Nederlands English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_nl/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Weekdagen 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Wat is de "Cloud Uitzondering" in de Wet Bescherming Persoonsgegevens? Een uitleg aan de hand van praktijkvoorbeelden van administratieve richtlijnen ontvangen door cloudserviceproviders.

Wat is de "Cloud Uitzondering" in de Wet Bescherming Persoonsgegevens? Een uitleg aan de hand van praktijkvoorbeelden van administratieve richtlijnen ontvangen door cloudserviceproviders.

IT

Wat is de

Ondernemingen die persoonsgegevens verwerken, worden onderworpen aan diverse regels door de Japanse Wet Bescherming Persoonsgegevens. Onze persoonlijke informatie is diep verbonden met onze privacy en omvat belangrijke gegevens over fysieke kenmerken en bezittingen, dus het is logisch dat er strikte regels zijn vastgesteld.

Echter, er zijn enkele uitzonderingen op deze wet. Een daarvan is wat bekend staat als de ‘cloud uitzondering’.

Wat is deze ‘cloud uitzondering’ dan precies? In dit artikel zullen we, aan de hand van een voorbeeld van MK System dat in Reiwa 6 (2024) administratieve begeleiding heeft ontvangen, duidelijk uitleggen wat de ‘cloud uitzondering’ inhoudt en onder welke voorwaarden deze van toepassing is.

Principes en Uitzonderingen bij het Verstrekken van Persoonsgegevens aan Derden Onder Japanse Wetgeving

Principes en Uitzonderingen bij het Verstrekken van Persoonsgegevens aan Derden Onder Japanse Wetgeving

Laten we eerst de principes en uitzonderingen bekijken die gelden voor het verstrekken van persoonsgegevens aan derden, zoals vastgelegd in de Japanse Wet Bescherming Persoonsgegevens.

Principes onder de Japanse Wet Bescherming Persoonsgegevens bij het verstrekken van persoonlijke data aan derden

Wanneer een onderneming die persoonsgegevens verwerkt gebruikmaakt van cloudservices, wordt dit beschouwd als ‘het uitbesteden van de gehele of een deel van de verwerking van persoonsgegevens’ (Artikel 27, Lid 5, Punt 1 van de Japanse Wet Bescherming Persoonsgegevens), en is het volgens Artikel 25 van dezelfde wet een fundamenteel principe dat de onderneming noodzakelijke en passende toezicht moet houden op de cloudserviceprovider.

Wat is de Cloud Uitzondering onder Japans Recht?

De zogenaamde ‘Cloud Uitzondering’ verwijst naar deze specifieke situatie.

Met ‘cloud service providers’ bedoelen we bedrijven die voornamelijk IT-infrastructuur zoals opslag en servers leveren (IaaS/PaaS) en diensten aanbieden voor het opslaan en verwerken van gegevens van andere bedrijven via het internet. Voorbeelden van dergelijke providers zijn:

  • Amazon Web Services (AWS): aangeboden door het Amerikaanse Amazon en veel gebruikt door Japanse bedrijven.
  • Microsoft Azure: een cloudinfrastructuurdienst van Microsoft, met veel implementaties in overheidsinstellingen.
  • Google Cloud Platform (GCP): aangeboden door Google en sterk in AI en big data verwerking.

De Cloud Uitzondering wordt relevant wanneer aanbieders van SaaS (Software as a Service), die systemen ontwikkelen op de cloudinfrastructuur (IaaS of PaaS) van deze cloud service providers, persoonsgegevens verwerken.

In de Q&A over de ‘Richtlijnen betreffende de Wet Bescherming Persoonsgegevens’ van de Japanse Persoonsgegevens Beschermingscommissie wordt in vraag 7-53 het volgende vermeld over cloud service providers:

(Wanneer het niet als een derde partij wordt beschouwd) V7-53: Moet een onderneming die persoonsgegevens verwerkt, toestemming van de betrokkene verkrijgen (artikel 27, lid 1) wanneer zij een informatiesysteem dat elektronische gegevens met persoonsgegevens bevat, gebruikt via een cloud service contract met een externe dienstverlener? Of moet zij, als zij ‘een deel of de gehele verwerking van persoonsgegevens uitbesteedt’ (artikel 27, lid 5, punt 1), de cloud service provider superviseren volgens artikel 25?

