Cloud Computing
Use of cloud services and associated data protection requirements
cloud computing cloud SaaS cloud storage
Overview
Legal Framework
Cloud computing is governed by Recital 33 of the NIS2 Directive, which provides the key legal definition, and Recital 55 of the AI Act, which addresses the specific high-risk classification of AI systems used in critical infrastructure, including cloud-based digital infrastructure. NIS2 defines cloud computing services as enabling the on-demand administration and broad remote access to a scalable, elastic pool of shareable computing resources, which can be distributed across locations. These resources explicitly include networks, servers, storage, applications, and services, with Infrastructure as a Service (IaaS) highlighted as a primary model.
Practical Application
The NIS2 definition establishes the broad scope of services covered, moving beyond basic data storage to encompass the full stack of modern, distributed computing resources. Practically, this means any organization using such services for essential or important functions will likely fall under NIS2's security and incident reporting obligations. Concurrently, Recital 55 of the AI Act creates a critical intersection: an AI system intended for use as a safety component in managing critical digital infrastructure (like cloud platforms) is classified as high-risk. This triggers stringent ex-ante conformity assessments for the AI system provider, and imposes rigorous obligations on the entity deploying that AI within its cloud operations.
Key Considerations
- Dual Regulatory Scrutiny: Cloud service usage may trigger compliance under both NIS2 (for the security of the service itself) and the AI Act (if AI systems are integrated as safety components within that infrastructure).
- Provider Due Diligence: Organizations must map their cloud architecture against the NIS2 definition to confirm applicability and conduct thorough risk assessments, especially where AI tools are deployed for infrastructure management, to determine high-risk AI classification.
- Contractual Allocation: Service agreements must clearly allocate responsibilities for security measures (per NIS2) and, where relevant, define roles and obligations concerning high-risk AI system compliance under the AI Act between the cloud provider and the customer.
Laws (24)
View all 24Case Law (5)
Gerechtshof Den Haag
Gerechtshof Den Haag
Cyberkamer. Bankhelpdeskfraude. Koppeling telefoons en Snapchataccount aan verdachte. Geen concreet en direct bewijs dat verdachte enige uitvoeringshandeling heeft gepleegd, met uitzondering van een feit waar hij een auto heeft bestuurd waarin een medeverdachte is meegereden na het plegen van een of meer strafbare feiten. Ook dat is op zichzelf onvoldoende om tot bewezenverklaring van medeplegen te komen. Niet-ontvankelijkverklaring van benadeelde partijen.
Voldoende maatregelen genomen in televisieprogramma Stegeman op de Bres, dan wel belangenafweging in voordeel van persvrijheid.
Gerechtshof
Kort geding. Item over truckbouwer in televisieprogramma Stegeman op de Bres niet onrechtmatig. Afweging artt. 10 en 8 EVRM; voldoende steun in het feitenmateriaal; voldoende privacybeschermende maatregelen.
Aan- en afwezigen presidumvergadering gemeente vallen niet onder weigeringsgrond 5.1.(2)(e) nu zij wegens hun functie in de openbaarheid treden en het gaat om een verslag van het presidium van de gemeenteraad.
Raad van State
Bij besluit van 8 november 2021 heeft de raad van de gemeente Veldhoven een verzoek van [appellante] om openbaarmaking van informatie op grond van de Wet openbaarheid van bestuur buiten behandeling gesteld. Bij brief van 16 juli 2021 heeft [appellante] verzocht om openbaarmaking op grond van de Wob van alle informatie betreffende de presidiumvergadering van 30 juni 2021. [appellante] betoogt dat de raad ten onrechte niet een e-mail van [appellante] aan het presidium van 13 oktober 2021, een concept-verslag van de digitale presidiumvergadering van 13 oktober 2021, de ‘Memo Presidiumvergadering d.d. 15 september 2021’ en de opdracht van de burgemeester om de geluidsopname te wissen als op de zaak betrekking hebbende stukken aan de rechtbank heeft gestuurd. Uit deze documenten blijkt volgens [appellante] dat niet het presidium, maar de burgemeester heeft besloten om de geluidsopname te wissen. Zij vindt het belangrijk dat wordt vastgesteld dat de burgemeester dit heeft besloten.
