Een lezer vroeg me:
Wij hebben als bedrijf behoorlijk veel data en overwegen dit nu in de cloud op te slaan. Maar mag dat wettelijk gezien of moeten we per se dit zelf in Nederland beheren?
Er is geen algemene wet of regel die bepaalt dat een Nederlands bedrijf bedrijfsgegevens in Nederland moet opslaan, of zelfs maar in Europa. Je bent daar als bedrijf dus vrij in.
De enige hierbij relevante wet die ik kan bedenken, is de Wet bescherming persoonsgegevens. Wanneer die bedrijfsgegevens iets zeggen over personen (bijvoorbeeld klantdata of personeelsadministratie) dan moeten die worden behandeld volgens deze wet.
De Wbp bepaalt grofweg dat je persoonsgegevens alleen mag opslaan binnen de Europese Unie (art. 76 Wbp) behalve in enkele specifieke gevallen. Zo mag het met aparte toestemming van de betrokken personen of wanneer het nodig is voor afwikkeling van een contract met die persoon. Bemiddel je bij aankoop bij een Amerikaans bedrijf, dan mag je dat bedrijf de klantgegevens geven want anders kan die koop niet worden afgehandeld.
Verder neem je een risico als je gegevens in een ver buitenland opslaat. Wat als het bedrijf ermee ophoudt, of iets simpeler gewoon weigert je toegang tot de bedrijfsgegevens te geven? Je kunt dan moeilijker naar de rechter dan in Nederland. En dat is een risico want stel de Belastingdienst wil inzage in je administratie en die staat net in de Braziliaanse cloud die even down is (huh, een wolk die beneden is?), wat dan?
Technische oplossingen zijn hier misschien beter dan juridische trouwens: ook de hardste SLA en de beste relaties met je leverancier beschermen je niet tegen faillissementen of andere calaimiteiten. Een extra backup ergens anders is dus altijd aan te bevelen.
Arnoud