A7-53: Er zijn vele vormen van cloud services, maar of het gebruik van een cloud service wordt beschouwd als een derde partij verstrekking die toestemming vereist (artikel 27, lid 1) of als uitbesteding (artikel 27, lid 5, punt 1), hangt niet af van of de opgeslagen elektronische gegevens persoonsgegevens bevatten, maar of de cloud service provider deze persoonsgegevens daadwerkelijk verwerkt. Als de cloud service provider niet de persoonsgegevens verwerkt, dan wordt dit niet beschouwd als het verstrekken van persoonsgegevens, en is toestemming van de betrokkene niet nodig. In het bovengenoemde geval wordt het ook niet beschouwd als uitbesteding, en is er geen verplichting om de cloud service provider te superviseren volgens artikel 25. Voor de benadering van veiligheidsmaatregelen door de onderneming die persoonsgegevens verwerkt wanneer de cloud service provider de persoonsgegevens niet verwerkt, zie vraag 7-54. Een situatie waarin de cloud service provider de persoonsgegevens niet verwerkt, kan bijvoorbeeld zijn wanneer contractuele bepalingen bepalen dat de externe dienstverlener de persoonsgegevens op de server niet verwerkt en er passende toegangscontroles zijn. Voor de relatie met artikel 28, zie vraag 12-3.

Q&A over de Richtlijnen betreffende de Wet Bescherming Persoonsgegevens[ja]|Japanse Persoonsgegevens Beschermingscommissie

Dus, als gebruikers van cloud services aan de uitzonderingsvereisten voldoen, hoeven zij de cloud service provider niet te superviseren. Om in aanmerking te komen voor de Cloud Uitzondering, zijn de volgende twee voorwaarden vereist:

  • Contractuele bepalingen bepalen dat de externe dienstverlener de op de server opgeslagen persoonsgegevens niet verwerkt
  • Er zijn passende toegangscontroles uitgevoerd

Administratieve Richtlijnen voor MK System Corporation Onder Japanse Wetgeving

Op 25 maart Reiwa 6 (2024), heeft de Japanse Persoonsgegevens Beschermingscommissie op basis van Artikel 147 van de Wet op de Bescherming van Persoonsgegevens, richtlijnen uitgevaardigd aan MK System Corporation. Dit volgde op een grootschalig datalek dat de persoonlijke informatie van ongeveer 7,5 miljoen mensen betrof. Als reactie hierop heeft de Persoonsgegevens Beschermingscommissie een waarschuwing gepubliceerd met betrekking tot de aandachtspunten voor cloudserviceproviders die als persoonsgegevensverwerkers onder de Wet op de Bescherming van Persoonsgegevens vallen.

Referentie: Persoonsgegevens Beschermingscommissie | Waarschuwing over aandachtspunten voor cloudserviceproviders die als persoonsgegevensverwerkers onder de Wet op de Bescherming van Persoonsgegevens vallen[ja]

Laten we de kwestie van de administratieve richtlijnen aan MK System Corporation met betrekking tot de cloud-uitzondering onder de Wet op de Bescherming van Persoonsgegevens nader bekijken.

Casusoverzicht

MK System Co., Ltd. heeft een sociaal verzekerings- en personeelszaken ondersteuningssysteem opgezet met behulp van de servers van Tencent Cloud in China en bood deze dienst aan gebruikers zoals kantoren van sociale verzekeringsarbeidsadviseurs.

In juni van Reiwa 5 (2023), werd het systeem het doelwit van ongeautoriseerde toegang, wat het risico van datalekken met zich meebracht, waaronder persoonlijke gegevens beheerd door de sociale verzekeringsarbeidsadviseurs (zoals namen, geboortedata, geslacht, adressen, basispensioennummers, werkloosheidsverzekeringsnummers en My Number-gegevens van werknemers van bedrijven en kantoren).

De relatie tussen deze drie partijen, toegepast op de richtlijnen, is als volgt:

Positie volgens de richtlijnenPartijInhoud
OpdrachtgeverGebruikers zoals sociale verzekeringsarbeidsadviseurs (verantwoordelijk voor persoonsgegevens)Verantwoordelijk voor het omgaan met persoonlijke gegevens van klanten (bedrijven en individuen)
OpdrachtnemerMK System Co., Ltd.Biedt een systeem aan dat sociale verzekeringsarbeidsadviseurswerkzaamheden vervangt en ondersteunt via de cloud. Verwerkt persoonlijke gegevens op instructie van de klant
SubcontractantTencent Cloud (China)MK System heeft de cloudinfrastructuur uitbesteed. Kan worden beschouwd als het verstrekken van gegevens aan het buitenland

De Japanse Commissie voor de Bescherming van Persoonsgegevens heeft geoordeeld dat er tekortkomingen waren in de technische en organisatorische beveiligingsmaatregelen van MK System.

Inhoud van de administratieve richtlijnen

Vanuit de Japanse Persoonsgegevens Beschermingscommissie zijn er administratieve richtlijnen gegeven, die bestaan uit instructies volgens artikel 147 van de Japanse Wet op de Bescherming van Persoonsgegevens en het verzamelen van rapporten volgens artikel 146, lid 1, van dezelfde wet.

