De CISPE-gedragscode voor gegevensbescherming is de eerste pan-Europese sectorspecifieke code die is goedgekeurd voor aanbieders van cloudinfrastructuurdiensten in het kader van de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie. De goedkeuring werd bevestigd door het Europees Comité voor gegevensbescherming (EDPB), waarin alle 27 nationale privacytoezichthouders uit de Europese Unie zetelen.
De grensverleggende CISPE-code draagt bij aan de snellere ontwikkeling van AVG-conforme cloudgebaseerde diensten voor klanten zoals bedrijven en instanties bij organisaties in heel Europa. IaaS-klanten die kiezen voor diensten die aan de CISPE-code voldoen, kunnen zich verzekeren van betrouwbare cloudinfrastructuren die gegevens verwerken in overeenstemming met de AVG.
“De AVG was een welkome ontwikkeling en de CISPE-code schept nu ook duidelijkheid rond de vereisten inzake gegevensbescherming voor aanbieders van cloudinfrastructuur”, zegt Alban Schmutz, voorzitter van CISPE (Cloud Infrastructure Service Providers in Europe), de branchevereniging achter de code.
“De CISPE-gedragscode voor gegevensbescherming biedt leveranciers van clouddiensten een goedgekeurd kader om aan te tonen dat hun gecertificeerde clouddiensten volledig in overeenstemming zijn en om concrete voorbeelden te geven van wat van hen en hun klanten wordt verwacht om gegevens te beschermen volgens de AVG-regels.”
De gedragscode van CISPE onderscheidt zich in drie belangrijke opzichten. Het is de eerste, en momenteel de enige, code die zich uitsluitend richt op de Infrastructure-as-a-Service (IaaS)-sector en dieper ingaat op de specifieke rollen en verantwoordelijkheden van IaaS-providers die ontbreken in meer algemene codes. De CISPE-gedragscode schept vertrouwen bij klanten en hun eindgebruikers door te garanderen dat een gecertificeerde IaaS-dienst volledig in overeenstemming is met de AVG.
Hoewel dit geen vereiste is voor AVG-naleving, willen veel Europese klanten dat hun gegevens binnen de EU blijven om enige controle te behouden over hun gegevens. In dit kader biedt de CISPE-gedragscode IaaS-klanten de unieke mogelijkheid om expliciet diensten te selecteren waarbij de gegevens volledig binnen de Europese Economische Ruimte worden verwerken. De CISPE-gedragscode bevordert in die zin ook best practices op het gebied van gegevensbescherming die het GAIA-X-initiatief van de EU ondersteunen om Europese cloudgebaseerde datadiensten te ontwikkelen.
De naleving van de CISPE-gedragscode wordt gecontroleerd door onafhankelijke, externe auditors die zijn geaccrediteerd door de relevante gegevensbeschermingsautoriteit. Als “toezichthoudende instanties” onderschrijven zij de garanties van de diensten die overeenkomstig de code zijn gecertificeerd. De CISPE-gedragscode biedt een gevarieerd aanbod van onafhankelijke controle-instanties, ter keuze van de CISPE .
“CISPE was de eerste organisatie in welke sector dan ook die zich engageerde en de handen in elkaar sloeg met de regelgever en EU-instellingen om een code op te stellen die verder gaat dan de AVG-vereisten om de belangen van infrastructuurproviders, hun klanten en eindgebruikers te beschermen,” aldus Schmutz.
“Cloudinfrastructuur vormt het fundament van onze digitale economie en moet dus robuust en betrouwbaar zijn, zodat we betrouwbare digitale diensten voor burgers en overheidsinstellingen kunnen bouwen in het volle vertrouwen dat we voldoen aan de AVG”, zegt MEP Eva Maydell. “Daarom heb ik de CISPE-gedragscode vanaf het begin gesteund en blij dat de voortdurende inspanningen vrucht hebben gedragen.”