Eén ‘hot issue’ bij cloud computing is de bescherming van persoonsgegevens. Amerikaanse bedrijven die services op het gebied van cloud computing aanbieden, zoals leveranciers van ‘cloud-based’ elektronische leeromgevingen, vallen namelijk onder de Amerikaanse wetgeving. En die wetgeving gaat anders om met bescherming van persoonsgegevens, dan de onze. Het College Bescherming Persoonsgegevens (CBP) heeft nu een ‘zienswijze‘ gepubliceerd waarin zij stelt dat Nederlandse onderwijsinstellingen verantwoordelijk blijven voor naleving van de Nederlandse privacywetgeving, ook als zij gebruik maken van cloudaanbieders uit de VS.
Om zorgen rondom privacy van persoonsgegevens bij cloud computing weg te nemen, hebben Amerikaanse cloudaanbieders de zogenaamde Safe Harbor Principles opgesteld. De Europese Commissie heeft bepaald dat deze beginselen een ‘passend beschermingsniveau’ bieden bij doorvoer van gegevens. Volgens het CPB garandeert dit echter niet dat de daadwerkelijke opslag en verwerking van die persoonsgegevens in de VS ook voldoet aan alle eisen van de Nederlandse privacywetgeving. Nederlandse onderwijsinstellingen, die Amerikaanse clouddiensten afnemen, blijven daardoor verantwoordelijk voor deze privacy. Instellingen voor hoger onderwijs willen daarom samenwerken en bij het afsluiten van clouddiensten controleren of de toepasselijke wettelijke regels zijn afgedekt. Dat meldt SURF vandaag in een persbericht.
De Safe Harbor Principles zijn een vorm van zelfcertificering. Naleving van deze principes garandeert volgens het CPB niet dat de verwerking van persoonsgegevens in de VS voldoet aan alle eisen uit EU- en Nederlandse richtlijnen. Dat betekent dat onderwijsinstellingen daarover afspraken moeten vastleggen met aanbieders van clouddiensten.
Via de Safe Harbor list kun je kijken welke organisaties zich op welke manier commiteren aan deze principes. Google kent bijvoorbeeld geen privacy program, maar verklaart zich wel akkoord “to Cooperate and Comply with the EU and/or Swiss Data Protection“. BlackBoard gaat hier juist niet mee akkoord, maar heeft wel weer een privacyprogramma.
Ik geef toe: het is niet het meest boeiende onderwerp als je interesse hebt in het gebruik van ICT in het onderwijs. Maar het is wel een belangrijk thema, bijvoorbeeld als je Facebook of Skydrive van Microsoft formeel in het onderwijs wilt inzetten.
This content is published under the Attribution 3.0 Unported license.
Het zou goed zijn als iemand van de lezers of uit Wilfreds netwerk zijn/haar licht eens op kan steken bij een Duitse (school)relatie. Voor Duitse *bedrijvem* is de Amerikaanse Safe Harbour verklaring vrijwel altijd omvoldoende. In die bedrijven zit ook altijd iemand (de Data Privacy Officer) die formeel en officieel verantwoordelijk is voor de privacy van personeelsgegevens. Wie heeft de juiste connecties?