Waarschuwing van de Japanse Persoonsgegevensbeschermingscommissie

De Japanse Persoonsgegevensbeschermingscommissie heeft een waarschuwing uitgebracht getiteld “Aandachtspunten voor cloudserviceproviders die onder de Wet op de Bescherming van Persoonsgegevens (2003) vallen als verwerkers van persoonsgegevens (Waarschuwing)[ja]“.

Deze waarschuwing richt zich voornamelijk op gebruikers van cloudservices en benadrukt dat zij moeten beoordelen of het gebruik van cloudservices overeenkomt met de uitbesteding van persoonsgegevensverwerking (Artikel 27, Lid 5, Punt 1 van de Wet op de Bescherming van Persoonsgegevens). Als dit het geval is, moeten de gebruikers van de cloudservice, die de verwerkers van persoonsgegevens zijn, noodzakelijke en passende toezichtsmaatregelen treffen ten aanzien van hun serviceproviders.

Wat betreft het MK-systeem, wordt er gesteld dat de uitzondering voor cloudservices niet van toepassing is en dat het als verwerker van persoonsgegevens wordt beschouwd. Daarom is het noodzakelijk om passend toezicht te houden, aangezien het persoonsgegevens verwerkt. Dit is gebaseerd op de volgende drie punten:

  • In de gebruiksvoorwaarden staat dat de cloudserviceprovider, indien nodig voor onderhoud of operationele redenen, toezicht, analyse en onderzoek van de gegevens mag uitvoeren en dat, behalve in bepaalde gevallen, de gegevens niet zonder toestemming gebruikt of aan derden onthuld mogen worden. Hierdoor kan de cloudserviceprovider in specifieke gevallen de persoonsgegevens van de gebruiker gebruiken.
  • De cloudserviceprovider heeft een onderhouds-ID in bezit en is in staat om toegang te krijgen tot de persoonsgegevens van de gebruiker, terwijl er geen technische toegangscontroles of andere maatregelen zijn genomen om deze verwerking te voorkomen.
  • Na het uitwisselen van bevestigingsdocumenten met de gebruiker van de cloudservice, heeft de provider daadwerkelijk de persoonsgegevens van de gebruiker verwerkt.
Aandachtspunten voor cloudserviceproviders die onder de Wet op de Bescherming van Persoonsgegevens vallen als verwerkers van persoonsgegevens (Waarschuwing)|Japanse Persoonsgegevensbeschermingscommissie[ja]

Aandachtspunten voor aanbieders van clouddiensten onder Japans recht

Aandachtspunten voor aanbieders van clouddiensten

Gezien de juridische kwesties en de administratieve richtlijnen en waarschuwingen die tot nu toe zijn besproken, wat zijn de aandachtspunten voor aanbieders van clouddiensten (zoals MK System in de eerder genoemde casus)?

Controleer opnieuw of aan de vereisten voor de cloud-uitzondering is voldaan

Allereerst, controleer opnieuw of de diensten die uw bedrijf aanbiedt voldoen aan de vereisten voor de cloud-uitzondering.

Naar aanleiding van de recente waarschuwingen van de Japanse Commissie voor de Bescherming van Persoonsgegevens, kunnen ondernemingen die clouddiensten gebruiken, overwegen om te controleren of de aanbieders van deze clouddiensten voldoen aan de cloud-uitzondering.

Daarom is het ook voor aanbieders van clouddiensten belangrijk om opnieuw te controleren of zij aan de vereisten voor de cloud-uitzondering voldoen.

Als niet aan de cloud-uitzondering wordt voldaan, moet men zich voorbereiden op toezicht door de opdrachtgever

Als niet aan de vereisten voor de cloud-uitzondering wordt voldaan, moet u zich voorbereiden op toezicht door de gebruikers van de clouddienst (in dit geval de kantoren van sociale verzekeringsadviseurs en bedrijven die de diensten van MK System gebruiken).

Als onderdeel van dit toezicht door de gebruikers van de clouddienst, zullen de volgende acties worden ondernomen, zoals beschreven in de richtlijnen voor de bescherming van persoonsgegevens (Algemene Sectie) 3-4-4 Toezicht op de opdrachtnemer (gerelateerd aan Artikel 25 van de wet):

  • Passende selectie van de opdrachtnemer: Het is noodzakelijk om te bevestigen dat de veiligheidsmaatregelen van de opdrachtnemer gelijkwaardig zijn aan die welke van de opdrachtgever worden vereist door Artikel 23 en deze richtlijnen.
  • Sluiten van een opdrachtcontract: Het is wenselijk om een contract op te stellen dat de opdrachtgever in staat stelt om redelijkerwijs inzicht te krijgen in de omgang met de toevertrouwde persoonsgegevens.
  • Inzicht in de omgang met persoonsgegevens door de opdrachtnemer: Regelmatig evalueren door middel van audits om te zorgen voor een passende beoordeling.

