De markt voor clouddiensten blijft groeien in 2018. In de cloud werken biedt veel voordelen, zoals altijd en overal bij jouw documenten en applicaties kunnen. Het is echter wel van belang om je af te vragen of jouw cloud voldoet aan de GDPR. Maar wat maakt jouw cloud GDPR-proof?
De GDPR (General Data Protection Regulation, Nederlands: Algemene Verordening Gegevensbescherming) wordt op 25 mei 2018 van kracht. Dit heeft ingrijpende gevolgen voor allerlei organisaties. Zo ook voor cloud providers en hun klanten. Organisaties krijgen te maken met strengere wetgeving. Om te kunnen voldoen aan de GDPR is het van belang dat organisaties een passend gegevensbeschermingsbeleid hanteren. En dat jouw cloud provider dit ook doet. Immers blijf jij verantwoordelijk voor de verwerking van data door jouw cloud provider. Boetes voor overtredingen kunnen hoog oplopen. Maximaal vier procent van de jaarlijkse, wereldwijde omzet of twintig miljoen euro.
Certificeringen
Het is van belang dat jouw cloud provider maatregelen neemt voor databescherming. En een passend gegevensbeschermingsbeleid hanteert. Om aan te tonen dat een passend gegevensbeschermingsbeleid voor jouw data wordt gehanteerd, kunnen certificeringen worden gebruikt. Een certificering zegt niet een op een dat een bedrijf aan de GDPR voldoet, maar helpt wel bij het voldoen aan de GDPR. Veel dingen die getoetst worden in een certificering, moeten ook voor de GDPR in orde zijn.
ISO 27001 certificering
ISO 27001 is dé internationale norm inzake informatiebeveiliging. Eén van de onderdelen van ISO 27001 is het voldoen aan wet- en regelgeving. Daaronder valt ook de GDPR. Dit betekent dat de GDPR in het managementsysteem wordt meegenomen en dat een organisatie die ISO 27001 gecertificeerd is hieraan voldoet. Wanneer jouw cloud provider over een ISO 27001 certificaat beschikt, helpt dat aan te tonen dat de verwerkingssystemen die worden gebruikt ook aan de GDPR voldoen.
NEN 7510 certificering
Wanneer de meeste zorg- en welzijnsinstellingen zorggegevens van personen verwerken, dienen zij te voldoen aan NEN 7510. NEN 7510 wordt namelijk in diverse wet- en regelgeving van toepassing verklaard als dé norm inzake informatiebeveiliging van zorggegevens. Kies je voor een cloud provider die NEN 7510 is gecertificeerd, dan is dat een sterke indicator dat alle verwerkingsactiviteiten van jouw provider aan de GDPR voldoen.
ISAE 3402 verklaring
Wanneer je jouw IT-processen aan een cloud provider uitbesteedt, blijf je eindverantwoordelijke voor de verwerking; zo stelt de GDPR. Je wil zekerheid dat de door jouw uitbestede processen, o.a. je IT-omgeving, door de cloud provider worden beheerst. Een ISAE 3402 verklaring biedt je de zekerheid dat een onafhankelijke auditor heeft vastgesteld dat de serviceorganisatie jouw processen beheerst. Wel zo geruststellend!
Een cloud provider moet kunnen aantonen hoe zij aan de GDPR voldoet. De bovenstaande certificeringen helpen een cloud provider aan te tonen dat aan de GDPR wordt voldaan. Maar ook jou. Jij bent verantwoordelijk voor de keuze van jouw cloud. Wanneer een provider niet kan aantonen dat het een passend gegevensbeschermingsbeleid hanteert, is het beter om naar een andere (cloud)partij op zoek te gaan.
Meer informatie over waar je op moet letten bij het kiezen van een GDPR-ready cloudoplossing? Download hier de whitepaper.
Heb je nog vragen of wil je meer weten over dit onderwerp? Bezoek ons GDPR-dossier of meld je aan voor de webinar Jouw cloud GDPR-proof op 18 april via gdpr.eshgro.nl
Jouw pad naar NIS2 compliance
