Is (alleen) cloudbased werken wel zo verstandig?

Cloud Computing
Werken in de cloud zoals via het gebruik van Chromebooks wordt tegenwoordig veel gedaan. Chromebooks zijn laptops waarmee je je bestanden bewaart in de cloud, dat wil zeggen niet lokaal op je eigen laptop. Werken in de cloud heeft zo zijn voordelen; omdat je online werkt en daar je bestanden opslaat, heb je automatisch een back-up van je bestanden. Daarnaast heb je op elk apparaat toegang tot je bestanden, in tegenstelling tot het lokaal opslaan van je bestanden op je computer.

Het gebruik van cloud computing heeft ook nadelen. Indien een Chromebook door een werknemer wordt gebruikt bestaat er een kans dat persoonsgegevens worden opgeslagen in de cloud. Naast dat je internetverbinding moet hebben om bestanden te synchroniseren, kunnen kwaadwillenden bestanden gijzelen of onbereikbaar maken bijvoorbeeld via Ransomware of een (D)dos aanval. Ransomware versleutelt bestanden die persoonsgegevens kunnen bevatten. Een dergelijke aanval kan de toegang tot bestanden in de cloud tijdelijk onbereikbaar maken. Maar is er dan ook sprake van een datalek?

Wat is een datalek?
Er is sprake van een datalek wanneer er een inbreuk in verband met persoonsgegevens is ontstaan. Deze inbreuk kan per ongeluk of op onrechtmatige wijze leiden tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.[1]

Tijdelijke ontoegankelijkheid van persoonsgegevens
Indien bestanden in de cloud tijdelijk ontoegankelijk worden gemaakt door bijvoorbeeld een (D)dos aanval kan de beschikbaarheid van persoonsgegevens niet meer worden gegarandeerd.[2] Dit kan gevolgen hebben voor rechten en vrijheden van natuurlijke personen en daarom levert dit een inbreuk en dus (in beginsel) een datalek op.

De verwerkingsverantwoordelijke dient elke inbreuk met betrekking tot persoonsgegevens te documenteren.[3] Het doen van een melding bij de Autoriteit Persoonsgegevens (AP) en de getroffen personen is afhankelijk van de omstandigheden van de inbreuk; zijn er gegevens buit gemaakt, is er elders een back-up? Het doen van een melding bij de  AP is dus afhankelijk van de omstandigheden van het geval.

Conclusie
Het gebruik van Chromebooks heeft dus voor- en nadelen. Het opslaan van persoonsgegevens in de cloud gaat niet zonder risico’s. Daarom is het (als organisatie/werkgever) belangrijk om de juiste afweging te maken voor het gebruik van het soort apparaat. Zorg voor een back-up van de betreffende gegevens op een lokale of externe harde schijf, zodat de beschikbaarheid van persoonsgegevens gegarandeerd kan blijven.

Meer weten of dit onderwerp? Neem dan contact op met de IT-juristen van Privacy1.

[1] Art. 4 lid 12 AVG.
[2] Art. 32 lid 1 onder b en c AVG.
[3] Art. 33 lid 5 AVG.

Bron: Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachten Verordening 2016/679. Artikel 29 Working Party.