De Europese Unie start een onderzoek naar publieke instellingen die diensten afnemen van cloudproviders. In de komende maanden polsen 22 Europese privacy- en data-autoriteiten of overheidsklanten van cloudproviders aan de GDPR voldoen.

75 Europese instellingen worden samen met hun cloudproviders onderzocht. Denk aan ziekenhuizen, banken, belastingdiensten en IT-providers met overheidsbanden. Het onderzoek richt zich nadrukkelijk op providers én instellingen. Beide hebben een aandeel in de verwerking van persoonsgegevens, dus moeten beide worden onderzocht.

Blijkt de provider of instelling niet aan de GDPR te voldoen, dan bepalen de privacy- en data-autoriteiten of er een strafrechtelijk onderzoek nodig is. Het onderzoek is niet bedoeld om directe maatregelen te treffen. Het European Data Protection Board (EDPB) wil begrijpen of en waarom overheidsinstellingen en cloudproviders de GDPR overtreden.

Het EDPB stelt meerdere onderzoeksteams aan. De teams focussen op de afspraken die cloudproviders en klanten maken, de manier waarop overheidsinstellingen hun clouddiensten gebruiken en de manier waarop data internationaal wordt uitgewisseld.

Controllers en processors

De kritiek op het privacybeleid van Google, Meta en andere providers loopt in de afgelopen tijd op. Internationale datatransfers van persoonsgegevens vinden regelmatig illegaal plaats. De verantwoordelijkheid voor dataverwerking ligt echter nooit volledig bij een provider. Dat is waarom het nieuwe Europese onderzoek zowel overheidsinstellingen als providers aan de kaak stelt.

De termen ‘controller’ en ‘processor’ komen regelmatig in de GDPR voor. De termen worden gebruikt om onderscheide te maken tussen organisaties die data laten verwerken en organisaties die data verwerken. Beide groepen moeten zich aan regels houden. Dat is vergelijkbaar met de verhouding tussen een bouwbedrijf (opdrachtnemer) en een wooncorporatie (opdrachtgever). Veroorzaakt een bouwbedrijf gigantische schade tijdens een opdracht voor een wooncorporatie, dan kan een wooncorporatie gedeeltelijk aansprakelijk zijn voor de schade.

Opdrachtgevers hebben bijna altijd verantwoordelijkheden voor het werk van opdrachtnemers. De Europese privacywet is geen uitzondering op de regel. Jouw privacy ligt in de handen van providers én hun klanten. Vanuit die gedachte gaat het onderzoek van start.