Nieuwe AP-gids over cloudgebruik: verplichte inspiratie voor alle juristen met een beroepsgeheim
De Autoriteit Persoonsgegevens (AP) publiceerde onlangs de praktijkgids Gezondheidsgegevens in de cloud. Het document is gericht op zorgaanbieders en behandelt in ruim dertig pagina's alles wat je moet weten als je gevoelige persoonsgegevens onderbrengt bij een cloudleverancier: hoe je een leverancier selecteert en doorlicht, welke vragen je moet stellen over subverwerkers en beveiliging, wat er in een verwerkersovereenkomst hoort te staan, hoe je een exitstrategie opstelt, welke risico's spelen bij opslag buiten de EER, en welke beveiligingsnormen als referentiekader dienen. Inclusief een uitgebreide checklist met concrete onderzoeksvragen.
Nu is die gids geschreven voor de zorgsector. Maar de kern ervan raakt een breder vraagstuk: hoe ga je als beroepsbeoefenaar met een geheimhoudingsplicht verantwoord om met cloudtechnologie? En dat maakt het document relevant voor de hele juridische beroepsgroep. Advocaten, notarissen, gerechtsdeurwaarders en andere juridische dienstverleners verwerken dagelijks gegevens die minstens zo gevoelig zijn als medische dossiers. Ze opereren onder wettelijke of tuchtrechtelijke geheimhoudingsverplichtingen. En ze stappen in toenemende mate over op AI-tools en cloudoplossingen, vaak zonder helder kader om die aanbieders op te beoordelen.
De beroepsorganisaties hebben eigen richtlijnen voor verantwoord AI-gebruik opgesteld, en dat zijn goede eerste stappen. Tegelijkertijd mist de gemiddelde juridische beroepsbeoefenaar vaak de technische achtergrond om vragen over datastromen, subverwerkers en cloudbeveiliging zelf te kunnen beoordelen. De AP-gids vult dat gat. Niet als vervanging van bestaande richtlijnen, maar als praktische aanvulling met concrete handvatten.
Waarom de parallel tussen zorg en juridische beroepen opgaat
De redenering is helder. De AP beschouwt gezondheidsgegevens als bijzondere persoonsgegevens onder de AVG. Dat betekent een verbod op verwerking tenzij een specifieke uitzonderingsgrond van toepassing is, en verzwaarde beveiligingseisen. Medici werken onder een beroepsgeheim. Ze verwerken informatie die bij een datalek enorme schade kan veroorzaken voor betrokkenen.
Vervang 'medisch dossier' door 'cliëntdossier' en de situatie is nagenoeg identiek. Het maakt daarbij niet uit of het gaat om een strafdossier bij een advocaat, een akte van levering bij een notaris, of financiële gegevens bij een gerechtsdeurwaarder. In al die gevallen geldt een geheimhoudingsplicht, is de informatie bijzonder gevoelig, en zou een datalek grote schade veroorzaken voor de betrokkenen. Dat materiaal verdient hetzelfde beschermingsniveau als patiëntgegevens.
De verwerkingsketen: weet wie er aan jouw data zit
Een belangrijk deel van de gids gaat over de rolverdeling tussen verwerkingsverantwoordelijke en verwerker. Als juridisch kantoor ben jij de verwerkingsverantwoordelijke. De AI-aanbieder is doorgaans de verwerker: een partij die gegevens verwerkt namens jou en uitsluitend op basis van jouw instructies.
Dat klinkt overzichtelijk, maar in de praktijk is het dat zelden. De AP wijst erop dat achter veel cloudleveranciers een keten van subverwerkers schuilgaat. Jouw AI-tool draait misschien op de infrastructuur van een Amerikaans techbedrijf, dat weer gebruikmaakt van datacenters in verschillende landen, beheerd door weer andere partijen. De gids stelt dat je als verwerkingsverantwoordelijke verantwoordelijk blijft voor die hele keten. Dat betekent: vooraf inzicht eisen in wie de subverwerkers zijn, in welke landen zij opereren, en vanuit welke locaties zij toegang kunnen krijgen tot de gegevens.
