Europese toezichthouders keuren AVG-nalevingscode goed voor de cloud infrastructuur providers

De CISPE-gedrags­code voor gege­vens­be­scher­ming is de eerste pan-Europese sector­spe­ci­fieke code die is goed­ge­keurd voor aanbie­ders van cloud­in­fra­struc­tuur­dien­sten in het kader van de Algemene Veror­de­ning Gege­vens­be­scher­ming (AVG) van de Europese Unie. De goed­keu­ring werd bevestigd door het Europees Comité voor gege­vens­be­scher­ming (EDPB), waarin alle 27 nationale priva­cy­toe­zicht­hou­ders uit de Europese Unie zetelen.

De grens­ver­leg­gende CISPE-code draagt bij aan de snellere ontwik­ke­ling van AVG-conforme cloud­ge­ba­seerde diensten voor klanten zoals  bedrijven en instan­ties bij orga­ni­sa­ties in heel Europa. IaaS-klanten die kiezen voor diensten die aan de CISPE-code voldoen, kunnen zich verze­keren van betrouw­bare cloud­in­fra­struc­turen die gegevens verwerken in over­een­stem­ming met de AVG.

“De AVG was een welkome ontwik­ke­ling en de CISPE-code schept nu ook duide­lijk­heid rond de vereisten inzake gege­vens­be­scher­ming voor aanbie­ders van cloud­in­fra­struc­tuur”, zegt Alban Schmutz, voor­zitter van CISPE (Cloud Infra­struc­ture Service Providers in Europe), de bran­che­ver­e­ni­ging achter de code.

“De CISPE-gedrags­code voor gege­vens­be­scher­ming biedt leve­ran­ciers van cloud­dien­sten een goed­ge­keurd kader om aan te tonen dat hun gecer­ti­fi­ceerde cloud­dien­sten volledig in over­een­stem­ming zijn en om concrete voor­beelden te geven van wat van hen en hun klanten wordt verwacht om gegevens te beschermen volgens de AVG-regels.”

De gedrags­code van CISPE onder­scheidt zich in drie belang­rijke opzichten. Het is de eerste, en momenteel de enige, code die zich uitslui­tend richt op de Infra­struc­ture-as-a-Service (IaaS)-sector en dieper ingaat op de speci­fieke rollen en verant­woor­de­lijk­heden van IaaS-providers die ontbreken in meer algemene codes. De CISPE-gedrags­code schept vertrouwen bij klanten en hun eind­ge­brui­kers door te garan­deren dat een gecer­ti­fi­ceerde IaaS-dienst volledig in over­een­stem­ming is met de AVG.

Hoewel dit geen vereiste is voor AVG-naleving, willen veel Europese klanten  dat hun gegevens binnen de EU blijven om enige controle te behouden over hun gegevens. In dit kader biedt de CISPE-gedrags­code IaaS-klanten de unieke moge­lijk­heid om expliciet diensten te selec­teren waarbij de gegevens volledig binnen de Europese Econo­mi­sche Ruimte worden verwerken. De CISPE-gedrags­code bevordert in die zin ook best practices op het gebied van gege­vens­be­scher­ming die het GAIA-X-initi­a­tief van de EU onder­steunen om Europese cloud­ge­ba­seerde data­dien­sten te ontwikkelen.

De naleving van de CISPE-gedrags­code wordt gecon­tro­leerd door onaf­han­ke­lijke, externe auditors die zijn geac­cre­di­teerd door de relevante gege­vens­be­scher­mings­au­to­ri­teit. Als “toezicht­hou­dende instan­ties” onder­schrijven zij de garanties van de diensten die over­een­kom­stig de code zijn gecer­ti­fi­ceerd. De CISPE-gedrags­code biedt een geva­ri­eerd aanbod van onaf­han­ke­lijke controle-instan­ties, ter keuze van de CISPE .

“CISPE was de eerste orga­ni­satie in welke sector dan ook die zich enga­geerde en de handen in elkaar sloeg met de regel­gever en EU-instel­lingen om een code op te stellen die verder gaat dan de AVG-vereisten om de belangen van infra­struc­tuur­pro­vi­ders, hun klanten en eind­ge­brui­kers te beschermen,” aldus Schmutz.

“Cloud­in­fra­struc­tuur vormt het fundament van onze digitale economie en moet dus robuust en betrouw­baar zijn, zodat we betrouw­bare digitale diensten voor burgers en over­heids­in­stel­lingen kunnen bouwen in het volle vertrouwen dat we voldoen aan de AVG”, zegt MEP Eva Maydell. “Daarom heb ik de CISPE-gedrags­code vanaf het begin gesteund en blij dat de voort­du­rende inspan­ningen vrucht hebben gedragen.”