Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) in mei 2018 is er veel veranderd voor bedrijven die cloud computing gebruiken, zoals Microsoft 365. De AVG heeft een aanzienlijke impact gehad op de manier waarop organisaties gegevens beheren en verwerken. In dit artikel bespreken we de gevolgen van de AVG voor cloud computing, met een specifieke focus op Microsoft 365.
AVG of GDPR?
De AVG (Algemene Verordening Gegevensbescherming) en de GDPR (General Data Protection Regulation) zijn twee termen die vaak door elkaar worden gebruikt, maar er zijn enkele belangrijke verschillen tussen deze regelgevingen.
Ten eerste is de AVG de Europese verordening die in mei 2018 van kracht werd en die de bescherming van persoonsgegevens in de hele Europese Unie (EU) regelt. De GDPR is de Engelse term voor de AVG en wordt vaak gebruikt in Engelstalige landen buiten de EU. In feite zijn de AVG en de GDPR dus dezelfde wetgeving.
Een ander belangrijk verschil is dat de AVG enigszins strenger is dan de voorganger, de Europese Privacyrichtlijn. De AVG bevat strengere regels voor toestemming van individuen voor de verwerking van hun persoonsgegevens, de melding van datalekken en de rechten van individuen om hun persoonsgegevens te controleren.
Een ander belangrijk verschil tussen de AVG en de GDPR is dat de AVG meer nadruk legt op de verantwoordelijkheid van organisaties om de privacy van individuen te beschermen. Organisaties moeten passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen en een verwerkersovereenkomst afsluiten met cloud computing dienstverleners.
Daarnaast introduceert de AVG een aantal nieuwe rechten voor individuen, zoals het recht op vergetelheid en het recht op dataportabiliteit. Het recht op vergetelheid betekent dat individuen het recht hebben om hun persoonsgegevens te laten verwijderen als ze daarom vragen. Het recht op dataportabiliteit betekent dat individuen het recht hebben om hun persoonsgegevens over te dragen naar een andere organisatie.
Bescherming van persoonsgegevens
Een van de belangrijkste aspecten van de AVG is de verplichting voor bedrijven om de persoonsgegevens van hun klanten en medewerkers te beschermen. Dit betekent dat organisaties die gebruikmaken van cloud computing diensten, zoals Microsoft 365, verantwoordelijk zijn voor het waarborgen van de privacy van de gegevens die ze opslaan in de cloud.
Verwerkersovereenkomst
Een belangrijke verandering die de AVG met zich heeft meegebracht, is dat bedrijven nu verplicht zijn om een verwerkersovereenkomst af te sluiten met cloud computing dienstverleners, zoals Microsoft. In deze overeenkomst worden afspraken gemaakt over hoe de persoonsgegevens worden verwerkt en beschermd. Microsoft 365 biedt standaard verwerkersovereenkomsten aan die voldoen aan de eisen van de AVG.
Beveiliging
Een ander gevolg van de AVG voor cloud computing is dat bedrijven nu verplicht zijn om de gegevens van hun klanten en medewerkers te beschermen tegen ongeoorloofde toegang, gebruik en verlies. Dit betekent dat bedrijven moeten zorgen voor sterke wachtwoorden, encryptie van gegevens en een veilige toegangscontrole. Microsoft 365 biedt verschillende beveiligingsfuncties, zoals multi-factor authenticatie, om bedrijven te helpen bij het beschermen van hun gegevens.
Recht op vergetelheid
Een ander belangrijk aspect van de AVG is het recht op vergetelheid. Dit betekent dat individuen het recht hebben om hun persoonsgegevens te laten verwijderen als ze daarom vragen. Bedrijven die gebruikmaken van cloud computing diensten, zoals Microsoft 365, moeten er daarom voor zorgen dat ze de gegevens van hun klanten en medewerkers snel en gemakkelijk kunnen verwijderen als daarom wordt gevraagd.
DPIA
Tot slot is er nog een belangrijk aspect van de AVG dat van toepassing is op cloud computing: de verplichting om een data protection impact assessment (DPIA) uit te voeren. Dit is een proces waarbij bedrijven de potentiële risico’s van hun gegevensverwerking evalueren en passende maatregelen nemen om deze risico’s te verminderen. Bedrijven die gebruikmaken van cloud computing diensten, zoals Microsoft 365, moeten ervoor zorgen dat ze DPIA’s uitvoeren om te voldoen aan de eisen van de AVG.