Rechtbank Rotterdam
Rechtbank Rotterdam
Kort geding. Overtreden beperkende bedingen in arbeidsovereenkomst? Onrechtmatige concurrentie en onrechtmatig profiteren van wanprestatie werknemers? In deze zaak heeft eiseres conservatoir bewijsbeslag doen leggen. In conventie wordt o.a. kopie van, althans inzage in de beslagen bescheiden gevorderd. Gebrek aan spoedeisend belang. Materieel bezien heeft eiseres niet voldaan aan haar stel- en adstructieplicht. De vorderingen in conventie zijn bovendien te onbepaald, vaag en disproportioneel. In onvoorwaardelijke reconventie wordt het bewijsbeslag beperkt.
WAMCA
Rechtbank
Collectieve actie (WAMCA). Twee stichtingen voeren elk een collectieve actie tegen Google over de wijze waarop Google persoonsgegevens van gebruikers verzamelt en verwerkt. De rechtbank oordeelt in dit tussenvonnis dat beide stichtingen ontvankelijk zijn in de zin van de WAMCA.
Guidance (25)
View all 25Version history
Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR
The GDPR does not provide for a legal definition of the notion 'transfer of personal data to a third country or to an international organisation'. Therefore, the EDPB provides these guidelines to clarify the scenarios to which it considers that the requirements of Chapter V should be applied and, to that end, it has identified three cumulative criteria to qualify a processing operation as a transfer: - 1) A controller or a processor ('exporter') is subject to the GDPR for the given processing. -...
Guidelines 8/2022 on identifying a controller or processor's lead supervisory authority
Guidelines for identifying a controller or processor’s lead supervisory authority
Guidelines 9/2022 on personal data breach notification under GDPR
Guidelines on personal data breach notification under GDPR
Version history
Guidelines on the accreditation of certification bodies
Guidelines 07/2020 on the concepts of controller and processor in the GDPR
Guidelines on the concepts of controller and processor in the GDPR
The concepts of controller, joint controller and processor play a crucial role in the application of the General Data Protection Regulation 2016/679 (GDPR), since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice. The precise meaning of these concepts and the criteria for their correct interpretation must be sufficiently clear and consistent throughout the European Economic Area (EEA). The conc...
Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)
Guidelines on the territorial scope of the GDPR
Guidelines 02/2021 on virtual voice assistants
Guidelines on virtual voice assistants
A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...
Versiegeschiedenis
guidelines accreditatie
Richtsnoeren 8/2022 voor het bepalen van de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke of de verwerker
guidelines bepalen leidende toezichthouder
Richtsnoeren van 1/2018 voor certificering en het vaststellen van certificeringscriteria overeenkomstig de artikelen 42 en 43 van de verordening
guidelines certificering
Richtsnoeren 01/2020 inzake de verwerking van persoonsgegevens in het kader van verbonden voertuigen en mobiliteitsgerelateerde toepassingen
guidelines connected vehicles
Versiegeschiedenis
guidelines meldplicht datalekken
Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG
guidelines over de begrippen 'verwerkingsverantwoordelijke'Â en 'verwerker'Â in de AVG
De begrippen 'verwerkingsverantwoordelijke', 'gezamenlijke verwerkingsverantwoordelijke' en 'verwerker' spelen een cruciale rol bij de toepassing van de algemene verordening gegevensbescherming (AVG, Verordening (EU) 2016/679), aangezien ermee wordt bepaald wie verantwoordelijk is voor de naleving van verschillende gegevensbeschermingsregels en op welke wijze betrokkenen hun rechten in de praktijk kunnen uitoefenen. De precieze betekenis van deze begrippen en de criteria voor de jui...
