Google Cloud en de Algemene verordening gegevensbescherming (AVG)

Naleving van de AVG is een topprioriteit voor Google Cloud en onze klanten. De AVG is bedoeld om de bescherming van persoonlijke gegevens in Europa te verbeteren en heeft invloed op de manier waarop we allemaal zakendoen. U zult veel vragen hebben, maar wij zijn er om u te helpen. Google Cloud hanteert een klantgerichte aanpak voor bescherming, controle en naleving, en we helpen u graag om aan de AVG te voldoen.

WHITEPAPER OVER GOOGLE CLOUD EN DE AVG BEKNOPTE REFERENTIEHANDLEIDING VOOR DE AVG BIJ GOOGLE CLOUD IMPLEMENTATIEHANDLEIDING VOOR GEGEVENSBESCHERMING IN G SUITE

Naar ons AVG-informatiecentrum 

Wat is de AVG?

De AVG is van kracht sinds 25 mei 2018 en vervangt de Europese richtlijn betreffende gegevensbescherming uit 1995.

De AVG stelt specifieke eisen aan bedrijven en organisaties die zijn gevestigd in Europa of die Europese klanten bedienen. Deze verordening:

  • reguleert de wijze waarop bedrijven persoonlijke gegevens mogen verzamelen, gebruiken en opslaan,
  • bouwt voort op bestaande documentatie- en rapportagevereisten om de verantwoordingsplicht te vergroten,
  • voorziet in boetes voor bedrijven die niet aan de vereisten voldoen.

Wat we doen

Bij Google Cloud moedigen we initiatieven aan die prioriteit geven aan (betere) beveiliging en privacybescherming van gebruikersgegevens. We hebben meerdere updates uitgevoerd om ervoor te zorgen dat Google Cloud-klanten onze services met vertrouwen kunnen gebruiken nu de AVG van kracht is. Als u samenwerkt met Google Cloud, ondersteunen we uw inspanningen als volgt:

  1. We verplichten ons in onze contracten de AVG na te leven als het gaat om het verwerken van persoonlijke gegevens van klanten voor alle services van Google Cloud Platform en G Suite.
  2. We bieden aanvullende beveiligingsfuncties die u kunnen helpen om de meest gevoelige gegevens nog beter te beschermen.
  3. We bieden u de documentatie en hulpbronnen op basis waarvan u de privacybescherming van onze services kunt beoordelen.
  4. We blijven onze gegevensbeveiliging voortdurend verbeteren naarmate het reguleringslandschap verandert.

Maatregelen van G Suite en Google Cloud Platform voor de AVG

Verwerkingsverantwoordelijken zijn onder meer verplicht uitsluitend gegevensverwerkers te gebruiken die voldoende waarborgen bieden dat er adequate technische en organisatorische maatregelen worden genomen om de verwerking te laten voldoen aan de vereisten van de AVG. Wanneer u services van G Suite en Google Cloud Platform beoordeelt, raden we u aan om rekening te houden met de volgende aspecten:

Expertise op het gebied van gegevensbescherming

Google heeft beveiligings- en privacyprofessionals in dienst, waaronder een aantal van de meest vooraanstaande experts ter wereld op het gebied van informatie-, app- en netwerkbeveiliging. Dit team van experts heeft als taak de beveiligingssystemen van het bedrijf te onderhouden, procedures voor de beveiligingscontrole te ontwikkelen, een krachtiger beveiligingsinfrastructuur te ontwerpen en het beveiligingsbeleid van Google exact te implementeren.

Google werkt ook met een uitgebreid team van juristen, experts in naleving van regelgeving en specialisten op het gebied van openbaar beleid, die zorgen voor de naleving van privacy- en beveiligingsvoorschriften bij Google Cloud.

Deze teams werken samen met klanten, belanghebbenden uit de branche en toezichthoudende autoriteiten om ervoor te zorgen dat onze G Suite- en Google Cloud Platform-services ertoe bijdragen dat klanten aan hun nalevingsbehoeften kunnen voldoen.

Wat u kunt doen

Wat zijn uw verantwoordelijkheden als klant?

Klanten van G Suite1 en Google Cloud Platform treden doorgaans op als verwerkingsverantwoordelijke van alle persoonlijke gegevens die ze via hun Google Cloud-services aan Google verstrekken. De verwerkingsverantwoordelijke bepaalt de doelen en middelen voor het verwerken van persoonlijke gegevens. Er is ook een gegevensverwerker. Dat zijn wij. Als gegevensverwerker verwerkt Google persoonlijke gegevens namens de verwerkingsverantwoordelijke wanneer deze G Suite of Google Cloud Platform gebruikt.

Wat is een verwerkingsverantwoordelijke?