Bovendien benadrukt de AP dat de afspraken die je met de hoofdleverancier maakt, volledig moeten doorwerken naar alle subverwerkers. Een verwerkersovereenkomst die alleen de directe relatie dekt, is onvoldoende.
Onderzoek de leverancier: de AP-checklist vertaald
Paragraaf 4.4 van de gids bevat een uitgebreide lijst onderzoeksvragen. Die vragen zijn geschreven voor zorgaanbieders, maar ze laten zich probleemloos vertalen naar de juridische praktijk. De kern:
Verwerking conform instructies. Verwerkt de leverancier gegevens uitsluitend op basis van jouw gedocumenteerde instructies? Of behoudt het bedrijf eigen verwerkingsrechten? De AP is hier scherp: een leverancier die cliëntgegevens voor eigen doeleinden hergebruikt, bijvoorbeeld voor modeltraining, handelt daarmee in strijd met de AVG en wordt zelf verwerkingsverantwoordelijke voor die verwerking.
Geheimhoudingsbeleid. Heeft de leverancier aantoonbaar beleid waarmee medewerkers aan geheimhouding gebonden zijn? De AP vraagt niet alleen of dat beleid bestaat, maar ook of naleving ervan kan worden aangetoond.
Beveiligingsniveau. De gids verwacht dat je het beveiligingsniveau van de leverancier beoordeelt in relatie tot de specifieke verwerkingsactiviteiten die je uitbesteedt. Dat is meer dan een vinkje bij "wij zijn ISO-gecertificeerd". Je moet beoordelen of dat niveau passend is voor de verwerking van gegevens die onder het beroepsgeheim vallen, en die beoordeling documenteren.
Screening subverwerkers. De AP adviseert om te verifiëren of de leverancier procedures heeft om subverwerkers te screenen op naleving van gegevensbeschermingseisen. Inclusief de vraag of er een termijn is waarbinnen de leverancier jou informeert over nieuwe of gewijzigde subverwerkers.
Ondersteuning bij rechten van betrokkenen. Heeft de leverancier procedures om jou te helpen bij het afhandelen van verzoeken van betrokkenen onder de AVG? Denk aan inzageverzoeken, verwijderingsverzoeken, of verzoeken om dataportabiliteit.
Datalekprocedures. De gids benadrukt dat je moet nagaan of de leverancier concrete procedures heeft voor het omgaan met datalekken, inclusief de verplichting om mee te werken aan meldingen bij de AP en aan betrokkenen. De AP signaleert overigens dat de termijnen in verwerkersovereenkomsten sterk uiteenlopen, van "onverwijld" tot "72 uur". Het advies: maak die termijn zo kort mogelijk.
Wissen of retourneren bij beëindiging. Kan de leverancier gegevens onherroepelijk wissen of aan jou terugleveren als de samenwerking eindigt? Dit klinkt vanzelfsprekend, maar is het in de praktijk lang niet altijd.
Auditrecht. De AP is expliciet: de eigen auditrapporten van een cloudleverancier vervangen niet jouw recht om als verwerkingsverantwoordelijke zelf audits en inspecties te laten uitvoeren. Dat recht moet contractueel zijn geborgd.
Exitstrategie: plan je vertrek voordat je begint
Een van de meest praktische onderdelen van de gids gaat over het beëindigen van een cloudrelatie. De AP adviseert om al vóór het sluiten van een overeenkomst na te denken over de omstandigheden waaronder je de samenwerking zou willen of moeten beëindigen. Denk aan structureel tegenvallende prestaties, ernstige contractuele schendingen, een overname van de leverancier door een andere partij, of een verplaatsing van het hoofdkantoor naar een jurisdictie buiten de EER.
De gids gaat verder dan alleen de contractclausule. Er moet een concreet exitplan liggen met mijlpalen, een tijdsinschatting, een kostenraming, en helderheid over wie de dienstverlening kan overnemen. Dat plan moet bovendien periodiek worden getest op uitvoerbaarheid. Een plan dat op papier klopt maar technisch niet werkt, heb je niets aan.
Geopolitieke risico's: de EER als veilige haven
De AP neemt een duidelijke positie in over internationale doorgifte van gegevens. De gids wijst op het risico dat leveranciers die onder wetgeving van landen buiten de EER vallen, verplichtingen kunnen hebben richting buitenlandse autoriteiten. Het NCSC-memo over de Cloud Act illustreert dat risico concreet: Amerikaanse bedrijven kunnen worden gedwongen gegevens te overhandigen, ongeacht waar die gegevens fysiek zijn opgeslagen.
De AP adviseert om de verwerking van gevoelige gegevens bij voorkeur te beperken tot locaties binnen de EER en om leveranciers te kiezen die uitsluitend onder Europese wetgeving en jurisdictie vallen. Voor elke juridische beroepsbeoefenaar met een geheimhoudingsplicht is dat advies extra relevant: het beroepsgeheim mag niet worden doorbroken doordat een buitenlandse overheid via de achterdeur toegang krijgt tot cliëntgegevens.
Bij een eventuele doorgifte buiten de EER moet je als verwerkingsverantwoordelijke die doorgiften identificeren, de wenselijkheid ervan beoordelen en documenteren, het juiste doorgifte-instrument vaststellen onder hoofdstuk V van de AVG, en regelmatig evalueren of het beschermingsniveau nog voldoende is.
De Cyberbeveiligingswet en praktijknormen
De gids plaatst cloudgebruik ook in het kader van de Cyberbeveiligingswet (Cbw), de Nederlandse implementatie van de NIS2-richtlijn. Zowel de zorgsector als cloudaanbieders vallen onder de categorie 'zeer kritieke sector'. Organisaties die onder de Cbw vallen, hebben te maken met een zorgplicht (aantoonbare informatiebeveiliging), een meldplicht bij significante incidenten (binnen 24 uur een vroegtijdige waarschuwing, binnen 72 uur een vervolgmelding), en een registratieplicht bij het NCSC.
De meeste juridische kantoren zullen niet zelf onder de Cbw vallen. Maar het is waardevol om te weten of jouw AI-leverancier dat wel doet, en of die aanbieder de bijbehorende verplichtingen naleeft.
Tot slot noemt de gids drie praktijknormen die concreet houvast bieden bij het beoordelen van cloudleveranciers. ISAE 3402 biedt een raamwerk voor onafhankelijke beoordelingen van de maatregelen die een verwerker heeft getroffen. ISO/IEC 27017 geeft specifieke richtlijnen voor informatiebeveiliging bij cloudgebruik. En NEN 7510 is de Nederlandse zorgnorm voor informatiebeveiliging, gebaseerd op ISO 27001/27002. Die laatste is strikt genomen zorgspecifiek, maar de systematiek erachter is universeel toepasbaar.
De kortste samenvatting
De AP-gids geeft elke juridische beroepsbeoefenaar een concreet raamwerk om AI-aanbieders en cloudleveranciers te beoordelen op de punten die ertoe doen: verwerking, beveiliging, subverwerkers, internationale doorgifte, exitstrategie en auditrecht. Het is geen lichte lectuur, maar het is precies de diepgang die je nodig hebt om een verantwoorde keuze te maken.
Jouw cliënten vertrouwen je hun geheimen toe. Die zorgvuldigheid verdient meer dan een goed gevoel bij een verkooppresentatie.
Wil je sparren over hoe jouw kantoor AI verantwoord selecteert en inzet? Plan een gesprek en we denken met je mee.