Toezichthouders onderzoeken privacyrisico’s cloudgebruik

Man houdt ethernetkabel in de lucht om deze zogenaamd aan te sluiten op een wolk

De Autoriteit Persoonsgegevens en toezichthouders in heel Europa lanceren een onderzoek naar het gebruik van clouddiensten door nationale overheden. Op deze manier willen zij achterhalen of en waar de grootste privacyrisico’s schuilen als zij een beroep doen op de cloud. Over eventuele vervolgstappen is nog niets bekend.

Dat schrijft de Autoriteit Persoonsgegevens in een persbericht.

AP start onderzoek naar privacyrisico’s bij cloudaanbieders

Gegevens opslaan op externe harde schijven is al lang niet meer van deze tijd. Bedrijven, maatschappelijke organisaties, het onderwijs en overheidsorganen gebruiken sinds jaar en dag de cloud om hun data op te slaan. Dan moet je denken aan privacygevoelige gegevens als persoonsgegevens en bedrijfsgevoelige informatie. Sterker nog, de cloud is tegenwoordig een vast onderdeel van de back-upstrategie bij de meeste instanties.

Omdat er zoveel vertrouwelijke gegevens in de cloud worden bewaard, wil je zeker weten dat de privacyrisico’s goed zijn gedekt en de data van burgers goed worden beschermd. En dat is precies wat de Autoriteit Persoonsgegevens en andere Europese toezichthouders de komende tijd gaan onderzoeken.

AP ontvangt signalen over mogelijke schendingen AVG

De Nederlandse privacywaakhond zegt dat toezichthouders regelmatig signalen ontvangen dat clouddiensten niet aan de Europese privacywetgeving voldoen. Ze sturen bijvoorbeeld data door naar landen waar persoonsgegevens en andere informatie onvoldoende worden beschermd, zoals de VS. De Amerikaanse wet bepaalt namelijk dat inlichtingen- en veiligheidsdiensten het recht hebben om gegevens van Europese burgers in te zien.

In de zomer van 2020 maakte het Europees Hof van Justitie een einde aan het Privacy Shield, waardoor dit verdrag niet langer als basis gebruikt mag worden om data te verzenden naar de VS. Sindsdien moeten bedrijven en organisaties Standard Contractual Clauses (SCC’s) of modelcontracten gebruiken om afspraken daarover te maken. Veel Europese bedrijven doen dat niet. Daarom heeft de Oostenrijkse privacyactivist Max Schrems bij de nationale toezichthouders in heel Europa ruim honderd klachten ingediend.

De Autoriteit Persoonsgegevens zegt ook geluiden te horen dat organisaties een slechte onderhandelingspositie hebben met grote clouddienstverleners als Google, Microsoft en Amazon. Dat probleem speelde tot voor kort in de onderwijswereld. Partijen slaagden er aanvankelijk niet in om afspraken te maken om de privacyrisico’s in Google Workspace te beperken. Mede door bemoeienis van de overheid is er inmiddels overeenstemming bereikt over organisatorische en technische maatregelen.

Eind 2022 verschijnt rapport over het gebruik van clouddiensten door overheden

Monique Verdier, vicevoorzitter van de Autoriteit Persoonsgegevens, zegt dat het opslaan van data in de cloud door overheden risico’s met zich meebrengt. “Want zijn die data daar wel goed beschermd? Overheden hebben natuurlijk zeer veel gevoelige data over u en mij. Daar moeten hackers of buitenlandse overheden niet zomaar bij kunnen. Dus als overheden dit soort data in de cloud zetten, moeten ze daar vooraf goed over nadenken”, aldus Verdier.

Een onderzoek hoe overheden daarmee omgaan is volgens de vicevoorzitter noodzakelijk. In samenwerking met andere Europese toezichthouders stuurt de Autoriteit Persoonsgegevens een vragenlijst naar de organisaties die namens de Nederlandse overheid afspraken maken met de grootste clouddienstverleners. De bevindingen van de verschillende toezichthouders worden samengevoegd om te zien waar er zich privacyrisico’s voordoen.

Wat er daarna gebeurt hangt af van de conclusies. Een mogelijkheid is dat de toezichthouders een dialoog starten met nationale overheden en cloudaanbieders, of dat ze een vervolgonderzoek instellen naar specifieke overtredingen. Voor het einde van het jaar komt de Europese koepelorganisatie EDPB (European Data Protection Board) met een gezamenlijk rapport over het gebruik van clouddiensten door overheden.

Een veiligere cloudomgeving

Met het onderzoek wil de Autoriteit Persoonsgegevens de cloud veiliger en vertrouwder maken voor Europese bedrijven, organisaties, overheden en burgers. “We starten bij overheden, maar een verbetering van de clouddiensten kan ook doorwerken in het bedrijfsleven”, vertelt Verdier. “Want of het nu gaat om jouw gegevens bij de overheid, een energiebedrijf of een reisbureau, jouw gegevens moeten veilig zijn. Zeker als ze opgeslagen zijn aan de andere kant van de wereld.”

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen