Skip to main content

Bij het gebruik van clouddiensten loop je het risico op AVG-boetes die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Deze boetes worden opgelegd bij overtredingen zoals onvoldoende beveiliging van persoonsgegevens, datalekken door verkeerde configuratie, of het opslaan van data buiten de EU zonder passende waarborgen. De hoogte hangt af van factoren zoals de ernst van de overtreding, het aantal betrokkenen en de genomen maatregelen.

Wat zijn de maximale AVG-boetes voor cloudovertredingen?

De AVG kent twee boetecategorieën voor cloud-gerelateerde overtredingen. De eerste categorie gaat tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, waarbij het hoogste bedrag telt. De tweede, zwaardere categorie kan oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Onder de eerste categorie vallen overtredingen zoals het niet aanstellen van een functionaris gegevensbescherming waar dat verplicht is, geen register van verwerkingsactiviteiten bijhouden, of het niet uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) bij risicovolle cloudimplementaties. Ook het niet melden van een datalek binnen 72 uur valt hieronder.

De zwaardere boetes in de tweede categorie gelden voor fundamentele privacyschendingen. Denk aan het verwerken van persoonsgegevens in de cloud zonder rechtmatige grondslag, het niet naleven van de beginselen voor gegevensverwerking zoals dataminimalisatie, of het schenden van rechten van betrokkenen. Ook het doorsturen van data naar cloudservers buiten de EU zonder passende waarborgen valt in deze categorie.

Bij clouddiensten zie je vaak een combinatie van overtredingen. Een onbeveiligde database in de cloud kan leiden tot een datalek (eerste categorie) én het niet adequaat beveiligen van persoonsgegevens (tweede categorie). De Autoriteit Persoonsgegevens bepaalt dan welke overtreding het zwaarst weegt.

Welke cloudovertredingen leiden het vaakst tot AVG-boetes?

De meest voorkomende cloud-gerelateerde AVG-overtredingen zijn onvoldoende beveiliging van cloudomgevingen, waarbij databases publiek toegankelijk staan door verkeerde configuratie. Ook het ontbreken van een verwerkersovereenkomst met je cloudprovider leidt regelmatig tot boetes, net als gebrekkige toegangscontrole waarbij medewerkers te ruime rechten hebben.

Datalekken door misconfiguratie komen veel voor. Organisaties zetten data in een cloud storage bucket zonder de juiste beveiligingsinstellingen, waardoor gevoelige informatie zoals klantgegevens of medische dossiers openbaar toegankelijk wordt. Dit gebeurt vooral bij AWS S3 buckets, Azure Blob Storage of Google Cloud Storage.

Een ander veelvoorkomend probleem is het opslaan van persoonsgegevens op cloudservers buiten de EU zonder de vereiste waarborgen. Veel organisaties realiseren zich niet dat hun data automatisch wordt gerepliceerd naar datacenters in bijvoorbeeld de Verenigde Staten, waar andere privacywetgeving geldt.

Gebrekkige logging en monitoring in cloudomgevingen zorgt ervoor dat organisaties datalekken niet tijdig ontdekken. Wanneer een lek maanden later pas wordt ontdekt, weegt dit zwaar mee in de boetebepaling. Ook het gebruik van zwakke authenticatie zoals alleen gebruikersnaam en wachtwoord voor toegang tot clouddiensten met gevoelige data is een veelgemaakte overtreding.

Het niet uitvoeren van een DPIA voordat je gevoelige data naar de cloud verplaatst, wordt steeds vaker bestraft. Vooral bij het gebruik van nieuwe cloudtechnologieën zoals AI-diensten of bij het verwerken van bijzondere persoonsgegevens is een DPIA verplicht.

Hoe berekent de Autoriteit Persoonsgegevens boetes voor cloudovertredingen?

De Autoriteit Persoonsgegevens (AP) hanteert een stappenplan voor boeteberekening, waarbij eerst de ernst en omvang van de cloudovertreding wordt vastgesteld. Vervolgens kijkt de AP naar verzwarende en verzachtende omstandigheden zoals de duur van de overtreding, het aantal betrokkenen, en of er sprake was van opzet of nalatigheid.

