OVH en de bescherming van persoonlijke gegevens

Introductie

Thumbnail

De General Data Protection Regulation (GDPR, of ook Algemene Verordening Gegevensbescherming - AVG genoemd) is het juridische kader voor de behandeling van persoonlijke gegevens in Europa, welke in werking treedt op 25 mei 2018. In tegenstelling tot Richtlijn 95/46/EG, die deze verwerking voorafgaand aan dit punt beheerste, heeft de GDPR directe invloed binnen de Unie en hoeft deze niet op nationaal niveau te worden omgezet. In dit verband zal het de harmonisatie van de wettelijke regelingen voor de verwerking van persoonsgegevens in Europa bevorderen. Sterker nog, de GDPR bevat een principe van extraterritorialiteit, wat betekent dat, in bepaalde omstandigheden, de reikwijdte van de toepassing ervan kan worden uitgebreid tot buiten de grenzen van Europa.

Als u een structuur bent die persoonsgegevens verwerkt, bent u hoogstwaarschijnlijk onderworpen aan de bepalingen van de AVG. In dit opzicht bent u onderworpen aan verplichtingen en moet u zich eraan houden. Hetzelfde geldt voor OVH, dat gezien zijn situatie gebonden is aan verschillende verplichtingen, in zijn hoedanigheid van verwerker of als gegevensbeheerder.

Definities

Het begrijpen van de echte, specifieke kwesties die op het spel staan in Europese regelgeving is niet altijd een gemakkelijke taak, vooral wanneer de verordening in kwestie 99 artikelen, 173 overwegingen en talrijke richtlijnen bevat om te specificeren hoe het van toepassing zal zijn. Een goed begrip van deze kwesties is echter van essentieel belang om te voorkomen dat er risico's voortvloeien uit een te ruime of onduidelijke interpretatie van de wettelijke verplichtingen die op uw structuur van toepassing zijn. Een goed begrip van de hieronder gedefinieerde termen is dus essentieel:

  • persoonlijke gegevens: alle informatie met betrekking tot een geïdentificeerde of identificeerbare echte persoon. Een identificeerbare echte persoon wordt gedefinieerd als elke echte persoon die direct of indirect kan worden geïdentificeerd.
  • verwerking: elke bewerking of groep van operaties, al dan niet uitgevoerd via geautomatiseerde processen, toegepast op persoonlijke gegevens of verzamelingen persoonlijke gegevens (verzamelen, opnemen, verzenden, opslaan, bewaren, extraheren, gebruiken, interconnectie, enz.).
  • gegevensbeheerder: de werkelijke of rechtspersoon, overheidsinstantie, dienst of ander lichaam dat, alleen of met andere personen, het doel en de wijze van verwerking bepaalt.
  • verwerker: de echte of rechtspersoon, overheidsinstantie, dienst of andere instantie die persoonsgegevens namens de voor de verwerking verantwoordelijke verwerkt.

OVH als verwerker

Thumbnail

Het is ongetwijfeld in dit laatste scenario dat u het meest frequent met OVH zult omgaan. OVH wordt geclassificeerd als een ‘verwerker’ (of ‘processor’) wanneer het persoonsgegevens verwerkt namens een gegevensbeheerder (controller). Dit zal meestal het geval zijn wanneer u de diensten van OVH gebruikt en u persoonlijke gegevens opslaat op een OVH-infrastructuur. Binnen de grenzen van zijn technische beperkingen, kan OVH alle opgeslagen gegevens uitsluitend verwerken in overeenstemming met uw instructies en namens u.

Verplichtingen van OVH als verwerker

Als verwerker verbindt OVH zich ertoe om de volgende acties te ondernemen:

  • verwerking van persoonlijke gegevens uitsluitend met het oog op de correcte uitvoering van de diensten: OVH zal uw gegevens nooit voor andere doeleinden verwerken (marketing, enz.).
  • Uw gegevens bewaren binnen de EU en alleen in landen die door de Europese Unie zijn erkend als voldoende bescherming biedend, op voorwaarde dat u geen datacenter selecteert dat zich bevindt in een geografisch gebied buiten de EU.
  • U informeren als we een verwerker (onderaannemer) hebben ingeschakeld om uw persoonlijke gegevens te verwerken: tot op heden zijn er geen diensten met toegang tot gegevens die u hebt opgeslagen als onderdeel van de dienst uitbesteed buiten de OVH Group.
  • Strenge beveiligingsnormen toepassen om een hoog niveau van beveiliging voor onze klanten te bieden.
  • U zo snel mogelijk op de hoogte stellen in geval van een schending van de gegevens.
  • U helpen te voldoen aan uw eigen wettelijke verplichtingen, door u te voorzien van adequate documentatie van onze diensten.

Deze toezeggingen zijn vastgelegd in onze Algemene Servicevoorwaarden van OVH. Als zodanig, en onder voorbehoud van speciale voorwaarden, zijn ze door een klant aan OVH als verwerker afdwingbaar.

