nieuws

Mag assurantiekantoor klantgegevens ‘in de cloud’ hangen?

Branche

Onder voorwaarden is het voor een assurantiekantoor mogelijk om persoonsgegevens van klanten in een ‘cloud omgeving’ op te slaan. De eisen die hieraan worden gesteld zijn echter ingrijpend en complex, zegt Bureau D & O in een van haar nieuwsbrieven.

Mag assurantiekantoor klantgegevens ‘in de cloud’ hangen?

Bureau  D & O kreeg van een assurantiekantoor de volgende vraag voorgelegd: kunnen commerciële medewerkers die veel buiten kantoor zijn, toegang houden tot alle klantgegevens door ze via cloud technologie beschikbaar te maken? De gegevens blijven dan niet op een vaste server staan, maar worden opgeslagen op wisselende computers, met als voordeel dat de gebruiker niet hoeft te investeren in dure hardware en het onderhoud daarvan.

Eisen
D & O wijst erop dat financiële dienstverleners die de cloud gebruiken, te maken hebben met zowel de eisen van het College Bescherming Persoonsgegevens (CBP) als die van De Nederlandsche Bank (DNB). Het CBP stelt bijvoorbeeld als eis dat er een risicoanalyse gemaakt wordt. Het gaat daarin om vragen als: welke gegevens worden precies in de cloud gehangen, waar staan de gegevens fysiek en worden de gegeven ook opgeslagen buiten de Europese Gemeenschap? Die analyse moet vervolgens leiden tot een op maat toegesneden ‘bewerkingsovereenkomst’ tussen het assurantiekantoor en de aanbieder van cloud diensten.
Uitbesteding
DNB stelt aanvullende eisen aan financieel dienstverleners en constateert dat het gebruik van cloud diensten moet worden gezien als een vorm van uitbesteding. De risico’s daarvan moeten aantoonbaar gekend en beheerst worden en uitbesteding aan derden mag geen belemmering vormen voor het toezicht door DNB/AFM. Als blijkt dat de persoonsgegevens geheel of deels worden opgeslagen op servers die staan buiten de Europese Gemeenschap dan is zelfs een aparte vergunning van de minister van Justitie en Veiligheid nodig.
D & O vraagt zich af of gemiddelde assurantiekantoren hier individueel aan kunnen voldoen. “Een betere optie lijkt te zijn dat assurantiekantoren via een samenwerkingsverband, bijvoorbeeld hun belangenorganisatie of automatiseringsbedrijf, gezamenlijk trachten de voorwaarden te scheppen waarbinnen het gebruikmaken van cloud diensten binnen de geldende wet- en regelgeving kan geschieden”, zo luidt de aanbeveling.

Reageer op dit artikel