Richtsnoeren 02/2021 inzake virtuele spraakassistenten
guidelines over virtuele spraakassistenten
Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...
Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3)
guidelines territoriaal toepassingsgebied AVG
Richtsnoeren 04/2021 voor gedragscodes als instrumenten voor doorgifte
Volgens artikel 46 van de AVG moeten verwerkingsverantwoordelijken/verwerkers passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die organisaties op grond van artikel 46 kunnen gebruiken voor doorgiften aan derde landen, onder meer door gedragscodes in te voeren als nieuw doorgiftemechanisme (artikel 40, lid 3, en artikel 46, lid 2, punt ...
Richtsnoeren 01/2021
Guidelines 04/2021 on Codes of Conduct as tools for transfers
Guidelines on codes of conduct and monitoring bodies
The GDPR requires in its Article 46 that controllers/processors shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by organisations under Article 46 for framing transfers to third countries by introducing amongst others, codes of conduct as a new transfer mechanism (articles 40-3 and 46-2-e). In this respect, as provi...
Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications
Guidelines on processing of personal data through video devices
Versiegeschiedenis
guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG
De AVG bevat geen juridische definitie van het begrip 'doorgifte van persoonsgegevens aan een derde land of aan een internationale organisatie'. Daarom verstrekt de EDPB deze richtsnoeren om te verduidelijken op welke scenario's de voorschriften van hoofdstuk V volgens hem moeten worden toegepast en heeft hij daartoe drie cumulatieve criteria vastgesteld waaraan een verwerkingsactiviteit moet voldoen om als een doorgifte te worden aangemerkt: - 1) Een verwerkingsverantwoord...
Enforcement (2)
Federazione Italiana Sommelier, Albergatori e Ristoratori: Non-compliance with general data processing principles
€5,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 5,000 on Federazione Italiana Sommelier, Albergatori e Ristoratori. The federation had sent a protocol containing personal data of a member to all other members. The protocol revealed information about a disciplinary measure against the member concerned, although the measure was not yet legally binding and was later revoked. In addition, the disciplinary measure continued to be published on a cloud platform even after the measure was revoked.
Umeå University: Insufficient technical and organisational measures to ensure information security
€54,000 fine - Data Protection Authority of Sweden (Integritetsskyddsmyndigheten)
The Swedish DPA (Integritetsskyddsmyndigheten) fined Umeå University SEK 550,000 (EUR 54,000) as a result of its failure to apply appropriate technical and organizational measures to protect data. As part of a research project on male rape, the university had stored several police reports on such related incidents in the cloud of a U.S. service provider. The reports contained the names, ID numbers and contact details of the data subjects, as well as information about their health and sex lives,
News (19)
Support the work of the EDPB as an expert.
Brussels, November 28th - The European Data Protection Board (EDPB) has published a call for expressions of interest for the creation of a new reserve pool for the "Support Pool of Experts" (SPE) program. The objective is to assemble a reserve pool of legal and technical experts. The legal expertise sought covers a wide range of areas, including data protection, policy monitoring, technology, cybersecurity, competition law, healthcare, online intermediary services, and content moderation. Regarding technical expertise, relevant areas include IT.
Support the EDPB’s work as an expert
Brussels, 28 November - The EDPB launched a call for expression of interest to establish a new reserve list for the Support Pool of Experts (SPE) programme. The objective is set up a reserve list of legal and technical experts. The legal expertise sought includes a wide range of fields, such as data protection, policy monitoring, technology, cybersecurity, competition, healthcare, online intermediary services and content moderation. As for the technical expertise, the relevant areas include IT a
Steun het werk van het EDPB als expert.