OVH's initiatieven in heel Europa

Ter versterking van zijn toezeggingen, was OVH betrokken bij de oprichting van CISPE (Cloud Infrastructure Services Providers in Europe). Deze organisatie heeft een gedragscode opgesteld die tot doel heeft de correcte toepassing van de GDPR door aanbieders van IaaS (Infrastructure as a Service) te bevorderen. Door zijn actieve deelname aan dit initiatief toont OVH aan dat het ernaar streeft de regels voor de bescherming van persoonsgegevens door heel Europa te harmoniseren, en wat dat betreft hoge eisen stelt.

Thumbnail

Het Private Cloud-pakket (IaaS) van OVH is de eerste OVH-dienst die is verklaard conform te zijn aan de CISPE-gedragscode.

Veelgestelde vragen: OVH als verwerker

Wie is de eigenaar van persoonlijke gegevens die door de klant worden gebruikt en opgeslagen als onderdeel van OVH-diensten?

Gegevens die door de klant worden opgeslagen als onderdeel van OVH-diensten blijven eigendom van de klant.

OVH heeft geen toegang tot deze gegevens en gebruikt het alleen als het nodig is om diensten te verlenen en binnen de grenzen van zijn technische mogelijkheden.

Elke doorverkoop van de bovengenoemde gegevens, evenals elk gebruik van de gegevens voor commerciële doeleinden (bijvoorbeeld profileringsactiviteit of direct marketing) is ten strengste verboden.

In welke gevallen heeft OVH toegang tot gegevens die door de klant worden opgeslagen en gebruikt als onderdeel van de aangeschafte diensten?

OVH heeft slechts in twee gevallen toegang tot klantgegevens:

  • met het oog op de uitvoering van de diensten en in het bijzonder om de assistentie aan klanten te optimaliseren wanneer zij contact opnemen met de OVH support. In dit geval blijft de toegang tot klantgegevens geregeld via specifieke autorisaties en specifieke controle- en beveiligingsmaatregelen;
  • om te voldoen aan wettelijke verplichtingen in het kader van gerechtelijke en/of administratieve verzoeken. De naleving van deze toepassingen is onderworpen aan strikt gedefinieerde regels.

Toegang tot klantgegevens in het geval van technische ondersteuning:
Wanneer de klant contact opneemt met OVH support, kunnen er, afhankelijk van het probleem, twee soorten gegevens worden geopend. Enerzijds, om het verzoek van de klant beter af te handelen, neemt de support nota van de informatie die deze heeft verstrekt tijdens de oprichting van zijn/haar OVH-account (achternaam, voornaam, telefoonnummer, e-mailadres, enz.).
Anderzijds en alleen op uitdrukkelijk verzoek van de klant, en met inachtneming van de technische beperkingen die specifiek zijn voor elke dienst, kan de support toegang krijgen tot de gegevens die zijn opgeslagen op de OVH-diensten, om de oorsprong van het probleem te achterhalen, onderzoeken, en het uiteindelijk op te lossen.

Toegang tot klantgegevens in het geval van een gerechtelijk en/of administratief verzoek:
OVH moet handelen in overeenstemming met de wet en reageren op verzoeken van gerechtelijke en/of administratieve autoriteiten. Omdat verzoeken om toegang worden gedekt door een strikt wettelijk kader, zal OVH deze verzoeken niet autoriseren totdat we ervoor hebben gezorgd dat ze geldig en onderbouwd zijn. Daarnaast verbindt OVH zich ertoe om, zolang de aanvraag of de wet het niet verbiedt, de klant zo snel mogelijk op de hoogte te stellen van de ontvangst van een dergelijk verzoek aan OVH. Aanvragen afkomstig uit een derde land worden alleen verwerkt als ze zijn geformuleerd op basis van een internationale overeenkomst, zoals bijvoorbeeld een verdrag inzake wederzijdse rechtshulp dat is gesloten tussen een derde staat en de Unie of een lidstaat.

Worden gegevens van OVH's Europese klanten buiten de Europese Unie overgedragen?

Het is belangrijk om twee verschillende situaties op dit gebied te onderscheiden. Deze kunnen in het bijzonder afhangen van de keuzes die de klant maakt in termen van het selecteren van de locatie van de datacenters waarin zijn/haar gegevens worden opgeslagen:

Wanneer de klant een dienst kiest waarbij een of meer datacenters worden gebruikt in de Europese Unie:
In dit geval worden de klantgegevens nooit naar buiten overgedragen:

  • van Europese lidstaten
  • van landen die door de Europese Commissie erkend worden als een voldoende niveau van bescherming biedend van persoonsgegevens met betrekking tot de bescherming van privacy, fundamentele rechten en vrijheden van individuen. De lijst met deze landen is te allen tijde beschikbaar de website van de Europese Commissie.

Na de nietigverklaring van de Safe Harbor-overeenkomst en hoewel de Europese Commissie erkent dat Amerikaanse privacygevoelige organisaties voldoende beveiligd zijn, verstuurt OVH nooit de klantgegevens, waarvoor het geografische gebied in Europa is geselecteerd, naar de VS.

