לראשונה באירופה: הסמכת שירותים מבוססי ענן ל"תקן תאימות" ל-GDPR

בצעד ראשון מסוגו אישרה רשות הגנת המידע בבלגיה לחברת Scope Europe הבלגית לשמש כגוף הסמכה לקוד התנהגות חדש עבור ספקי שירותי ענן המבקשים לפעול בתאימות להוראות ה-GDPR שעוסקות במערכת היחסים ובחובות שבין הלקוח - בעל השליטה במידע (Controller) - לבין ספק הענן הפועל כמעבד המידע (Processor). הקוד מיועד למגוון רחב של שירותים מבוססי-ענן, בין אם הם שירות IaaS (תשתית כשירות), PaaS (פלטפורמה כשירות) או SaaS (תוכנה כשירות). קוד ההתנהגות זכה גם לתמיכת מועצת הרגולטורים להגנת מידע של מדינות האיחוד האירופי.

לפי ה-GDPR, קוד התנהגות ככלל הוא מנגנון המשמש אמצעי עבור ארגונים העוסקים בתחום הפעילות של קוד ההתנהגות להוכיח את הציות שלהם לדרישות מסוימות שה-GDPR מטיל עליהם. קוד ההתנהגות הנוכחי מיועד כאמור לספקי שירותי ענן ומתווה קונקרטיזציה של דרישות ה-GDPR בנושאים הבאים:

  • חוקיות, הוגנות ושקיפות עיבוד המידע
  • בסיסים חוקיים לעיבוד מידע
  • נציגות באיחוד האירופי של ספק שירותי ענן המאוגד מחוץ לאיחוד האירופי
  • שימוש ספק הענן בספקי משנה (subprocessors)
  • הסכם עיבוד המידע בין ספק הענן לבין לקוחו - בעל השליטה במידע
  • רשומות המתארות את פעילויות עיבוד המידע (Records of processing activities)
  • אבטחת מידע
  • התמודדות עם אירועי אבטחת מידע
  • קצין הגנת מידע (Data Protection Officer - DPO)
  • העברות מידע בינמדינתיות

קוד ההתנהגות מאפשר לספק שירותי ענן לבחור באחת מבין שלוש דרגות הסמכה - הסמכה עצמית הכפופה לבדיקת התיעוד הנלווה להסמכה העצמית על-ידי גוף ההסמכה (Scope Europe); הסמכה עצמית בשילוב ביקורת חיצונית בידי צד שלישי שאינו גוף ההסמכה, כאשר גוף ההסמכה בוחן את שניהם; הסמכה באמצעות ביקורת חיצונית נמרצת של גוף ההסמכה. מקור: הודעת רשות הגנת הפרטיות בבלגיה.