Kabinet moet privacyrisico’s cloudbeleid aanpakken

Dutch cloud cloudbeleid

Het kabinet moet de privacyrisico’s van het op handen zijnde vernieuwde cloudbeleid aanpakken. Dat schrijft de Autoriteit Persoonsgegevens (AP) in een brief aan staatssecretaris Van Huffelen van Digitalisering.

Het dringende advies komt na het voornemen om overheidsdata op te kunnen slaan bij commerciële clouddiensten. De AP heeft het oordeel over cloudbeleid ook in een gesprek met Van Huffelen overgebracht. Zij gaf aan de adviezen van de AP ter harte te nemen.

Eind augustus kwam het Kabinet met het nieuw cloudbeleid. Daarmee wil zij zorgen dat overheidsinstanties gebruik mogen maken van commerciële aanbiederes. En dus informatie over Nederlanders mogen opslaan op servers van bijvoorbeeld Amerikaanse bedrijven als Amazon, Google of Microsoft. Nu mag dat nog niet.

Risico’s

“De overheid beschikt over een gigantische hoeveelheid data over ons allemaal”, zegt AP-voorzitter Aleid Wolfsen. “Hoeveel jij verdient, je burgerservicenummer, je bankrekeningnummer en nog veel meer. Die gegevens moeten niet in verkeerde handen vallen.”

“Als je die niet op eigen servers opslaat maar op die van een bedrijf, moet je zeker weten dat ze veilig zijn. Er hangt dus veel af van een goede uitwerking en naleving van dit cloudbeleid. Daar maak ik me zorgen over.”

Zo zijn in het cloudbeleid de privacyrisico’s onvoldoende in kaart. “Dat is stap één. Privacy moet leidend zijn bij de vraag of je informatie over burgers mag opslaan bij een bedrijf”, zegt Wolfsen. “Als je niet goed onderzoekt welke risico’s er zijn, kun je ook geen maatregelen nemen om die risico’s te weg te nemen.”

Beperk risico’s opslag buiten Europa

De AP vraagt de staatssecretaris met name oog te hebben voor de risico’s van het opslaan van persoonsgegevens in landen buiten Europa, waar privacywet Algemene verordening gegevensbescherming (AVG) niet geldt.

Wanneer de overheid persoonsgegevens opslaat op servers van een bedrijf buiten de Europese Unie (EU), moet de overheid nagaan of de bescherming van persoonsgegevens ten minste op hetzelfde niveau ligt als binnen de EU. Dat is niet altijd het geval.

Zo kunnen bijvoorbeeld Amerikaanse inlichtingendiensten persoonsgegevens van Nederlanders opvragen bij Amerikaanse bedrijven. Zelfs als de servers van die bedrijven in Europa staan. “Daardoor kunnen die diensten jou bijvoorbeeld onterecht in verband brengen met terrorisme of fraude, waardoor je de VS en andere landen niet meer binnenkomt”, zegt Wolfsen.

Bij cloudaanbieders uit landen waar persoonsgegevens minder goed worden beschermd, zoals de VS, moet de overheid van tevoren goed de risico’s in kaart brengen, en maatregelen nemen om te zorgen dat die gegevens veilig zijn. De AP wijst de staatssecretaris erop dat opslag bij een Europees bedrijf qua privacy de beste keuze is.

Omdat het overgrote deel van de veelgebruikte cloudaanbieders op dit moment Amerikaans is, zou de staatssecretaris ook Europese alternatieven moeten stimuleren, stelt de AP in de brief.

Maak beleid verplicht

Tot slot is het beleid nu te vrijblijvend, stelt de AP. Zo zijn zelfstandige bestuursorganen niet verplicht het beleid te volgen. “Terwijl instellingen als het UWV, het CBS en de Sociale Verzekeringsbank gevoelige persoonsgegevens van ons allemaal in hun systemen hebben staan”, aldus Wolfsen.

Lees ook:

Gerelateerde berichten...

X