Gegevensoverdrachten naar landen waarvan het beveiligingsniveau voldoende is volgens de normen van de Europese Commissie kunnen worden gedaan binnen de maatregelen van de klantenservice van OVH. Wanneer de OVH-datacenters zich binnen de Europese Unie bevinden, bevinden de support-teams van de OVH zich in de Europese Unie en Canada. Dit geldt ook voor landen waarvan het niveau van gegevensbescherming met betrekking tot persoonsgegevens volgens de Europese Commissie toereikend is. OVH behoudt ook het recht om ondersteunende diensten, waaronder het op afstand benaderen van klantgegevens die zijn opgeslagen in de dienst, aan te bieden aan andere OVH-eenheden die zich bevinden in landen met een gegevensbeschermingsniveau dat volgens de Europese Commissie voldoende is (behalve in de VS).

De garanties van OVH op het gebied van data-overdracht stellen de klant in staat diens wettelijke verplichtingen na te komen. In artikel 45 van de GDPR, dat "doorgifte van gegevens op basis van een adequaatheidsbesluit" omschrijft, wordt bepaald dat de doorgifte van persoonsgegevens aan een derde land of aan een internationale organisatie kan plaatsvinden indien de Commissie heeft bepaald dat die derde partij, een gebied of een of meer specifieke sectoren van dat derde land, of de internationale organisatie in kwestie, een voldoende mate van bescherming biedt. Voor een dergelijke overdracht is geen speciale toestemming vereist.

Wanneer de klant een dienst kiest die wordt aangeboden via een datacenter buiten de Europese Unie:
In dit geval worden de gegevens overgedragen buiten de Europese Unie. De locatie of het geografische gebied waarin het centrum of de datacenters zich bevinden om de dienst aan te bieden, wordt aangegeven op de OVH-website. Wanneer meerdere locaties beschikbaar zijn, selecteert de klant er een van naar eigen voorkeur. OVH kan niet, zonder toestemming van de klant en onderhevig aan de specifieke voorwaarden voor het leveren van enkele van de dienst, locaties of geografische gebieden veranderen die tijdens de bestelfase zijn geselecteerd.

Ter ondersteuning van organisaties die persoonsgegevens willen verwerken door datacenters buiten de Europese Unie te gebruiken in een land dat geen adequaat niveau van bescherming van persoonsgegevens biedt, kan OVH op uitdrukkelijk verzoek de tenuitvoerlegging van garanties, die een dergelijke overdracht toestaan zoals bepaald in artikel 46 van de GDPR 'Overdrachten onder voorbehoud van passende waarborgen', bespreken.

OVH als gegevensbeheerder

Thumbnail

OVH wordt geclassificeerd als een 'gegevensbeheerder' wanneer we het doel en de methode bepalen van 'onze' verwerking van persoonsgegevens.

Dit is typisch het geval wanneer OVH gegevens verzamelt voor facturering, debiteurenbeheer, verbetering van de kwaliteit van diensten en prestaties, verkoopprospectie, commercieel beheer, enz. Maar het is ook het geval wanneer OVH persoonlijke gegevens over zijn eigen werknemers verzamelt.

In dit scenario worden 'uw' gegevens - de gegevens die u opslaat op de OVH-diensten - niet beïnvloed. Aan de andere kant kan bepaalde informatie over u of betreffende uw werknemers (de identiteit en contactgegevens van uw contactpersoon bij OVH als onderdeel van een verzoek om technische assistentie bijvoorbeeld) zijn. Dit is de reden waarom OVH graag uitlegt welke garanties zijn gegeven om ervoor te zorgen dat deze persoonlijke gegevens worden beschermd.

  • beperken van de verzamelde gegevens tot wat strikt noodzakelijk is: als onderdeel van deze aanpak, wanneer u een dienst bestelt, voert u alleen de gegevens in die OVH nodig heeft voor facturerings- of ondersteuningsdoeleinden, of om ervoor te zorgen dat we aan onze eigen wettelijke verplichtingen inzake gegevensbescherming voldoen.
  • geen gegevens te gebruiken die voor een ander doel zijn verzameld dan waarvoor ze zijn verzameld.
  • opslaan van persoonlijke gegevens voor een specifieke periode. Gegevens die worden verwerkt om klantrelaties te beheren (naam, voornaam, postadres, e-mailadres, enz.) worden bijvoorbeeld door OVH opgeslagen voor de duur van het contract, plus een extra 36 (zesendertig) opeenvolgende maanden. Na deze tijd worden deze gegevens, evenals hun kopieën, van alle media verwijderd;
  • om deze gegevens niet over te dragen aan andere derden dan aan OVH verbonden bedrijven en als onderdeel van de uitvoering van het contract. Als onderdeel van deze overdracht binnen de Groep kunnen sommige gegevens buiten de Europese Unie worden overgedragen, op basis van de beperkende bedrijfsregels die door de OVH-groep worden geïmplementeerd.
  • passende technische en organisatorische maatregelen nemen om een hoge mate van veiligheid te waarborgen.