De “EU Cloud Code of Conduct” bundelt de goede praktijken inzake gegevensbescherming voor cloud service providers om zo bij te dragen tot een betere bescherming van persoonsgegevens die verwerkt worden in de cloud.

Op 21 mei 2021 heeft de Gegevensbeschermingsautoriteit (GBA) een eerste transnationale gedragscode goedgekeurd sinds de AVG binnen de Europese Unie van toepassing is. Met de goedkeuring van deze gedragscode realiseert de GBA één van haar strategische doelen uit haar beheersplan. Eerder publiceerde de GBA een procedure en tips voor het indienen van zo’n gedragscode.

Cloudproviders en de EU Cloud Code of Conduct

De EU Cloud CoC (Code of Conduct) is bedoeld om de regels van de AVG en de toepassing ervan te verduidelijken, in dit geval voor aanbieders van cloudoplossingen. Op die manier kan de sector van cloudproviders aantonen dat ze verschillende aspecten van de AVG correct toepast. Ze omvat het volledige spectrum van clouddiensten: software (SaaS), platform (PaaS) en infrastructuur (IaaS).

Ook voor KMO’s is het haalbaar om toe te treden tot deze gedragscode door het inbouwen van 3 niveaus van naleving. Het eerste niveau houdt in dat de aanvrager een interne beoordeling van zijn eigen conformiteit uitvoert en dit bewijs vervolgens voor verdere beoordeling aan Scope Europe indient (de organisatie die de naleving van de CoC bewaakt). Het tweede niveau stelt cloudserviceproviders in staat aanvullend bewijs van gedeeltelijke naleving door onafhankelijke derde partijen in te dienen. Het derde niveau toont volledige naleving van de code aan via certificaten en audits van derden.

Voordelen en kritieken

Gedragscodes zijn niet alleen een efficiënte manier om de AVG te implementeren binnen een bepaalde sector, ze helpen ook om vertrouwen op te bouwen tussen de verwerkingsverantwoordelijken en verwerkers. Het is nu afwachten of deze gedragscode voet aan de grond krijgt in de verschillende industrieën.

Hier en daar is wel wat kritiek te lezen. Zo ontbreken in de CoC bijvoorbeeld concrete regels inzake het verwerken van meta-gegevens (zoals gegevens die worden verzameld via cookies, het bewaren van IP adressen, …). Nochtans vormen deze wel degelijk een belangrijk privacy risico. Een andere kritiek is dat deze gedragscode geen oplossing biedt voor internationale gegevenstransferts. Nochtans zou in theorie zo’n gedragscode kunnen worden gebruikt als een passende waarborg bij doorgifte van persoonsgegevens buiten Europa.

Interessante tips & links

Eén van de normen die kunnen worden gebruikt om in regel te zijn met deze gedragscode is ISO 27701. We gaan dieper in op deze norm in onze opleidingen, zoals bij onze GDPR impact assessments: DPIA & DTIA.

Tijdens onze Stay Tuned sessies komen bovenstaande topics aan bod.

Krijg je er nog niet genoeg van? Ontdek er meer over op About EU Cloud CoC: EU Cloud CoC (eucoc.cloud)

Op de website van de GBA kan je ook meer lezen over gedragscodes. Consulteer deze link hiervoor.