Rijksbreed cloudbeleid bron zorgen Autoriteit Persoonsgegevens
Op 14 november 2022 publiceerde de Autoriteit Persoonsgegevens(AP) een indringend advies over het gebruik van clouddiensten voor dataopslag door de overheid. Het betreft een reactie op de Kamerbrief die de staatssecretaris voor digitale zaken Alexandra van Huffelen op 29 augustus j.l. het licht deed zien. Daarin komt ze met een uitwerking van de nieuwe visie op gebruik van publieke clouddiensten door de Rijksoverheid. Dit beleid vervangt het eerdere beleid uit 2011, waarin nog gestreefd werd naar gebruik van private clouddiensten. Ze gaf er in aan dat gebruik van publieke clouddiensten potentiële voordelen biedt, maar dat er echter ook risico’s bestaan die beheerst moeten worden. Volgens haar winnen de voordelen het nu van de risico’s en wordt het tijd voor een nieuwe cloudstrategie voor de Rijksoverheid. De AP daarentegen waarschuwt heden dringend voor de privacy-risico’s die verbonden zijn aan het gebruik van publieke clouddiensten.
Publieke clouddiensten
De publieke cloud – of openbare cloud – is een cloudoplossing waarbij men gebruik maakt van een gedeelde, online infrastructuur. De te gebruiken applicaties en data bevinden zich in deze infrastructuur, die op een locatie van de cloudaanbieder staat. Alle gerelateerde hardware, software en ondersteunende infrastructuur zijn eigendom van deze leverancier. De data die opgeslagen en be-/verwerkt worden zijn alleen inzichtelijk voor jou, maar andere organisaties maken ook gebruik van de infrastructuur, zoals applicaties en servers.
Private of hybride clouddiensten
Een private cloud is een infrastructuur die een cloudaanbieder levert aan één specifieke organisatie. De overheid beschikt in dat geval over de middelen die horen bij cloud-computing, maar deelt geen hard- of software met andere organisaties. De private infrastructuur staat ten kantore bij de betreffende organisatie zelf of bij de leverancier. Daarentegen bestaat de hybride cloud uit een combinatie van een of meerdere private en publieke clouds. Deze twee typen infrastructuren blijven los van elkaar functioneren, maar wisselen waar nodig wel applicaties en data met elkaar uit.
Waarschuwingen AP(1)
Het oordeel van de AP bevat drie hoofdpunten.
“1. Vollediger adresseren van de privacyrisico’s en dit leidend maken bij de vraag of een clouddienst rechtmatig kan worden ingezet. De nu in het cloudbeleid doorgevoerde scheiding tussen public en private clouddiensten is niet bepalend voor de vraag of en zo ja welke mogelijke privacy-risico’s er bestaan. In plaats daarvan dient onafhankelijk van de vorm van de clouddienst (publiek, privaat of hybride) te worden bepaald of de gegevensverwerking voldoet aan de eisen van de AVG.”
Waarschuwing AP(2)
“2. Nadrukkelijk adresseren van de specifieke risico’s die spelen bij de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte(EER) waaronder ook de mogelijke toegang tot persoonsgegevens van buiten de EER. Onder de EER verstaat men alle EU-landen plus Liechtenstein, Noorwegen en IJsland. Ten aanzien van de doorgifte van persoons-gegevens naar landen buiten de EER bestaan al langere tijd zorgen, gelet op het verminderde beschermingsniveau. Dit vraagt om nadere uitwerking en strategische keuzes, zodat voldoende kan worden bepaald of de grondrechten van EU-burgers niet ook van buiten de EER worden geschonden en tegelijkertijd de continuïteit van de essentiële dienstverlening van het Rijk niet in gevaar komt.”
Waarschuwing AP(3)
“3. Verzekeren van de uitvoering van dit cloudbeleid om te voorkomen dat de privacyrisico’s niet, of onvoldoende, worden geïdentificeerd door overheidsinstellingen. Van de overheid mag worden verwacht dat deze een hoog beschermingsniveau hanteert voor de bescherming van persoonsgegevens. Een goed cloudbeleid kan daaraan bijdragen, maar slechts indien de naleving en opvolging van dat cloudbeleid binnen de gehele overheid is verzekerd. Daarvoor is het noodzakelijk dat de mate van vrijblijvendheid voor ministeries om de regels in het Rijksbeleid cloudbeleid na te leven zo beperkt mogelijk is en dat er wordt zorggedragen voor een controleerbare implementatie en naleving van dit cloudbeleid.”
Problemen met VS-clouddiensten
In de tekst klinken tot vier keer toe de zorgen rond het gebruik van publieke clouddiensten in de Verenigde Staten. Die waarschuwing strekt zich ook uit naar clouddiensten van bedrijven uit de VS die in Europa vestigingen hebben. De AP merkt op dat er ten aanzien van de doorgifte van persoonsgegevens naar landen buiten de EER al langere tijd zorgen bestaan, die hebben geresulteerd in diverse rechterlijke uitspraken die van invloed zijn op veel clouddienstverleners. Deze zorgen zien in ieder geval op rechtmatigheid van de doorgifte van persoonsgegevens aan de VS, die in de praktijk bij veel clouddiensten plaatsvindt. Doorgifte kan ook plaatsvinden doordat persoonsgegevens binnen een groepsonderneming, of via een leverancier, worden doorgezonden naar entiteiten buiten de EER en mogelijk onrechtmatig is. De AP is van mening dat het rijksbrede cloudbeleid hier onvoldoende rekening mee houdt.
Conclusie
De AP maakt zeer duidelijk dat zij vindt dat de staatsecretaris voor digitale zaken een te lichtvaardige kijk heeft op het gebruik van publieke clouddiensten. De AP zegt eigenlijk tegen de bewindsvrouw dat zij haar huiswerk nog een keer over moet doen en zeker niet te simpel moet denken over de risico’s van het gebruik van de publieke clouddiensten. Het stemt tot tevredenheid dat de AP met haar brief aangeeft op te komen voor de grondrechten van de burger in de EU.
W.J. Jongejan, 15 november 2022
Afbeelding van Gerd Altmann via Pixabay
Recente reacties