De basisboete wordt bepaald aan de hand van de boetecategorie (I of II) en de ernst van de overtreding. Bij een datalek door een open clouddatabase met 10.000 klantgegevens rekent de AP bijvoorbeeld met een hoger basisbedrag dan bij een incident met 100 betrokkenen. De financiële draagkracht van je organisatie speelt ook een rol – grote ondernemingen krijgen hogere boetes dan het MKB.

Verzwarende factoren die de boete verhogen zijn onder andere het niet meewerken aan het onderzoek, eerdere overtredingen, of het bewust negeren van waarschuwingen. Als je cloudprovider je bijvoorbeeld heeft gewaarschuwd voor beveiligingsrisico’s maar je hebt geen actie ondernomen, verhoogt dit de boete aanzienlijk.

Verzachtende omstandigheden kunnen de boete verlagen. Denk aan het direct nemen van maatregelen na ontdekking van het probleem, het proactief melden van de overtreding, of het hebben van een gecertificeerd privacymanagementsysteem. Ook het aantonen dat je al substantiële investeringen in cloudbeveiliging had gedaan voordat het incident plaatsvond, kan meewegen.

De AP kijkt specifiek naar de technische en organisatorische maatregelen die je had moeten nemen. Bij clouddiensten verwacht de toezichthouder dat je encryptie gebruikt, regelmatige security audits uitvoert, en duidelijke afspraken hebt gemaakt met je cloudprovider over gegevensbeveiliging.

Wat is het verschil tussen boetes voor cloudproviders en cloudgebruikers?

Cloudproviders worden gezien als verwerkers en zijn aansprakelijk voor technische beveiliging en het opvolgen van instructies. Cloudgebruikers zijn verwerkingsverantwoordelijken en blijven eindverantwoordelijk voor de naleving van de AVG, inclusief de keuze voor een betrouwbare provider en het correct configureren van de dienst.

Als verwerkingsverantwoordelijke ben je verantwoordelijk voor beslissingen over welke data je in de cloud zet, wie toegang krijgt, en hoe lang gegevens bewaard blijven. Je moet een verwerkersovereenkomst afsluiten met je cloudprovider waarin duidelijke afspraken staan over gegevensbeveiliging, sub-verwerkers, en wat er gebeurt bij een datalek.

Cloudproviders zijn aansprakelijk wanneer zij hun contractuele verplichtingen niet nakomen. Als Microsoft Azure bijvoorbeeld een beveiligingslek heeft in hun infrastructuur waardoor jouw data lekt, kunnen zij een boete krijgen. Maar als jij als gebruiker je Azure-omgeving verkeerd configureert, ben jij aansprakelijk.

De gedeelde verantwoordelijkheid betekent dat beide partijen een boete kunnen krijgen voor hetzelfde incident. Bij een datalek door onvoldoende encryptie kan de cloudprovider een boete krijgen voor het niet aanbieden van adequate encryptie-opties, terwijl jij als gebruiker een boete krijgt voor het niet activeren van beschikbare beveiligingsmaatregelen.

Let op dat grote cloudproviders zoals Amazon, Microsoft en Google vaak standaard verwerkersovereenkomsten hanteren die hun aansprakelijkheid beperken. Je blijft als organisatie altijd hoofdverantwoordelijk voor de persoonsgegevens die je verwerkt, ook als je deze uitbesteedt aan een clouddienst.

Welke recente voorbeelden zijn er van AVG-boetes in de cloud?

Recent kreeg een grote retailorganisatie een boete van 2,5 miljoen euro omdat klantgegevens maandenlang onbeveiligd in een clouddatabase stonden. De configuratie-instellingen waren verkeerd gezet waardoor 3 miljoen klantrecords met namen, adressen en aankoopgeschiedenis publiek toegankelijk waren via een simpele Google-zoekopdracht.