Verwerkingsverantwoordelijken zijn verantwoordelijk voor het nemen van de technische en organisatorische maatregelen die nodig zijn om de gegevensverwerking aantoonbaar uit te voeren in overeenstemming met de AVG. De verplichtingen van verwerkingsverantwoordelijken hebben betrekking op principes zoals rechtmatigheid, redelijkheid en transparantie, doelbinding, gegevensminimalisering en nauwkeurigheid, evenals het nakomen van de rechten van betrokkenen, ook wel 'datasubjecten' genoemd.

U vindt richtlijnen met betrekking tot uw verantwoordelijkheden onder de AVG door regelmatig websites van uw nationale of primaire autoriteiten op het gebied van gegevensbescherming en publicaties van privacyverenigingen zoals de International Association of Privacy Professionals (IAPP) te raadplegen. We zorgen er ook voor dat deze AVG-pagina en ons AVG-informatiecentrum altijd actueel zijn, met het laatste nieuws en de laatste updates.

Deze site is bedoeld om onze klanten te helpen begrijpen waar Google Cloud staat met betrekking tot de AVG. We raden u aan een juridisch expert te raadplegen voor advies over de specifieke vereisten die van toepassing zijn op uw organisatie, aangezien deze site niet mag worden opgevat als juridisch advies.

Waar moet u beginnen?

Als u klant bent van Google Cloud, moet de AVG onderdeel zijn van uw strategie voor gegevensbescherming. Hier zijn enkele tips:

  • Maak uzelf vertrouwd met de bepalingen van de AVG.
  • Inventariseer de persoonlijke gegevens die u verwerkt. U kunt enkele van onze tools gebruiken bij het identificeren en classificeren van gegevens.
  • Evalueer uw huidige maatregelen, beleidsrichtlijnen en processen voor het beheren en beschermen van gegevens volgens de vereisten van de AVG. Kijk wat er ontbreekt en maak een plan om dit op te lossen.
  • Overweeg hoe u de bestaande Google Cloud-functies voor gegevensbescherming kunt gebruiken als onderdeel van uw eigen framework voor naleving van de regelgeving. Bekijk om te beginnen het materiaal over externe audits en certificeringen van G Suite of Google Cloud Platform.
  • Bekijk en accepteer onze geüpdatete voorwaarden voor gegevensverwerking via het aanmeldproces dat hier wordt beschreven voor het amendement gegevensverwerking van G Suite en hier voor de voorwaarden voor gegevensverwerking en -beveiliging van GCP.
1 G Suite omvat G Suite voor Business en G Suite for Education. 2 We raden u aan onafhankelijk juridisch advies in te winnen om te bepalen wat voor u de nationale of primaire autoriteit op het gebied van gegevensbescherming is.

Veelgestelde vragen

Wat is de AVG?
De Algemene verordening gegevensbescherming is een privacyverordening die de Richtlijn 95/46/EG betreffende gegevensbescherming van 24 oktober 1995 per 25 mei 2018 heeft vervangen.
Vereist de AVG dat persoonlijke gegevens worden opgeslagen in de EU?
Nee. Net als Richtlijn 95/46/EG betreffende gegevensbescherming, bevat de AVG bepaalde voorwaarden voor de overdracht van persoonlijke gegevens buiten de EU. Aan dergelijke voorwaarden kan worden voldaan via mechanismen zoals modelcontractclausules.
Hoe zijn uw voorwaarden gewijzigd om te voldoen aan de AVG?
Google Cloud biedt al jaren voorwaarden voor gegevensverwerking waarin onze privacy- en beveiligingsverplichtingen tegenover klanten duidelijk worden verwoord. Hoewel de AVG rechtstreeks van toepassing is op cloudserviceproviders, ongeacht de contractuele verplichtingen op dit vlak, hebben we onze voorwaarden aangepast om aan te sluiten bij de AVG. Onze aangepaste voorwaarden zijn met name een afspiegeling van de bepalingen in artikel 28 van de AVG, waarin het gebruik van gegevensverwerkers door cloudklanten wordt geregeld.
Geeft de AVG klanten het recht om Google Cloud te controleren?
Volgens de AVG moeten verwerkingsverantwoordelijken auditrechten krijgen op grond van hun contracten met gegevensverwerkers. Onze geüpdatete voorwaarden voor gegevensverwerking beschrijven controlerechten die we toekennen aan onze klanten.
Wat is de rol van externe rapporten zoals ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 en SOC 2/3 bij de naleving van de AVG?
Onze externe ISO-certificeringen en SOC 2/3-auditrapporten kunnen door klanten worden gebruikt om risicoanalyses uit te voeren en vast te stellen of de juiste technische en organisatorische maatregelen zijn genomen.
Welke andere informatiebronnen over de AVG stelt Google ter beschikking?
Bekijk de website voor bedrijven en gegevens van Google en ons AVG-informatiecentrum