2min

Autoriteit Persoonsgegevens ziet grote privacyrisico’s in het gebruik van Amerikaanse cloudomgevingen onder overheidsinstanties. Hiervoor waarschuwt de privacytoezichthouder in een brief aan staatssecretaris Van Huffelen (Digitalisering).

De privacytoezichthouder reageert op de plannen van de staatssecretaris om toe te staan dat overheidsinstanties hun data onder strikte voorwaarden in de (public) cloudomgevingen van Amerikaanse aanbieders kunnen opslaan, zoals bijvoorbeeld AWS, Microsoft Azure en Google Cloud. Dit moet het grootschalige gebruik van gegevens voor overheidsprocessen in de toekomst gaan vergemakkelijken.

Geen goede ontwikkeling

De AP is het met dit beleid oneens, zo blijkt uit de brief. Volgens de privacytoezichthouder is er onvoldoende uitgewerkt welke risico’s de opslag van overheidsdata in publieke Amerikaanse cloudomgevingen met zich meebrengt. Bijvoorbeeld welke data de providers zelf verzamelen.

Hierdoor zou per geval in meer details moeten worden onderzocht of (meta)data geschikt is voor opslag in een Amerikaanse public cloud. Aanbieders zouden, zo stelt de AP, kunnen bijhouden wanneer overheidsapplicaties niet goed werken of crashen. In deze informatie kan persoonlijke data zijn verborgen, zoals bestandsnamen of controleteksten voor het functioneren van spellingscontroles.

Daarnaast verzamelen de cloudaanbieders metadata voor het verbeteren van de security. Bijvoorbeeld gegevens die aangeven waar en wanneer individuele ambtenaren inloggen. Welke informatie dit precies is blijft vaak geheim. Dit soort risico’s moeten volgens de toezichthouder zorgvuldig worden afgewogen. “Als je niet goed onderzoekt welke risico’s er zijn, kun je ook geen maatregelen nemen om die risico’s te weg te nemen”, stelt AP-voorzitter Aleid Wolfsen.

Verder is het gebruiksbeleid van de staatssecretaris volgens de AP te vrijblijvend. Het opslagbeleid geldt namelijk niet voor zelfstandig opererende overheidsinstellingen die vaak gevoelige persoonsgegevens verwerken. Denk daarbij aan het UWV of aan het Centraal Bureau voor de Statistiek (CBS). Het overheidsbeleid met de strikte voorwaarden zou ook voor dergelijke semioverheidsinstellingen moeten gelden.

Opslag in omgevingen met GDPR-kwaliteit

De privacytoezichthouder adviseert de staatssecretaris met klem om vooral oog te hebben voor de risico’s die het opslaan van persoonlijke gegevens in landen buiten Europa met zich meebrengt. Zeker omdat de GDPR niet altijd in deze landen geldt.

De overheid moet bij de opslag van gegevens in landen buiten de Europese Unie goed nagaan of de privacyregels hetzelfde niveau hebben als binnen de Europese Unie. Dit is in de Verenigde Staten niet het geval. Daarom moeten overheden de risico’s in kaart brengen en maatregelen nemen om gegevens te beveiligen.

De AP adviseert de staatsecretaris om de voorkeur te geven aan cloudoplag bij Europese providers. Aangezien Amerikaanse providers op dit moment een groot marktaandeel hebben, zou het volgens de AP de staatssecretaris ook sieren om het gebruik van Europese providers te stimuleren.

In een reactie op de brief gaf staatssecretaris Van Huffelen aan de zorgen van de privacytoezichthouder ter harte te nemen.

Tip: Overheid mag gevoelige data opslaan in commerciële clouddiensten