mensen die met software werken, of die nu op de eigen systemen geïnstalleerd is of als online versie wordt afgenomen bij een cloudprovider”, zegt Nas. “Privacy is een grondrecht, dus we moeten goed kijken of de rechten die in de wet zijn vastgelegd gerespecteerd worden door cloudproviders.”

Hoe ziet het proces van een DPIA eruit?

“Wij voeren een DPIA uit in vier hoofdstukken met Privacy Company voert data protection impact assessments (DPIA’s) uit om duidelijk te maken of en waar privacyrisico’s ontstaan bij het gebruik van softwareproducten en online diensten. Een DPIA brengt de risico’s in kaart en beschrijft maatregelen die cloudproviders en hun klanten zouden moeten nemen om de risico’s te verkleinen of te voorkomen. Sjoera Nas en Floor Terra, senior privacy adviseurs bij Privacy Company, vertellen wat een DPIA is en hoe die in zijn werk gaat. elk een technisch en een juridisch aspect”, zegt Terra. “Hoofdstuk 1 biedt voornamelijk een beschrijving van het technische onderzoek naar hoe de gegevensverwerking er binnen de toepassing uitziet.” “We bekijken het hele raamwerk van alle afspraken die de klant met de cloudprovider maakt over de gegevensverwerking”, zegt Nas. “Stookt de papieren beschrijving met de werkelijkheid?” Het tweede hoofdstuk omvat een beoordeling van de rechtmatigheid van de gegevensverwerking en het derde hoofdstuk analyseert de privacyrisico’s die daaruit kunnen voortvloeien. Tot slot beschrijven de adviseurs van Privacy Company in hoofdstuk 4 eventuele verbetermaatregelen.

Terra: “Als we bijvoorbeeld een DPIA uitvoeren op Microsoft Office, gebruiken we de applicaties binnen dat pakket alsof we een van de medewerkers of ambtenaren van onze opdrachtgever zijn. We stellen scenario’s op die overeenkomen met de dagelijkse praktijk van gebruikers. We werken altijd met twee testaccounts die met elkaar communiceren, zodat we ook zien wat er gebeurt als een gebruiker een mail of bestand ontvangt. Tijdens het mailen of uploaden van bestanden onderscheppen we al het netwerkverkeer en zien we wat er naar buiten gaat en waar het naartoe wordt gestuurd. Dan zien we bijvoorbeeld dat een Office-applicatie gegevens naar allerlei derde partijen verstuurt. Sjoera kijkt dan in de contracten of er iets beschreven staat over gegevensuitwisseling met derden. Die combinatie van technisch en juridisch onderzoek maakt onze DPIA’s enorm waardevol.”

Oceaanstomer

De DPIA’s van Privacy Company zijn ook voor cloudproviders waardevol. Het kost tenslotte omzet als klanten toepassingen niet kunnen of willen gebruiken omdat deze de privacy van gebruikers onvoldoende beschermen. Waarom is het in de praktijk dan toch zo moeiijk om de cloudproviders zover te krijgen dat zij de verbeterplannen uitvoeren? Terra: “Het is voor de grote cloudproviders heel lastig om de kern van het businessmodel te veranderen. De processen zijn heel complex en vast ingericht, zodat ze hun producten en diensten op één manier aan de hele wereld kunnen aanbieden. Dat maakt het erg moeilijk om kleine wijzigingen aan te brengen.”

Een aanpassing van de applicatie of dienst vraagt in feite om een essentiële beleidswijziging binnen de organisatie van de cloudprovider. “Microsoft vergelijkt zichzelf weleens met een oceaanstomer. Die kun je niet zomaar even van koers laten wijzigen”, zegt Nas. “Soms lukt het echter toch om de oceaanstomer te keren. Bijvoorbeeld als wij een cloudprovider ervan overtuigen dat alle overheidsinstellingen in Europa de diensten niet meer mogen gebruiken omdat die in strijd zijn met Europese wettelijke regels. Dat leidt weleens tot een koersverandering. Dat zie je bij Microsoft, en die is dan meteen wereldwijd van toepassing, voor alle zakelijke klanten. Maar dat vergt nogal wat.”

Onderscheidend vermogen

Overheden en bedrijven varen blind op de onderzoeken van Privacy Company. Wat is de kredietwaardigheid van de adviseurs? Nas: “Naast de combinatie van het technische uitzoekwerk en de juridische analyse zijn we ook heel goed in het opstellen van hele concrete boodschappenlijstjes. We voegen aan ons verslag een complete tabel met concrete maatregelen toe die cloudproviders zouden moeten nemen om risico’s te reduce Hiervoor leunt Privacy Company ook sterk op de technische kennis die intern aanwezig is. “We kunnen precies aangeven wat er op technisch vlak moet gebeuren”, zegt Terra. “We kunnen daarvoor dan ook meerdere suggesties geven, en daar worden de cloudproviders blij van. Zij zijn verrast en verheugd dat ze met iemand kunnen praten die snapt dat je aan bepaalde natuurkundewetten moet voldoen om de voorgestelde verbeteringen te realiseren.”

 

 

Sjoera Nas en Floor Terra zijn senior privacy adviseurs bij Privacy Company

Meer over
Lees ook
Rockwell Automation opent nieuw Cyber Operations Center en werkt samen met Dragos en CrowdStrike

Rockwell Automation opent nieuw Cyber Operations Center en werkt samen met Dragos en CrowdStrike

Rockwell Automation, Inc. heeft vandaag nieuwe investeringen bekendgemaakt ter verbetering van het cybersecurity-aanbod. Daardoor kan het bedrijf zijn klanten - zowel op het gebied van informatietechnologie (IT) als operationele technologie (OT) - beter ondersteunen bij het opbouwen van een adequate bescherming tegen cyberbedreigingen. Deze investeringen...

Jouw SaaS-data, jouw verantwoordelijkheid

Jouw SaaS-data, jouw verantwoordelijkheid

De coronacrisis heeft de afgelopen anderhalf jaar tal van werknemers uit het kantoor verdreven. Overal ter wereld werden mensen door de overheid aangespoord om zoveel mogelijk vanuit huis te werken. Maar nu de lockdowns langzaam worden opgeheven, lijkt hybride werken de norm te blijven. Onderzoeksbureau IDC onderschrijft deze visie. Het voorspelt dat...

Commvault introduceert diensten voor bescherming tegen ransomware

Commvault introduceert diensten voor bescherming tegen ransomware

Commvault, wereldwijd leverancier van zakelijke software voor het beheer van databeheer in omgevingen in de cloud en op locatie, introduceert vandaag nieuwe diensten die bedrijven helpen om zich voor te bereiden op ransomware-aanvallen, zich ertegen te beschermen en zich ervan te herstellen.