Sigrid Windmolders, Legal & Corporate Affairs Attorney Microsoft
Sigrid Windmolders, Legal & Corporate Affairs Attorney bij Microsoft, kwam spreken op de Lunch & Learn van RealDolmen in het AZ Sint-Lucas in Gent. IT-verantwoordelijken uit verschillende ziekenhuizen wilden immers weten waar je patiëntengegevens het veiligst kunt bewaren, met respect voor de privacy van de patiënt. “Zeker als de data de Europese zone verlaat, zijn bijkomende beschermsmaatregelen nodig. Als bedrijf draag je immers de eindverantwoordelijk over de persoonsgegevens van je klanten”, legt Windmolders uit.
“De ouderwetse opvatting dat gevoelige gegevens het gebouw niet mogen verlaten, is gelukkig voorbijgestreefd. Er is geen enkele wetgeving meer die je verbiedt om je data naar de cloud te brengen. Pas sinds 1995 is er de Europese richtlijn ter bescherming van persoonsgegevens. Deze richtlijnen zijn opgesteld en in gebruik genomen door de 28 lidstaten binnen de Europese Unie.”
De huidige privacywetgeving in een notendop
Toen in 1995 de Europese privacy richtlijn verscheen, diende deze in de Europese lidstaten te worden geïmplementeerd. Sommige landen zoals onder andere België hadden reeds een privacywetgeving. Daarnaast is elke sector ook gebonden aan eigen regels – de zogenoemde customer specific regulations – zoals bijvoorbeeld in de zorgsector. Bij het zoeken naar een cloudprovider hou je dus best rekening met deze specifieke vereisten. Naast de harde wet, is er ook de Artikel 29 Privacy Werkgroep, het onafhankelijke advies -en overlegorgaan van de privacytoezichthouders van de 28 EU lidstaten. Deze werkgroep stelde in 2012 een aanbeveling op, die als algemene richtlijn wordt aanvaard. Zet je deze richtlijnen in je overeenkomst met de provider, dan worden ook deze harde wet.
Ons advies is om ze over te nemen in je contract. “Microsoft houdt sowieso rekening met deze aanbevelingen”, zegt Windmolders. “We hanteren het principe van Trust by Design. De aanbevelingen van de commissie zijn opgenomen in onze software.” “Eigenlijk is het basisprincipe zeer eenvoudig: een derde partij mag niet ongemachtigd toegang krijgen tot persoonlijke informatie”, vat Windmolders samen.
Hoe bescherm je je data tegen derden?
Ga op zoek naar een provider die je data automatisch versleutelt en dus zelf ook niet kan inkijken. Zelfs wanneer een hacker in onze cloud zou binnenraken, kan hij niets met de versleutelde data aanvangen. “Ook geeft Microsoft nooit gegevens aan derden voor advertenties of gelijk welke andere doeleinden. Microscoft zal enkel mits een rechtsgeldig bevel of een juridische equivalent, klantengegevens, zonder toestemming van de klant, doorgeven aan derden. In ieder geval, Microsoft zal elk verzoek van een overheidsinstantie, voor het delen van klantengegevens, zorgvuldig valideren. Dit om na te gaan of elk ontvangen verzoek in overeenstemming is met de wetten, internationale verdragen, regels en procedures die voor dergelijk verzoek gelden. Dit betekent dat elke overheidsinstantie die inzage wil in Microsoft klantengegevens, een vordering dient te lanceren via de officiële (internationale) juridische procedures. Microsoft hecht immers veel belang aan het vertrouwelijk omgaan met klantengegevens.”
“Aangezien jij, als klant, de eindverantwoordelijkheid draagt op het vlak van persoonsgegevensbescherming, is transparantie bijzonder belangrijk. Wij stellen klanten zo vroeg mogelijk op de hoogte van wat er met hun data zal gebeuren. Duidelijk communiceren en overleggen zijn essentieel. Zoek een provider die met jou wil samenwerken, zodat je je data niet zomaar uit handen geeft”, concludeert Windmolders.