image

Privacytoezichthouders wijzen overheden op opslag privédata burgers in de cloud

donderdag 19 januari 2023, 11:20 door Redactie, 4 reacties

Overheidsinstanties die persoonsgegevens van burgers in de cloud opslaan moeten met verschillende zaken rekening houden, zo stellen de Europese privacytoezichthouders. Die hebben een lijst met dertien aanbevelingen opgesteld voor overheidsinstellingen die van clouddiensten gebruikmaken. Eeen van de belangrijkste aanbevelingen is dat overheidsorganisaties de privacyrisico’s goed in kaart brengen voordat ze in zee gaan met een clouddienst.

Tevens moeten overheidsdiensten technische en organisatorische maatregelen nemen om de risico’s zoveel mogelijk te beperken. Zo moeten er specifieke afspraken worden gemaakt in het contract dat ze met de clouddienst sluiten. Ook moeten overheden periodiek controleren of clouddiensten zich aan deze afspraken houden. "In de praktijk betekent dit dat er maatwerk nodig is en dat overheidsinstellingen niet zomaar akkoord moeten gaan met het standaardcontract dat de clouddienst aanbiedt", aldus de Autoriteit Persoonsgegevens (AP) dat aan de aanbevelingen meewerkte.

Andere belangrijke aanbevelingen gaan over de toegang tot de data van EU-burgers, als die zijn opgeslagen bij een cloudprovider van buiten de Europese Unie. "Als een overheidsorganisatie persoonsgegevens laat verwerken door een clouddienst buiten de EU, moet deze nagaan of de bescherming van persoonsgegevens ten minste op hetzelfde niveau ligt als binnen de EU. Vaak is dat niet zo", zo stelt de AP.

Volgens de privacytoezichthouder kunnen veel andere landen leren van de Nederlandse overheid. Nederlandse overheidsorganisaties voeren steeds vaker gezamenlijk een privacyonderzoek uit bij clouddiensten. "En omdat de overheid die DPIA’s vaak ook publiceert kunnen andere organisaties leren hoe zij de risico’s van bepaalde clouddiensten moeten inschatten", zo legt de Autoriteit Persoonsgegevens uit.

Toch kan ook de Nederlandse overheid verschillende zaken verbeteren, vindt de AP. Dat gaf alle Nederlandse ministeries in een brief drie opdrachten mee. Zo moeten instanties beseffen dat ze zelf verantwoordelijk zijn voor de inkoop van clouddiensten, en deze verantwoordelijkheid niet bij de gezamenlijke inkooporganisatie leggen. Daarbij moeten de ministeries de manier waarop privacy wordt meegenomen in het inkoopproces uniformeren. Tot slot moet de minister onderzoeken op welke plekken nog meer gezamenlijke inkoop kan plaatsvinden.

Reacties (4)
19-01-2023, 12:01 door Cornelius
Dit geldt toch niet alleen voor overheden, maar voor alle partijen die privégegevens in de cloud verwerken?
19-01-2023, 18:28 door Anoniem
Bij mijn zorgverzekeraar als ik vraag om een gespecificeerde factuur (je betaalt tenslotte aan hun) word je verwezen dat je kunt inloggen met DigiD en dan deze kunt inzien. Zelf vind ik dat raar, dat je facturen kunt bekijken uit het verleden. Het kan dus niet anders dat hun deze data al online zetten voor het geval dat je ooit wel een DigiD-account gaat aanmaken (wat overigens niet gaat gebeuren).
Oftewel de verzekeraar zet data en persoonsgegevens online zonder dat ik daar toestemming voor gegeven heb. Echter reageren zij niet op de vraag of dit ook daadwerkelijk zo is en daarnaast wanneer ik vraag daarmee te stoppen krijg je ook geen reactie.
Na lang aandringen (moet extra geld kosten blijkbaar), krijg je opeens het antwoord dat hun de facturen helemaal niet zien. Een derde bedrijf zet deze voor hun online. Mijn gegevens, ook weer zonder toestemming gaan dus ook nog eens naar een derde partij.
Op mijn vraag dan weer hoe hun deze dan controleren (wat is de taak dan eigenlijk nog van zo'n zorgverzekeraar?), uiteraard ook weer geen antwoord.

Jouw data en persoonsgegevens worden gewoon klakkeloos ergens in een cloud gestopt, zonder toestemming en medeweten. Vragen hieromtrent worden genegeerd. Moet je dit echt nu gewoon als normaal beschouwen?
20-01-2023, 16:05 door Anoniem
Door Anoniem: Bij mijn zorgverzekeraar als ik vraag om een gespecificeerde factuur (je betaalt tenslotte aan hun) word je verwezen dat je kunt inloggen met DigiD en dan deze kunt inzien. Zelf vind ik dat raar, dat je facturen kunt bekijken uit het verleden. Het kan dus niet anders dat hun deze data al online zetten voor het geval dat je ooit wel een DigiD-account gaat aanmaken (wat overigens niet gaat gebeuren).
Oftewel de verzekeraar zet data en persoonsgegevens online zonder dat ik daar toestemming voor gegeven heb. Echter reageren zij niet op de vraag of dit ook daadwerkelijk zo is en daarnaast wanneer ik vraag daarmee te stoppen krijg je ook geen reactie.
Na lang aandringen (moet extra geld kosten blijkbaar), krijg je opeens het antwoord dat hun de facturen helemaal niet zien. Een derde bedrijf zet deze voor hun online. Mijn gegevens, ook weer zonder toestemming gaan dus ook nog eens naar een derde partij.
Op mijn vraag dan weer hoe hun deze dan controleren (wat is de taak dan eigenlijk nog van zo'n zorgverzekeraar?), uiteraard ook weer geen antwoord.

Jouw data en persoonsgegevens worden gewoon klakkeloos ergens in een cloud gestopt, zonder toestemming en medeweten. Vragen hieromtrent worden genegeerd. Moet je dit echt nu gewoon als normaal beschouwen?

Hoezo zonder je toestemming? Je kiest toch zelf voor die verzekeraar? Voorwaarden, ToS en Privacy verklaring niet gelezen? Daar staan dit soort zaken (ook de subverwerkers) in als het goed is (anders doen ze idd iets fout). De dienst afnemen is dan akkoord gaan hiermee.
21-01-2023, 12:33 door karma4
Volgens de privacytoezichthouder kunnen veel andere landen leren van de Nederlandse overheid. Nederlandse overheidsorganisaties voeren steeds vaker gezamenlijk een privacyonderzoek uit bij clouddiensten. "En omdat de overheid die DPIA’s vaak ook publiceert kunnen andere organisaties leren hoe zij de risico’s van bepaalde clouddiensten moeten inschatten", zo legt de Autoriteit Persoonsgegevens uit.

Onderzoeken worden niet door de overheid uitgevoerd. Uitbesteding aan organisatie waar de kring met de AP klein is.
Het komt neer neer op een onverholen machtsuitbreiding van de AP een BI Brother in opima forma (1984)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.