Hoofdstuk: Ter Info
Dwarsligger

Hoofdstuk
Hoger Menu

Pagina's
Index
Clouddiensten en Overheid Democratie Informele Aanpak Kabinet Pakt Regie Lessen Uit Bezoeken Online meer verantwoordelijk Prominentere rol Digi
Clouddiensten en Overheid

--> Privacytoezichthouders wijzen overheden op vereisten bij gebruik clouddiensten
Nieuwsbericht 18 januari 2023

Europese privacytoezichthouders hebben een lijst met aanbevelingen opgesteld voor overheidsinstellingen die persoonsgegevens van burgers opslaan in ‘de cloud’.
Zij benadrukken hiermee de verantwoordelijkheid van de overheid om te waarborgen dat de gegevens van burgers veilig zijn.

De lijst met 13 aanbevelingen staat in een rapport over een gezamenlijke actie van de European Data Protection Board (EDPB), het samenwerkingsverband van de AP en de andere privacytoezichthouders in Europa.
Met een enquête en gesprekken met overheidsinstellingen inventariseerden ze waar die instellingen op moeten letten.

Geen standaardcontract
Een van de belangrijkste aanbevelingen is dat overheidsorganisaties de privacyrisico’s goed in kaart brengen voordat ze in zee gaan met een clouddienst.
Dat moet met een data protection impact assessment (DPIA).

Daarbij moeten overheidsinstellingen technische en organisatorische maatregelen nemen om de risico’s zoveel mogelijk te beperken.
Onder meer door specifieke afspraken te maken in het contract dat ze sluiten met de clouddienst.

Ook moeten ze periodiek controleren of clouddiensten zich houden aan deze afspraken.
In de praktijk betekent dit dat er maatwerk nodig is en dat overheidsinstellingen niet zomaar akkoord moeten gaan met het standaardcontract dat de clouddienst aanbiedt.

Risico’s cloud buiten EU
Andere belangrijke aanbevelingen gaan over de toegang tot de data van EU-burgers, als die zijn opgeslagen bij een clouddienstverlener van buiten de Europese Unie (EU).

Als een overheidsorganisatie persoonsgegevens laat verwerken door een clouddienst buiten de EU, moet deze nagaan of de bescherming van persoonsgegevens ten minste op hetzelfde niveau ligt als binnen de EU.
Vaak is dat niet zo.

De AP wees staatssecretaris Van Huffelen van Digitalisering eind 2022 ook al op dit risico.

Gedegen DPIA’s in Nederland
De AP concludeert dat veel andere landen kunnen leren van de Nederlandse overheid.
Nederlandse overheidsorganisaties voeren steeds vaker gezamenlijk een gedegen DPIA uit bij clouddiensten.
En omdat de overheid die DPIA’s vaak ook publiceert, kunnen andere organisaties leren hoe zij de risico’s van bepaalde clouddiensten moeten inschatten.

Bovendien leidt die gezamenlijke analyse ertoe dat Nederlandse overheidsorganisaties beter in staat zijn goede voorwaarden te onderhandelen.
De EDPB beveelt daarom ook aan om samen te werken met andere overheidsinstellingen bij onderhandelingen met clouddiensten.

Maar er is ook het een en ander te verbeteren wat betreft het cloudgebruik door de Nederlandse overheid.
De AP gaf daarom alle Nederlandse ministeries in een brief drie opdrachten mee.
  1. Uw verantwoordelijkheid als verwerkingsverantwoordelijke bij de inzet van CSP’s in relatie tot reeds bestaande SLM-functies binnen de Rijksoverheid.
  2. Uniformering van de wijze waarop de/uw SLM-functie wordt vormgegeven en uitgevoerd.
  3. De noodzaak tot onderzoek naar de wenselijkheid voor SLM-functies waar deze nu nog niet bestaan.

(SLM = Strategisch Leveranciers Management)

De AP vindt dat de minister moet beseffen zelf verantwoordelijk te zijn voor de inkoop van clouddiensten, en deze verantwoordelijkheid niet bij de gezamenlijke inkooporganisatie leggen.
Daarbij moeten de ministeries de manier waarop privacy wordt meegenomen in het inkoopproces uniformeren.

Tot slot moet de minister onderzoeken op welke plekken nog meer gezamenlijke inkoop kan plaatsvinden.
Valid HTML Valid CSS Valid i18n
LogIn
Copyright © 2024 Dwarsligger.org.
CMS versie        231027a
Template versie 230324a
Colofoon
Bron: autoriteitpersoonsgegevens op 02 feb 2023.
Verzonden op:
Samengesteld in:
Pagina Grootte:
Aangemaakt op:
Aangepast op:
29 Mrt 2024
1507 µsec.
8341 Bytes
02 feb 2023
02 feb 2023