Privacy Company controleert naleving privacywetgeving door cloudproviders

Privacy Company voert data protection impact assessments (DPIA’s) uit om duidelijk te maken of en waar privacyrisico’s ontstaan bij het gebruik van softwareproducten en online diensten. Een DPIA brengt de risico’s in kaart en beschrijft maatregelen die cloudproviders en hun klanten zouden moeten nemen om de risico’s te verkleinen of te voorkomen. Sjoera Nas en Floor Terra, senior privacy adviseurs bij Privacy Company, vertellen wat een DPIA is en hoe die in zijn werk gaat. De digitale transformatie leidt ertoe dat veel (semi-) overheidsinstellingen en bedrijven gebruikmaken van online diensten van cloudproviders. De cloudproviders verzamelen en verwerken daarbij ook zelf informatie uit het netwerkverkeer, bijvoorbeeld voor het verbeteren van hun dienstverlening of voor gerichte marketingcampagnes. Het is aan Privacy Company om door middel van een DPIA te achterhalen wat er precies gebeurt, of dit risico’s met zich meebrengt en wat er beter kan.

Wat is een DPIA?

Cloudproviders hebben toegang tot persoonsgegevens en dienen dus de regels na te leven van de Algemene Verordening Gegevensbescherming (AVG). Daarom vragen overheden en bedrijven Privacy Company om een data protection impact assessment (DPIA). “Een DPIA is een gegevensbeschermingseffectbeoordeling, oftewel een inschatting van de privacyrisico’s voor de mensen die met software werken, of die nu op de eigen systemen geïnstalleerd is of als online versie wordt afgenomen bij een cloudprovider”, zegt Nas. “Privacy is een grondrecht, dus we moeten goed kijken of de rechten die in de wet zijn vastgelegd gerespecteerd worden door cloudproviders.”

Hoe ziet het proces van een DPIA eruit?

“Wij voeren een DPIA uit in vier hoofdstukken met Privacy Company voert data protection impact assessments (DPIA’s) uit om duidelijk te maken of en waar privacyrisico’s ontstaan bij het gebruik van softwareproducten en online diensten. Een DPIA brengt de risico’s in kaart en beschrijft maatregelen die cloudproviders en hun klanten zouden moeten nemen om de risico’s te verkleinen of te voorkomen. Sjoera Nas en Floor Terra, senior privacy adviseurs bij Privacy Company, vertellen wat een DPIA is en hoe die in zijn werk gaat. elk een technisch en een juridisch aspect”, zegt Terra. “Hoofdstuk 1 biedt voornamelijk een beschrijving van het technische onderzoek naar hoe de gegevensverwerking er binnen de toepassing uitziet.” “We bekijken het hele raamwerk van alle afspraken die de klant met de cloudprovider maakt over de gegevensverwerking”, zegt Nas. “Stookt de papieren beschrijving met de werkelijkheid?” Het tweede hoofdstuk omvat een beoordeling van de rechtmatigheid van de gegevensverwerking en het derde hoofdstuk analyseert de privacyrisico’s die daaruit kunnen voortvloeien. Tot slot beschrijven de adviseurs van Privacy Company in hoofdstuk 4 eventuele verbetermaatregelen.

Terra: “Als we bijvoorbeeld een DPIA uitvoeren op Microsoft Office, gebruiken we de applicaties binnen dat pakket alsof we een van de medewerkers of ambtenaren van onze opdrachtgever zijn. We stellen scenario’s op die overeenkomen met de dagelijkse praktijk van gebruikers. We werken altijd met twee testaccounts die met elkaar communiceren, zodat we ook zien wat er gebeurt als een gebruiker een mail of bestand ontvangt. Tijdens het mailen of uploaden van bestanden onderscheppen we al het netwerkverkeer en zien we wat er naar buiten gaat en waar het naartoe wordt gestuurd. Dan zien we bijvoorbeeld dat een Office-applicatie gegevens naar allerlei derde partijen verstuurt. Sjoera kijkt dan in de contracten of er iets beschreven staat over gegevensuitwisseling met derden. Die combinatie van technisch en juridisch onderzoek maakt onze DPIA’s enorm waardevol.”

Oceaanstomer

De DPIA’s van Privacy Company zijn ook voor cloudproviders waardevol. Het kost tenslotte omzet als klanten toepassingen niet kunnen of willen gebruiken omdat deze de privacy van gebruikers onvoldoende beschermen. Waarom is het in de praktijk dan toch zo moeiijk om de cloudproviders zover te krijgen dat zij de verbeterplannen uitvoeren? Terra: “Het is voor de grote cloudproviders heel lastig om de kern van het businessmodel te veranderen. De processen zijn heel complex en vast ingericht, zodat ze hun producten en diensten op één manier aan de hele wereld kunnen aanbieden. Dat maakt het erg moeilijk om kleine wijzigingen aan te brengen.”

Een aanpassing van de applicatie of dienst vraagt in feite om een essentiële beleidswijziging binnen de organisatie van de cloudprovider. “Microsoft vergelijkt zichzelf weleens met een oceaanstomer. Die kun je niet zomaar even van koers laten wijzigen”, zegt Nas. “Soms lukt het echter toch om de oceaanstomer te keren. Bijvoorbeeld als wij een cloudprovider ervan overtuigen dat alle overheidsinstellingen in Europa de diensten niet meer mogen gebruiken omdat die in strijd zijn met Europese wettelijke regels. Dat leidt weleens tot een koersverandering. Dat zie je bij Microsoft, en die is dan meteen wereldwijd van toepassing, voor alle zakelijke klanten. Maar dat vergt nogal wat.”

Onderscheidend vermogen

Overheden en bedrijven varen blind op de onderzoeken van Privacy Company. Wat is de kredietwaardigheid van de adviseurs? Nas: “Naast de combinatie van het technische uitzoekwerk en de juridische analyse zijn we ook heel goed in het opstellen van hele concrete boodschappenlijstjes. We voegen aan ons verslag een complete tabel met concrete maatregelen toe die cloudproviders zouden moeten nemen om risico’s te reduce Hiervoor leunt Privacy Company ook sterk op de technische kennis die intern aanwezig is. “We kunnen precies aangeven wat er op technisch vlak moet gebeuren”, zegt Terra. “We kunnen daarvoor dan ook meerdere suggesties geven, en daar worden de cloudproviders blij van. Zij zijn verrast en verheugd dat ze met iemand kunnen praten die snapt dat je aan bepaalde natuurkundewetten moet voldoen om de voorgestelde verbeteringen te realiseren.”

Sjoera Nas en Floor Terra zijn senior privacy adviseurs bij Privacy Company