Brussel, 28 november - Het EDPB heeft een oproep gepubliceerd om interesse te tonen voor het opstellen van een nieuwe reservepool voor het programma "Support Pool of Experts" (SPE). Het doel is het samenstellen van een reservepool van juridische en technische experts. De gezochte juridische expertise omvat een breed scala aan gebieden, zoals gegevensbescherming, beleidsmonitoring, technologie, cyberveiligheid, concurrentierecht, gezondheidszorg, online intermediaire diensten en contentmoderatie. Met betrekking tot de technische expertise omvatten de relevante gebieden onder meer IT.
The EU’s home affairs chief wants to read your private messages
> The CSA Regulation, proposed by European Commissioner Ylva Johansson, could undermine the trust we have in secure and confidential processes like sending work emails, communicating with our doctors, and even governments protecting intelligence.
The operation of the CLOUD Act in data storage in Europe
GreenbergTraurig has assessed the scope of the US CLOUD Act on commission by the Dutch government. The CLOUD Act applies to EU entities that process data outside of the US, even if the EU entities are located outside of the US. To completely avoid being subject to the CLOUD Act, an EU entity would need to process data using a non-U.S. entity, which either does not have a corporate relation to any company with a presence in the US (such as a U.S. subsidiary) or if it does have a corporate relatio
De werking van de CLOUD Act met betrekking tot dataopslag in Europa.
GreenbergTraurig heeft op verzoek van de Nederlandse overheid de reikwijdte van de Amerikaanse CLOUD Act beoordeeld. De CLOUD Act is van toepassing op EU-organisaties die data verwerken buiten de Verenigde Staten, zelfs als deze organisaties zich buiten de VS bevinden. Om volledig te voorkomen dat men onder de CLOUD Act valt, zou een EU-organisatie data moeten verwerken via een entiteit die niet in de VS gevestigd is, en die ofwel geen bedrijfsrelatie heeft met een bedrijf dat een vestiging in de VS heeft (zoals een Amerikaanse dochteronderneming), of, indien er wel een bedrijfsrelatie bestaat...
Rechten met betrekking tot digitale privacy en overeenkomsten in het kader van de CLOUD Act tussen de Verenigde Staten en het Verenigd Koninkrijk.
De CLOUD-akkoorden tussen de VS en het Verenigd Koninkrijk zullen waarschijnlijk de digitale privacyrechten van burgers van de VS en het VK verbeteren, maar ze zullen deze rechten verder aantasten voor personen uit derde landen (bijvoorbeeld uit de EU). Volgens een artikel in het Brooklyn Journal of International Law zouden de VS en het VK vrijwillig de bescherming van het Vierde Amendement en artikel 8 uitbreiden tot deze personen.
Digital Privacy Rights and CLOUD Act Agreements between US and UK
The CLOUD Act agreements between the US and UK will likely improve the digital privacy rights of US and UK citizens, but they will further undermine these rights for Third Country Persons (eg from EU). The US and UK should voluntarily extend Fourth Amendment and Article 8 protections to these persons, according to an article in the Brooklyn Journal of International Law.
Danish SA Declares Use of Google Analytics Unlawful Without Supplementary Measures
The Danish Data Protection Agency has looked into the tool Google Analytics and its settings, and the terms under which the tool is provided. On the basis of this review, the Danish Data Protection Agency concludes that the tool cannot, without more, be used lawfully. Lawful use requires the implementation of supplementary measures in addition to the settings provided by Google.
De Deense beschermingsautoriteit (SA) heeft verklaard dat het gebruik van Google Analytics onrechtmatig is zonder aanvullende maatregelen.
De Deense Autoriteit voor Persoonsgegevens heeft onderzoek gedaan naar het instrument Google Analytics en de bijbehorende instellingen, evenals de voorwaarden waaronder het instrument wordt aangeboden. Op basis van dit onderzoek concludeert de Deense Autoriteit voor Persoonsgegevens dat het instrument, zonder aanvullende maatregelen, niet op een wettelijke manier kan worden gebruikt. Wettelijk gebruik vereist de implementatie van aanvullende maatregelen, naast de instellingen die door Google worden aangeboden.
