Overheidsinstanties die persoonsgegevens van burgers in de cloud opslaan moeten met verschillende zaken rekening houden, zo stellen de Europese privacytoezichthouders. Die hebben een lijst met dertien aanbevelingen opgesteld voor overheidsinstellingen die van clouddiensten gebruikmaken. Eeen van de belangrijkste aanbevelingen is dat overheidsorganisaties de privacyrisico’s goed in kaart brengen voordat ze in zee gaan met een clouddienst.
Tevens moeten overheidsdiensten technische en organisatorische maatregelen nemen om de risico’s zoveel mogelijk te beperken. Zo moeten er specifieke afspraken worden gemaakt in het contract dat ze met de clouddienst sluiten. Ook moeten overheden periodiek controleren of clouddiensten zich aan deze afspraken houden. "In de praktijk betekent dit dat er maatwerk nodig is en dat overheidsinstellingen niet zomaar akkoord moeten gaan met het standaardcontract dat de clouddienst aanbiedt", aldus de Autoriteit Persoonsgegevens (AP) dat aan de aanbevelingen meewerkte.
Andere belangrijke aanbevelingen gaan over de toegang tot de data van EU-burgers, als die zijn opgeslagen bij een cloudprovider van buiten de Europese Unie. "Als een overheidsorganisatie persoonsgegevens laat verwerken door een clouddienst buiten de EU, moet deze nagaan of de bescherming van persoonsgegevens ten minste op hetzelfde niveau ligt als binnen de EU. Vaak is dat niet zo", zo stelt de AP.
Volgens de privacytoezichthouder kunnen veel andere landen leren van de Nederlandse overheid. Nederlandse overheidsorganisaties voeren steeds vaker gezamenlijk een privacyonderzoek uit bij clouddiensten. "En omdat de overheid die DPIA’s vaak ook publiceert kunnen andere organisaties leren hoe zij de risico’s van bepaalde clouddiensten moeten inschatten", zo legt de Autoriteit Persoonsgegevens uit.
Toch kan ook de Nederlandse overheid verschillende zaken verbeteren, vindt de AP. Dat gaf alle Nederlandse ministeries in een brief drie opdrachten mee. Zo moeten instanties beseffen dat ze zelf verantwoordelijk zijn voor de inkoop van clouddiensten, en deze verantwoordelijkheid niet bij de gezamenlijke inkooporganisatie leggen. Daarbij moeten de ministeries de manier waarop privacy wordt meegenomen in het inkoopproces uniformeren. Tot slot moet de minister onderzoeken op welke plekken nog meer gezamenlijke inkoop kan plaatsvinden.
Deze posting is gelocked. Reageren is niet meer mogelijk.