De wet van cloudcomputing: een op risico’s gebaseerde aanpak die niet voldoet aan de opkomst

“Microsoft 365 gebruiken, illegaal in Zwitserland?” Dat is de vraag van gespecialiseerde advocaat Sylvain Mittel, naar aanleiding van een verklaring van de federale commissaris voor gegevensbescherming en transparantie (PFPDT). Adrian Lobsiger heeft al zeer kritisch gereageerd op Suva’s risicoanalyse voor het gebruik van de cloudomgeving van Microsoft. Gebruik specifiek gericht op e-mails en zakelijke correspondentie, maar ook zakelijke documenten en casemanagement voor ongevallen- en militaire verzekeringen.

Net als andere organisaties (hoe het kanton Zürich de risico’s van de overstap naar de cloud van Microsoft inschatte), koos Sova voor een op risico’s gebaseerde benadering en de methode van David Rosenthal om de haalbaarheid van de overstap naar Microsoft 365 te bepalen, met name gericht op cloudrecht en het risico dat Amerikaanse autoriteiten toegang krijgen tot persoonlijke gegevens. Hoewel niets hem daartoe dwong, deelde de verzekeringsmaatschappij zijn analyse in december met PFPDT – hij handelde de zaak slecht af.

In het standpuntnota dat hij besloot te publiceren (zoals het antwoord van Sova), verwelkomt de commissaris “het besluit van Sova om het data-outsourcingproject te onderwerpen aan een evaluatie vanuit het oogpunt van gegevensbescherming”, maar geeft bovenal verschillende punten van kritiek en suggereert dat “de verzekeringsmaatschappij herbeoordeelt haar project zo snel mogelijk “misschien”.

De makelaar kreeg veel kritiek op de verzekeringsmaatschappij. Te beginnen met de methode van David Rosenthal die werd gebruikt in plaats van de vorig jaar gepubliceerde gids voor legitimiteitscontrole van grensoverschrijdende gegevenscommunicatie. De commissaris bekritiseert Sova ook voor het inschatten van het belang dat buitenlandse autoriteiten zouden kunnen hebben voor zijn persoonlijke gegevens, terwijl niets ons dit laat voorspellen – waarop Sova antwoordt dat de wet van de cloud stimulerende verzoeken vereist. De agent bekritiseert ook het feit dat de analyse van Rosenthal een nauwkeurig percentage van het toegangsrisico oplevert, terwijl de upstream-schattingen worden vermenigvuldigd om het te berekenen.

Twee punten van kritiek hebben meerdere gevolgen

Maar deze twee fundamentele punten van kritiek moeten worden onthouden, omdat hun impact belangrijk is voor organisaties die in de huidige staat van onzekerheid worden geconfronteerd met dezelfde vragen om over te stappen naar de cloud van een Amerikaanse leverancier.

Ten eerste bekritiseren Adrian Lobsiger-services Suva’s keuze om een ​​impactanalyse uit te voeren, zonder vooraf na te denken of het gewoon legaal is om cloudtools van Microsoft – een Amerikaans bedrijf – te gebruiken. Naar de mening van SOVA-specialisten is de aanpak gerechtvaardigd wanneer het contract wordt gesloten met Microsoft Ierland (een land met een passend beschermingsniveau) en niet met Microsoft in de Verenigde Staten (een land dat geacht wordt geen adequate garantie te hebben gegeven sinds Schrems II). Een mening die de agent niet lijkt te delen en aanzienlijke implicaties heeft, zoals Sylvain Mittel opmerkt: “Het recente standpunt van de PFPDT staat gelijk aan communicatie in de Verenigde Staten, elke verwerking door een bedrijf van een obscuur deel van een groep met entiteiten, zelfs afzonderlijk, in de Verenigde Staten. Als deze beslissing wordt gevolgd, betekent dit dat alle serviceproviders die een verbinding hebben met de VS worden uitgesloten, zelfs zonder gegevens daar over te dragen of op een andere manier toegankelijk te maken.”

Ten tweede plaatst de commissaris vraagtekens bij het principe van een op risico’s gebaseerde benadering. Vandaar zijn argument: “De officier vraagt ​​zich in dit verband in ieder geval af of een risicogebaseerde benadering juridisch aanvaardbaar is en of deze kan worden ingeroepen om de uitbesteding van de betreffende data hier te rechtvaardigen.” In haar reactie was Sofa op zijn zachtst gezegd verrast: “Uw uitleg verrast ons zeer; ze zijn inderdaad in tegenspraak met de visie die ik tot nu toe heb verdedigd. U hebt duidelijk gemaakt dat na bijna 30 jaar LPD, de ‘risk-based ‘ aanpak is ineens niet meer geldig. Voor overschrijvingen naar het buitenland, zonder opgave van materiële redenen. Maar juist deze redenen is voor ons belangrijk om te weten.” Aan de hand van verschillende voorbeelden is de verzekeringsmaatschappij van mening dat een op risico’s gebaseerde benadering geworteld is in de Zwitserse wetgeving inzake gegevensbescherming. En toevoegend: “Als Zwitserland de risicogebaseerde benadering verlaat door onafhankelijk enkele EU-gegevensbeschermingsautoriteiten te vervolgen, betekent dit dat internationale gegevensoverdrachten naar landen zoals landen principieel moeten worden verboden.”

Klaar om een ​​signaal te geven?

Deze verschillen tussen Wakil en Suva zijn niet onbelangrijk. Zoals we al zeiden, rijst de vraag voor veel organisaties, vooral afdelingen, tegen de achtergrond van het debat rond de soevereine cloud. Terwijl Suva in het standpunt van de ambtenaar een wens ziet om het EU-besluit over de adequaatheid van Zwitserland niet in gevaar te brengen, beschouwt advocaat Sylvain Mittel het als “een belangrijke waarschuwing voor het management, maar ook voor alle bedrijven en personen die persoonlijke gegevens verwerken”, zelfs als hij twijfelt aan de wil van de PFPDT om zijn standpunt te handhaven.

Leave a Comment