Europol told to hand over personal data to Dutch activist
The European Data Protection Supervisor ordered Europol to hand over personal data to Dutch activist Frank van der Linde. The decision is the result of a two-year investigation into Europol's possession and storage of van der Linde's personal data.
Europol wordt gevraagd om persoonlijke gegevens over te dragen aan een Nederlandse activist.
De Europese Toezichthouder op de Bescherming van Persoonsgegevens heeft Europol opgedragen om persoonlijke gegevens over te dragen aan de Nederlandse activist Frank van der Linde. Dit besluit is het resultaat van een onderzoek van twee jaar naar de manier waarop Europol de persoonlijke gegevens van Van der Linde bewaart en verwerkt.
EDPB adopts statement on European Police Cooperation Code & picks topic for next coordinated action
The EDPB adopted a statement on the European Commission’s proposal for an EU Police Cooperation Code. This proposal aims to enhance law enforcement cooperation across Member States, in particular the information exchange between the competent authorities. The code is comprised of three main measures: proposal for a Prüm II Regulation, proposal for a Police Information Exchange Directive and the proposal for a Council Recommendation on operational police cooperation.
Het EDPB (Europees Comité voor de Bescherming van Persoonsgegevens) heeft een verklaring aangenomen over de Europese Code voor politiecoöperatie en heeft een onderwerp gekozen voor de volgende gecoördineerde actie.
Het EDPB heeft een verklaring aangenomen over het voorstel van de Europese Commissie voor een EU-code voor politiële samenwerking. Dit voorstel heeft als doel de samenwerking op het gebied van handhaving van de wet tussen de lidstaten te verbeteren, met name de uitwisseling van informatie tussen de bevoegde autoriteiten. De code omvat drie belangrijke maatregelen: een voorstel voor een Prüm II-verordening, een voorstel voor een richtlijn over de uitwisseling van politiegegevens en een voorstel voor een aanbeveling van de Raad over operationele politiële samenwerking.
Irish Data Protection Commissioner Fines Instagram EUR 405M for Children Privacy Violations
> The fine is the result of an investigation that began in 2020 and focused on the company’s processing of children’s personal data. Based on press reports, the investigation focused on children between the ages of 13 and 17 who were allowed to operate business or creator Instagram accounts. As a result, children’s phone numbers and email addresses were publicly accessible.
De Ierse autoriteit voor gegevensbescherming heeft Instagram een boete van 405 miljoen euro opgelegd vanwege schendingen van de privacy van kinderen.
De boete is het resultaat van een onderzoek dat in 2020 is begonnen en zich richtte op de manier waarop het bedrijf persoonlijke gegevens van kinderen verwerkte. Op basis van berichten in de media richtte het onderzoek zich op kinderen tussen de 13 en 17 jaar oud die toestemming hadden om zakelijke of creatieve Instagram-accounts te gebruiken. Hierdoor waren telefoonnummers en e-mailadressen van kinderen openbaar toegankelijk.
CNIL Proposes 60 Million Euros Fine Against French AdTech Company For Non-Compliance with GDPR
> The proposed fine follows complaints filed by privacy NGO ‘Privacy International’ against Criteo. […] Under the CNIL’s sanction procedure, Criteo has the right to respond to the report, both with respect to the alleged infringements and the proposed sanction.
De CNIL stelt een boete van 60 miljoen euro voor aan een Frans bedrijf dat zich bezighoudt met advertentietechnologie, vanwege het niet naleven van de AVG (Algemene Verordening Gegevensbescherming).
De voorgestelde boete volgt op klachten die de privacyorganisatie "Privacy International" heeft ingediend tegen Criteo. [...] In het kader van de sanctieprocedure van de CNIL heeft Criteo het recht om te reageren op het rapport, zowel met betrekking tot de vermeende overtredingen als de voorgestelde sanctie.
Who Is Collecting Data from Your Car?Who Is Collecting Data from Your Car?
> A firehose of sensitive data from your vehicle is flowing to a group of companies you’ve probably never heard of