Een zorginstelling moest 440.000 euro betalen na een datalek waarbij medische dossiers via een cloud-applicatie toegankelijk waren zonder adequate authenticatie. Medewerkers konden met alleen een e-mailadres inloggen, zonder wachtwoord of twee-factor-authenticatie. Dit leidde tot ongeautoriseerde toegang tot gevoelige gezondheidsgegevens van duizenden patiënten.

Een financiële dienstverlener kreeg een boete van 725.000 euro voor het opslaan van klantdata op Amerikaanse cloudservers zonder passende waarborgen. De organisatie had geen Standard Contractual Clauses afgesloten en kon niet aantonen dat de gegevens adequaat beschermd waren tegen toegang door Amerikaanse autoriteiten.

Een onderwijsinstelling kreeg een waarschuwing en een boete van 150.000 euro omdat zij Google Workspace gebruikten voor het verwerken van studentgegevens zonder een gedegen DPIA uit te voeren. De instelling kon niet aantonen dat zij de privacyrisico’s voor minderjarige studenten adequaat had beoordeeld.

De belangrijkste les uit deze voorbeelden is dat configuratiefouten en het negeren van basisbeveiligingsmaatregelen zwaar worden bestraft. Ook het niet documenteren van je overwegingen en genomen maatregelen blijkt vaak een kostbare fout. Toezichthouders verwachten dat je kunt aantonen waarom je bepaalde cloudkeuzes hebt gemaakt.

Hoe voorkom je AVG-boetes bij het gebruik van clouddiensten?

Voorkom AVG-boetes door een verwerkersovereenkomst af te sluiten met elke cloudprovider, een DPIA uit te voeren voor risicovolle verwerkingen, en technische maatregelen zoals encryptie en sterke authenticatie te implementeren. Train je medewerkers in veilig cloudgebruik en stel een protocol op voor het melden van datalekken binnen 72 uur.

Begin met het in kaart brengen van alle clouddiensten die je organisatie gebruikt, inclusief schaduw-IT. Veel afdelingen gebruiken cloudtools zonder medeweten van IT, wat een groot compliancerisico vormt. Implementeer een cloud governance beleid waarin staat welke diensten zijn goedgekeurd en aan welke voorwaarden nieuwe clouddiensten moeten voldoen.

Technische maatregelen die je direct kunt implementeren:

  • Activeer multi-factor-authenticatie voor alle cloudaccounts
  • Configureer automatische encryptie voor data at rest en in transit
  • Stel strikte toegangsrechten in volgens het least-privilege principe
  • Implementeer logging en monitoring om verdachte activiteiten te detecteren
  • Maak regelmatige backups en test je restore procedures

Organisatorische maatregelen zijn net zo belangrijk. Wijs een verantwoordelijke aan voor cloudcompliance, train medewerkers minimaal jaarlijks over privacy en beveiliging in de cloud, en voer regelmatig audits uit op je cloudconfiguraties. Documenteer alle genomen maatregelen zodat je bij een onderzoek kunt aantonen dat je je verantwoordelijkheid serieus neemt.

Zorg voor een incident response plan specifiek voor cloud-gerelateerde datalekken. Dit plan moet duidelijk maken wie wat doet bij een incident, hoe je communiceert met je cloudprovider, en hoe je binnen 72 uur een melding doet bij de AP. Oefen dit plan regelmatig zodat iedereen weet wat te doen bij een echt incident.

Hoe IT Resource Company helpt met AVG-compliance in de cloud

IT Resource Company begrijpt dat het navigeren door de complexiteit van AVG-compliance in cloudomgevingen een uitdaging is voor veel organisaties. Onze ervaren IT-professionals bieden concrete ondersteuning bij het implementeren van een veilige en compliant cloudstrategie:

  • Cloud Security Assessments om je huidige configuraties te controleren op AVG-compliance
  • Implementatie van technische beveiligingsmaatregelen zoals encryptie en multi-factor authenticatie
  • Opstellen van verwerkersovereenkomsten en uitvoeren van DPIA’s
  • Training van je IT-team in cloud governance en incident response procedures
  • 24/7 monitoring en ondersteuning bij het voorkomen van datalekken

Voor organisaties die specifieke IT-expertise nodig hebben, bieden wij ook detachering van ervaren cloud security specialisten. Daarnaast kunnen wij via onze werving selectie diensten helpen bij het vinden van permanente medewerkers met de juiste AVG en cloud security kennis.