Als de veiligheidsmaatregelen van de opdrachtnemer onvoldoende zijn, kan het contract worden beëindigd. Bovendien kan men worden gedwongen om de nodige veiligheidsmaatregelen te nemen en te voldoen aan regelmatige audits.

Conclusie: Raadpleeg een advocaat over de bescherming van persoonsgegevens op cloudservices

In dit artikel hebben we de risico’s besproken die cloudserviceproviders lopen wanneer zij niet voldoen aan de cloud-uitzonderingen, gebaseerd op administratieve richtlijnen gepubliceerd in maart 2025 (Reiwa 7) door de Japanse Commissie voor de Bescherming van Persoonsgegevens.

Naar aanleiding van een geval van informatie lekkage, heeft de Commissie voor de Bescherming van Persoonsgegevens een waarschuwing uitgevaardigd aan gebruikers van cloudservices. Deze waarschuwing is niet alleen relevant voor gebruikers, maar ook voor cloudserviceproviders, die hun eigen diensten moeten herzien en aandacht moeten besteden aan mogelijke lasten die kunnen ontstaan.

Gezien deze administratieve richtlijnen, als u zich zorgen maakt over welke risico’s uw bedrijf loopt en welke maatregelen nodig zijn, raden we u aan om advies in te winnen bij een advocaat.

Maatregelen van ons kantoor

Monolith Advocatenkantoor is een juridische firma met uitgebreide ervaring in zowel IT, met name internet, als in de rechtspraktijk. In deze tijd, waarin veel IT-bedrijven hun activiteiten ontplooien met behulp van cloudservices zoals AWS, is het lekken van persoonlijke informatie een onmisbaar onderdeel van risicomanagement bij het runnen van een bedrijf. Mocht er toch persoonlijke informatie uitlekken, dan kan dit een fatale impact hebben op de bedrijfsvoering. Ons kantoor beschikt over gespecialiseerde kennis in het voorkomen van en reageren op informatie lekken. In het onderstaande artikel vindt u meer details.

Expertisegebieden van Monolith Advocatenkantoor: Diensten gerelateerd aan de Japanse Wet Bescherming Persoonsgegevens[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Schadevergoeding van 500 miljoen yen ook... Wat is de wettelijke verantwoordelijkheid van Fast Films? Een advocaat legt strafrechtelijke en civielrechtelijke verantwoordelijkheid uit

Schadevergoeding van 500 miljoen yen ook... Wat is de wettelijke verantwoordelijkheid van Fast F.

IT

De relatie tussen het 'bezit' van kunst NFT's en auteursrecht

De relatie tussen het 'bezit' van kunst NFT's en auteursrecht

IT

Waar moet je op letten bij het aangaan van een contract voor systeemontwikkeling?

Waar moet je op letten bij het aangaan van een contract voor systeemontwikkeling?

IT

Een voormalige IT-ingenieur en advocaat legt de overeenkomsten uit tussen het controleren van contracten en debuggen

Een voormalige IT-ingenieur en advocaat legt de overeenkomsten uit tussen het controleren van co.

IT

Beheer van online winkels en wetgeving: de Japanse 'Specifieke Handelswet' en 'Wet ter voorkoming van oneerlijke concurrentie

Beheer van online winkels en wetgeving: de Japanse 'Specifieke Handelswet' en 'Wet ter voorkomin.

IT

Wat is de juiste manier om verandermanagement in systeemontwikkeling te benaderen vanuit een juridisch perspectief?

Wat is de juiste manier om verandermanagement in systeemontwikkeling te benaderen vanuit een jur.

IT

Het onderscheid en de verschillen tussen contracten voor systeemontwikkeling en quasi-delegatiecontracten

Het onderscheid en de verschillen tussen contracten voor systeemontwikkeling en quasi-delegatiec.

IT

Wat zijn de auteursrechtinbreukproblemen met betrekking tot programma's?

Wat zijn de auteursrechtinbreukproblemen met betrekking tot programma's?

IT

Punten om rekening mee te houden bij het opstellen van gebruiksvoorwaarden voor webdiensten (Deel 2)

Punten om rekening mee te houden bij het opstellen van gebruiksvoorwaarden voor webdiensten (Dee.

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Incorporation Internet IPO IPO in Japan IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Terug naar boven