We weten het waarschijnlijk allemaal wel, een goed begin is het halve werk. Maar wat is er nu goed en wat verstaan we onder fout? Ben jij een beginnende cloud dienstverlener? Als clouddienstverlener dan verwerk je bijna altijd persoonsgegevens en andere data. Dit zorgt voor een grote verantwoordelijkheid. Je bent als dienstverlener wettelijk verplicht bepaalde zaken te regelen en je klanten hebben bepaalde verwachtingen van je en ze stellen hier ook eisen aan. Het is daarom van belang dat je als beginnende cloud dienstverlener alle de technische, organisatorische en juridische beschermingsmaatregelen in kaart brengt zodat je weet hoe en wat er is geregeld en wat er mogelijk is.
De beginfase
Je kunt beginnen met een technical factsheet waarin de verschillende datastromen zijn beschreven. Dit helpt je om lastige vragen van klanten te beantwoorden en het geeft je een overzicht van de mogelijke risico’s. Het is van belang dat je weet wat voor data je opslaat, waar dat verwerkt wordt en wie daar toegang tot heeft. Als je zaken doet met consumenten is een duidelijke privacy policy echt een must! Het gaat hier om een document waarin staat beschreven hoe er omgegaan wordt met de persoonsgegevens die verwerkt worden. Het document geeft ook aan op welke manier de klant recht heeft op inzage en correctie van de gegevens. Op deze manier kun je dus als cloud dienstverlener met een privacy policy bijdragen aan zorg voor transparantie naar je klanten. Dit is de eerste stap op weg naar vertrouwen en dat is van groot belang.
De volgende fase…
Als het aantal klanten groter wordt, of de data waar je mee werkt wordt gevoeliger, dan is een uitgebreide security-scan een verstandige keuze. Hierdoor worden de belangrijkste privacy- en security-vraagstukken van de onderneming en clouddienst in kaart gebracht. Als je spreekt over een goede scan dan wordt er gekeken naar de technische, organisatorische en juridische kant van de zaak. De scan kun je het beste uit laten voeren door een onafhankelijke en deskundige professional. Als je die keuze maakt dan kun je de uitkomst van de scan als een leidraad laten fungeren voor de verdere bedrijfsvoering.
Veel cloud dienstverleners maken gebruik van een derde partij die de hosting voor zijn of haar rekening neemt. Als de data door de clouddienst wordt verwerkt dan gaat dat via de systemen van die hostingpartij. In deze situatie geeft de Wet bescherming persoonsgegevens aan dat er een bewerkersovereenkomst afgesloten moet worden met de hoster. In deze overeenkomst staan de beveiligingsmaatregelen die zijn getroffen. Deze maatregelen moeten volgens de wet passend zijn.
Goed begin voor beginnende cloud dienstverleners
Geen opmerkingen:
Een reactie posten