Privacytoezichthouders wijzen overheden op opslag privédata burgers in de cloud
Overheidsinstanties die persoonsgegevens van burgers in de cloud opslaan moeten met verschillende zaken rekening houden, zo stellen de Europese privacytoezichthouders. Die hebben een lijst met dertien aanbevelingen opgesteld voor overheidsinstellingen die van clouddiensten gebruikmaken. Eeen van de belangrijkste aanbevelingen is dat overheidsorganisaties de privacyrisico’s goed in kaart brengen voordat ze in zee gaan met een clouddienst.
Tevens moeten overheidsdiensten technische en organisatorische maatregelen nemen om de risico’s zoveel mogelijk te beperken. Zo moeten er specifieke afspraken worden gemaakt in het contract dat ze met de clouddienst sluiten. Ook moeten overheden periodiek controleren of clouddiensten zich aan deze afspraken houden. "In de praktijk betekent dit dat er maatwerk nodig is en dat overheidsinstellingen niet zomaar akkoord moeten gaan met het standaardcontract dat de clouddienst aanbiedt", aldus de Autoriteit Persoonsgegevens (AP) dat aan de aanbevelingen meewerkte.
Andere belangrijke aanbevelingen gaan over de toegang tot de data van EU-burgers, als die zijn opgeslagen bij een cloudprovider van buiten de Europese Unie. "Als een overheidsorganisatie persoonsgegevens laat verwerken door een clouddienst buiten de EU, moet deze nagaan of de bescherming van persoonsgegevens ten minste op hetzelfde niveau ligt als binnen de EU. Vaak is dat niet zo", zo stelt de AP.
Volgens de privacytoezichthouder kunnen veel andere landen leren van de Nederlandse overheid. Nederlandse overheidsorganisaties voeren steeds vaker gezamenlijk een privacyonderzoek uit bij clouddiensten. "En omdat de overheid die DPIA’s vaak ook publiceert kunnen andere organisaties leren hoe zij de risico’s van bepaalde clouddiensten moeten inschatten", zo legt de Autoriteit Persoonsgegevens uit.
Toch kan ook de Nederlandse overheid verschillende zaken verbeteren, vindt de AP. Dat gaf alle Nederlandse ministeries in een brief drie opdrachten mee. Zo moeten instanties beseffen dat ze zelf verantwoordelijk zijn voor de inkoop van clouddiensten, en deze verantwoordelijkheid niet bij de gezamenlijke inkooporganisatie leggen. Daarbij moeten de ministeries de manier waarop privacy wordt meegenomen in het inkoopproces uniformeren. Tot slot moet de minister onderzoeken op welke plekken nog meer gezamenlijke inkoop kan plaatsvinden.
Oftewel de verzekeraar zet data en persoonsgegevens online zonder dat ik daar toestemming voor gegeven heb. Echter reageren zij niet op de vraag of dit ook daadwerkelijk zo is en daarnaast wanneer ik vraag daarmee te stoppen krijg je ook geen reactie.
Na lang aandringen (moet extra geld kosten blijkbaar), krijg je opeens het antwoord dat hun de facturen helemaal niet zien. Een derde bedrijf zet deze voor hun online. Mijn gegevens, ook weer zonder toestemming gaan dus ook nog eens naar een derde partij.
Op mijn vraag dan weer hoe hun deze dan controleren (wat is de taak dan eigenlijk nog van zo'n zorgverzekeraar?), uiteraard ook weer geen antwoord.
Jouw data en persoonsgegevens worden gewoon klakkeloos ergens in een cloud gestopt, zonder toestemming en medeweten. Vragen hieromtrent worden genegeerd. Moet je dit echt nu gewoon als normaal beschouwen?
Oftewel de verzekeraar zet data en persoonsgegevens online zonder dat ik daar toestemming voor gegeven heb. Echter reageren zij niet op de vraag of dit ook daadwerkelijk zo is en daarnaast wanneer ik vraag daarmee te stoppen krijg je ook geen reactie.
Na lang aandringen (moet extra geld kosten blijkbaar), krijg je opeens het antwoord dat hun de facturen helemaal niet zien. Een derde bedrijf zet deze voor hun online. Mijn gegevens, ook weer zonder toestemming gaan dus ook nog eens naar een derde partij.
Op mijn vraag dan weer hoe hun deze dan controleren (wat is de taak dan eigenlijk nog van zo'n zorgverzekeraar?), uiteraard ook weer geen antwoord.
Jouw data en persoonsgegevens worden gewoon klakkeloos ergens in een cloud gestopt, zonder toestemming en medeweten. Vragen hieromtrent worden genegeerd. Moet je dit echt nu gewoon als normaal beschouwen?
Hoezo zonder je toestemming? Je kiest toch zelf voor die verzekeraar? Voorwaarden, ToS en Privacy verklaring niet gelezen? Daar staan dit soort zaken (ook de subverwerkers) in als het goed is (anders doen ze idd iets fout). De dienst afnemen is dan akkoord gaan hiermee.
Onderzoeken worden niet door de overheid uitgevoerd. Uitbesteding aan organisatie waar de kring met de AP klein is.
Het komt neer neer op een onverholen machtsuitbreiding van de AP een BI Brother in opima forma (1984)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