Neem vandaag nog contact met ons op voor een vrijblijvende analyse van jouw cloudomgeving en ontdek hoe wij je kunnen helpen bij het voorkomen van kostbare AVG-boetes.

Veelgestelde vragen

Wat gebeurt er als mijn cloudprovider een datalek veroorzaakt - ben ik dan ook aansprakelijk?

Ja, als verwerkingsverantwoordelijke blijf je altijd eindverantwoordelijk, ook bij fouten van je cloudprovider. Je kunt wel een boete krijgen voor het niet kiezen van een betrouwbare provider of het ontbreken van goede afspraken in de verwerkersovereenkomst. Zorg daarom voor contractuele afspraken over aansprakelijkheid en verzeker je tegen mogelijke claims.

Hoe kan ik controleren of mijn huidige cloudconfiguratie AVG-compliant is?

Voer een cloud security assessment uit waarbij je alle toegangsrechten, encryptie-instellingen en data flows controleert. Gebruik tools zoals AWS Config, Azure Policy of Google Cloud Security Command Center voor automatische compliance checks. Laat daarnaast jaarlijks een onafhankelijke audit uitvoeren en documenteer alle bevindingen en verbeteracties.

Moet ik voor elke SaaS-tool die mijn organisatie gebruikt een aparte verwerkersovereenkomst afsluiten?

Ja, voor elke clouddienst waarbij persoonsgegevens worden verwerkt is een verwerkersovereenkomst verplicht. Dit geldt ook voor 'kleine' tools zoals projectmanagement software of CRM-systemen. Veel SaaS-providers bieden standaard Data Processing Agreements (DPA's) aan - controleer deze altijd op volledigheid en pas aan waar nodig.

Wat zijn de eerste stappen als ik vermoed dat er een datalek is in onze cloudomgeving?

Isoleer direct de getroffen systemen om verdere schade te voorkomen, documenteer wat je aantreft inclusief screenshots en logs, en activeer je incident response team. Start binnen 72 uur de melding bij de Autoriteit Persoonsgegevens, ook als je nog niet alle details hebt. Informeer parallel je cloudprovider zodat zij kunnen assisteren bij het onderzoek.

Hoe bepaal ik of ik een DPIA moet uitvoeren voor een nieuwe cloudimplementatie?

Een DPIA is verplicht bij grootschalige verwerking van gevoelige data, systematische monitoring, of gebruik van nieuwe technologieën met privacyrisico's. In de praktijk betekent dit: altijd bij gezondheidsdata, HR-systemen in de cloud, AI/machine learning toepassingen, of bij verwerking van gegevens van minderjarigen. Bij twijfel: voer altijd een DPIA uit en documenteer je overwegingen.

Kan ik Amerikaanse clouddiensten nog veilig gebruiken na de Schrems II uitspraak?

Ja, maar alleen met extra waarborgen zoals Standard Contractual Clauses (SCCs) én aanvullende technische maatregelen zoals encryptie waarbij jij de sleutels beheert. Voer een Transfer Impact Assessment uit om de risico's te beoordelen. Overweeg voor zeer gevoelige data om te kiezen voor Europese cloudproviders of om data alleen in EU-datacenters op te slaan.

Welke verzekering dekt AVG-boetes bij cloudincidenten?

AVG-boetes zelf zijn meestal niet verzekerbaar, maar een goede cyberverzekering dekt wel de kosten van incident response, juridische bijstand, en schadeclaims van gedupeerden. Let op dat veel polissen uitsluiting hebben bij grove nalatigheid. Investeer daarom eerst in preventie en zie verzekering als laatste vangnet.

Gerelateerde artikelen