Overheidsinstellingen moeten de privacyrisico’s goed in kaart brengen voordat ze in zee gaan met een clouddienst. Dat moet met een zogeheten gegevensbeschermingseffectbeoordeling, waarbij overheden technische en organisatorische maatregelen nemen om de risico’s zoveel mogelijk te beperken. Onder meer door specifieke afspraken te maken in het contract dat ze sluiten met de clouddienst.
Europese privacy-toezichthouders wijzen overheden op deze vereisten bij het gebruik van clouddiensten. Ze hebben een lijst met aanbevelingen opgesteld voor overheidsinstellingen die persoonsgegevens van burgers opslaan in de cloud. Deze lijst met dertien aanbevelingen staat in een rapport over een gezamenlijke actie van de European Data Protection Board (EDPB), het samenwerkingsverband van de Autoriteit Persoonsgegevens (AP) en de andere privacytoezichthouders in Europa.
Volgens hen moeten overheidsinstellingen ook periodiek controleren of clouddiensten zich houden aan deze afspraken. In de praktijk betekent dit dat er maatwerk nodig is. Overheden moeten niet zomaar akkoord gaan met het standaardcontract dat de clouddienst aanbiedt.
Leren
De AP concludeert dat veel andere landen kunnen leren van de Nederlandse overheid. Veel overheidsinstellingen voeren een gedegen gegevensbeschermingseffectbeoordeling uit bij clouddiensten. Maar er is bij het cloudgebruik ook wel wat te verbeteren. De AP gaf daarom alle Nederlandse ministeries in een brief drie opdrachten mee.
Zo vindt de AP dat de minister moet beseffen zelf verantwoordelijk te zijn voor de inkoop van clouddiensten, en deze verantwoordelijkheid niet bij de gezamenlijke inkooporganisatie leggen. Daarbij moeten de ministeries de manier waarop privacy wordt meegenomen in het inkoopproces uniformeren. Tot slot moet de minister onderzoeken op welke plekken nog meer gezamenlijke inkoop kan plaatsvinden.
De AP wijst erop dat in een zo vroeg mogelijk stadium rekening wordt gehouden met de privacyaspecten van een gegevensverwerking. Voor overheden die clouddiensten willen afnemen is het daarom van belang dat zij eerst de risico’s in kaart brengen en de benodigde maatregelen treffen.
De strategisch leveranciers management (slm)-functie kan een belangrijke rol spelen om daar in een vroegtijdig stadium aan bij te dragen. Volgens de AP bestaat er echter geen duidelijk kader voor de rol en belegging van slm-functies binnen het Rijk. Evenmin is helder voor welke clouddiensten een dergelijke functie is bekleed.
De criteria waarmee wordt vastgesteld wanneer er voor een bepaalde clouddienst een slm-functie moet worden ingericht, en bij welke organisatie deze functie wordt uitgevoerd moeten helderder worden gedefinieerd. Nu ontbreekt het aan duidelijke richtlijnen.
