Mag je als kleine vereniging blijven werken met Google Drive onder de GDPR?

Een lezer vroeg me:

Wij zijn een kleine vereniging die zich wil voorbereiden op de AVG. Eén zorg is onze ledenadministratie, die we nu beheren in Google Drive. Ik heb begrepen dat dit mag als we een verwerkersovereenkomst met Google sluiten, maar hoe ga ik dat in vredesnaam doen bij zo’n gigant? Plus hoe houd ik toezicht op hun securitymaatregelen, wat ik vereist ben onder de AVG.

Er zijn veel dingen om je zorgen over te maken bij Google, maar dat je een verwerkersovereenkomst met ze moet sluiten zou er geen moeten zijn. Het bedrijf voorziet in een standaard DPA waar alle gebruikers van haar clouddiensten automatisch onder vallen. Als je met deze overeenkomst kunt leven, dan heb je dus voldaan aan de eis een verwerkersovereenkomst met je verwerker Google te sluiten.

Natuurlijk staan er dingen in die je als verwerkingsverantwoordelijke scherper zou willen hebben. Een verwijderperiode van 180 dagen nadat de instructie is gegeven is bijvoorbeeld vrij ruim, en het kost geld als je Google wilt auditten. Maar alles bij elkaar vind ik hem niet eens zo heel slecht. Zeker niet als je bedenkt dat Google keurig zo ongeveer alle securitycertificeringen heeft die er bestaan.

Voor een mkb organisatie zoals een vereniging zou ik dus geen reden zien om van Google af te stappen als de angst is dat je het qua security of verwerkersovereenkomst niet geregeld krijgt. Het zal in ieder geval veiliger zijn dan je zelf voor elkaar kunt krijgen (of met een eigen verwerkersovereenkomst weet te onderhandelen met een lokale partij).

Wie met Google werkt, zal eerder in het achterhoofd moeten houden dat ze daar op de lange termijn (zeg een jaar of drie tot vijf) weer weg moet. Amerikaanse bedrijven hebben immers met de AVG conflicterende plichten op zich liggen, zoals de plicht lokale law enforcement toegang te geven tot clouddata.

Vooralsnog lijkt die plicht beperkt te zijn tot data in de VS, zodat je je veilig kunt wanen door een Europese dochter te contracteren. De dreiging van die Microsoft-rechtszaak over de cloud is nu even weg, zodat we op korte termijn geen uitspraak krijgen dat de FBI Amerikaanse bedrijven kan bevelen bij Europese dochters data te gaan halen. Echter, de reden daarvoor is zorgwekkend: er komt een nieuwe Amerikaanse wet die dat gewoon toestaat (heel grappig: de Clarifying Lawful Overseas Use of Data, oftewel CLOUD) en daarom is het niet meer relevant nog over de oude wet een uitspraak te doen. De zorg of dat wel compatibel is met de AVG, blijft dus gewoon bestaan.

Arnoud

8 reacties

  1. Die wet is vorige maand dus al doorgevoerd – als onderdeel van de stemming over de begroting… Je wilt je data dus niet bij een Amerikaanse (dochter)entiteit opgeslagen hebben. De Amerikaanse overheid trekt zich niets van rechten in het buitenland aan. Maar ja; data is immers ook niets 😛

    Wat achtergrondinformatie: https://cdt.org/insight/microsoft-ireland-case-can-a-us-warrant-compel-a-us-provider-to-disclose-data-stored-abroad/

  2. Voor zover ik weet, verdient Google onder andere haar centen door gebruikersdata te analyseren en die analyses te gebruiken om “gepersonaliseerde” advertenties te laten zien. Als ik een email via Gmail stuur naar mijn arts over seksuele problemen, kan ik dus advertenties voor impotentiekruiden verwachten.

    In de verwerkersovereenkomst zie ik echter geen mogelijkheid voor Google om dat te blijven doen. Is er toch zo’n tekst ergens door een jurist verborgen? Of komt daar nog apart toestemming voor als de gebruiker “ervoor kiest” (lees: moet) de dienst te gebruiken?

      1. @Elroy, kleine correctie, bij betaalde diensten wordt er wel gescanned, maar wordt deze data niet ingezet voor reclame doeleinden. Waarom wordt er wel gescanned? Om ervoor te zorgen dat zoekresultaten (in je mailbox, of op je google drive) snel worden getoond. De data wordt gescanned en geindexeerd, zodat de zoekresultaten (ik zoek alles over project MIRANDA) snel worden getoond. Als de scan en indexering niet plaatsvind, zou google bij iedere zoekopdracht alle mails en documenten volledig moeten scannen, waardoor het zoeken tergend langzaam zou gaan.

    1. Doen ze wel vaker daar in de US of A. Bijvoorbeeld de USA PATRIOT Act uit 2001; “Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act” .
      Hier een kleine bloemlezing: https://www.theatlantic.com/politics/archive/2013/08/congress-acronyms-reins/312565/

      Overigens is The Onion de Amerikaanse Speld. Of eigenlijk is het andersom want The Onion bestaat al in diverse vormen sinds 1988.

  3. Op zoek naar Google’s data processing agreement vond ik die inderdaad voor Google Cloud en G Suite.

    Google Cloud lijk geënt op de servers waarop je als ontwikkelaar applicaties kunt bouwen. https://cloud.google.com/products/

    Gmail en Google Drive lijken de consumentenversies van G Suite: https://gsuite.google.com

    Ik kon de DPA voor Gmail en Google Drive niet vinden. Het lijkt erop dat je daarvoor naar de zakelijke, betaalde, variant – G Suite – moet overstappen. Probeer deze stappen maar eens te volgen om de amendments te accepteren: https://support.google.com/a/answer/2888485?hl=en

    Wat denk jij?

  4. Als je een server opent bij een Amerikaanse cloud provider, en die server is een linux instance die je zelf beheert, en je zorgt dat alle data versleuteld worden opgeslagen, en dat de cloud provider geen toegang heeft tot de keys, dan heb je toch geen last van de Cloud Act?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.