Europees privacyonderzoek naar cloudgebruik door overheden

Europese privacytoezichthouders starten een onderzoek naar het gebruik van de cloud door landelijke overheden. Via het onderzoek willen zij in kaart brengen waar de grootste privacyproblemen zitten bij het gebruik van clouddiensten door overheden.

De cloud wordt in toenemende mate ingezet door overheden. Steeds vaker staan data niet meer op eigen systemen van de overheid, maar juist op servers van cloudproviders. De Autoriteit Persoonsgegevens wijst erop dat hierbij mogelijk ook gevoelige persoonsgegevens van burgers zitten. De Europese toezichthouders willen weten of de data van burgers hierbij goed beschermd worden.

"Zeker sinds we veel thuiswerken gaat bijna alles in de cloud", zegt Monique Verdier, vicevoorzitter van de Autoriteit Persoonsgegevens (AP). "Dat brengt risico’s met zich mee. Want zijn die data daar wel goed beschermd? Overheden hebben natuurlijk zeer veel gevoelige data over u en mij. Daar moeten hackers of buitenlandse overheden niet zomaar bij kunnen. Dus als overheden dit soort data in de cloud zetten, moeten ze daar vooraf goed over nadenken."

Diverse zorgen

De Autoriteit Persoonsgegevens uit diverse zorgen. Zo zijn er vaak signalen dat clouddiensten niet aan de privacywet voldoen. Onder meer door het doorsturen van data naar landen waar persoonsgegevens onvoldoende beschermd worden. De Verenigde Staten worden hierbij expliciet als voorbeeld genoemd. Amerikaanse inlichtingen- en veiligheidsdiensten hebben op  grond van Amerikaanse wetgeving het recht om gegevens van EU-burgers in te zien en te gebruiken.

Ook horen toezichthouders regelmatig dat organisaties weinig macht hebben in onderhandelingen met grote cloudproviders. Het afdwingen van een goede beschermen van gegevens die in de cloud worden opgeslagen kan hierdoor complex zijn.

Enquête

De eerste ronde van de Europabrede actie is het houden van een enquête. Een vragenlijst wordt door de Autoriteit Persoonsgegevens verstuurd naar organisaties die namens de Rijksoverheid afspraak maken met de grootste cloudproviders. Na deze eerste analyse brengen de toezichthouders in kaart wat de volgende stap moet zijn. "Dat kan betere voorlichting zijn, gesprekken met overheden én clouddiensten, en mogelijk onderzoeken naar eventuele specifieke overtredingen. Eind 2022 komt de European Data Protection Board, het Europese samenwerkingsorgaan van de privacytoezichthouders, met een gezamenlijk rapport over het gebruik van clouddiensten door overheden", schrijft de Autoriteit Persoonsgegevens.

Verdier: "Met deze actie willen we de cloud voor Europeanen veilig maken. We starten bij overheden, maar een verbetering van de clouddiensten kan ook doorwerken in het bedrijfsleven. Want of het nu gaat om jouw gegevens bij de overheid, een energiebedrijf of een reisbureau, jouw gegevens moeten veilig zijn. Zeker als ze opgeslagen zijn aan de andere kant van de wereld."