AP adviseert overheid alleen in zee te gaan met Europese clouddiensten

AP adviseert overheid alleen in zee te gaan met Europese clouddiensten

Vorig artikel Volgend artikel

Het voornemen van het kabinet om overheidsdata op te slaan bij commerciële clouddiensten brengt grote privacyrisico’s met zich mee. Dat is althans de zorg die de Autoriteit Persoonsgevens (AP) vandaag uit in een brief aan staatssecretaris Van Huffelen van Digitalisering. In deze brief geeft de autoriteit ook een aantal adviezen. Eerder besprak de AP die adviezen ook al in een gesprek met de staatsecretaris. Daarin benadrukte de AP bij Van Huffelen en het kabinet om deze adviezen ter harte te nemen.

Veiligheid persoonsgegevens

Deze zomer presenteerde de staatssecretaris het nieuwe cloudbeleid van de overheid. Een belangrijke uitwerking van dat beleid is het feit dat daarmee de weg vrijgemaakt wordt voor overheidsdiensten om voor de opslag van gegevens in zee te gaan met commerciële aanbieders van clouddiensten zoals Amazon, Microsoft en Google - waarvoor de AP eerder ook al waarschuwde. Iets dat tot nu toe nog verboden was.

De AP, bij monde van voorzitter Aleid Wolfsen, benadrukt in de brief dat het feit dat de overheid over een gigantische hoeveelheid (persoonlijke) data van burgers beschikt, de nodige risico’s met zich meebrengt wanneer die data bij commerciële clouddiensten opgeslagen worden. “Deze data, zoals burgerservicenummers, bankrekeningnummers en nog veel meer mogen niet in verkeerde handen vallen", aldus Wolfsen.

Wanneer de overheid besluit dat deze gegevens niet op haar eigen servers maar op die van een extern bedrijf, zoals clouddiensten, op te slaan, dan moet de veiligheid wel gewaarborgd kunnen worden. “Er hangt dus veel af van een goede uitwerking en naleving van dit cloudbeleid. Daar maak ik me zorgen over”, zegt Wolfsen.

Privacy-EU
De AP adviseert de overheid om alleen Europese clouddiensten te gebruiken voor de opslag van privacy-gevoelige gegevens.

Risico’s in kaart brengen en opslag buiten Europa beperken

Het is zaak dat de staatssecretaris de mogelijke risico’s van het gebruik van commerciële clouddiensten nauwkeurig in kaart brengt en niet uit het oog verliest. Zeker wanneer gekozen zou worden voor een dienst waarbij de data ook op servers die buiten Europa staan, opgeslagen worden. Daar waar de Europese privacywetten, zoals de AVG, niet gelden. Mede daarom adviseert de AP het gebruik van dergelijke clouddiensten zoveel mogelijk te beperken.

Maar er kleven volgens de AP ook risico’s aan het gebruik van niet Europese clouddiensten waarbij servers wel binnen Europa staan. Amerikaanse inlichtingendiensten kunnen immers persoonsgegevens van Nederlanders opvragen bij Amerikaanse bedrijven. Zelfs als de servers van die bedrijven in Europa staan. "Daardoor kunnen die diensten jou bijvoorbeeld onterecht in verband brengen met terrorisme of fraude, waardoor je de VS en andere landen niet meer binnenkomt", zegt Wolfsen.

Al deze risico’s in overweging nemend, adviseert de AP om te kiezen voor Europese aanbieders van clouddiensten. Daarnaast vindt de autoriteit het beleid zoals dat momenteel voorgesteld wordt, te vrijblijvend. Zo zijn zelfstandige bestuursorganen niet verplicht het beleid te volgen. "Terwijl instellingen als het UWV, het CBS en de Sociale Verzekeringsbank gevoelige persoonsgegevens van ons allemaal in hun systemen hebben staan", aldus Wolfsen.

Ron Smeets

Ron verdiende zijn sporen in de Telecom als Mobile Cowboy. Na bijna 15 jaar was hij toe aan een nieuwe uitdaging als zelfstandig freelance journalist,...