Het kabinet wil overheidsdata voortaan kunnen opslaan bij commerciële clouddiensten. Dit brengt grote privacyrisico’s met zich mee en daar moet het kabinet mee aan de slag in de verdere uitwerking van het beleid. Dat schrijft de Autoriteit Persoonsgegevens (AP) in een brief aan staatssecretaris Van Huffelen van Digitalisering.
Eind augustus presenteerde de staatssecretaris nieuw cloudbeleid. Ze wil zorgen dat overheidsinstanties gebruik mogen maken van commerciële clouddiensten en dus informatie over Nederlanders mogen opslaan op servers van bijvoorbeeld Amazon, Google of Microsoft. Nu mag dat niet, stelt de staatssecretaris.
AP-voorzitter Aleid Wolfsen denkt daar anders over: ‘De overheid beschikt over een gigantische hoeveelheid data over ons allemaal. Hoeveel je verdient, je burgerservicenummer, je bankrekeningnummer en nog veel meer. Die gegevens moeten niet in verkeerde handen vallen. Als je die niet op eigen servers opslaat maar op die van een bedrijf, moet je zeker weten dat ze veilig zijn. Er hangt dus veel af van een goede uitwerking en naleving van dit cloudbeleid.’
Bescherming gegevens
Volgens de AP zijn in het cloudbeleid de privacyrisico’s onvoldoende in kaart gebracht. De AP vraagt de staatssecretaris vooral oog te hebben voor de risico’s van het opslaan van persoonsgegevens in landen buiten Europa, waar de AVG niet geldt.
Wanneer de overheid persoonsgegevens opslaat op servers van een bedrijf buiten de Europese Unie (EU), moet de overheid nagaan of de bescherming van persoonsgegevens ten minste op hetzelfde niveau ligt als binnen de EU. Dat is niet altijd het geval. Zo kunnen bijvoorbeeld Amerikaanse inlichtingendiensten persoonsgegevens van Nederlanders opvragen bij Amerikaanse bedrijven. Zelfs als de servers van die bedrijven in Europa staan. ‘Daardoor kunnen die diensten jou bijvoorbeeld onterecht in verband brengen met terrorisme of fraude, waardoor je de VS en andere landen niet meer binnenkomt’, zegt Wolfsen.
Opslag in Europa
De AP wijst de staatssecretaris erop dat opslag bij een Europees bedrijf qua privacy de beste keuze is. Omdat het overgrote deel van de veelgebruikte cloudaanbieders op dit moment Amerikaans is, zou de staatssecretaris ook Europese alternatieven moeten stimuleren, stelt de AP in de brief. Het beleid is nu te vrijblijvend, vindt Wolfsen: ‘Zo zijn zelfstandige bestuursorganen niet verplicht het beleid te volgen, terwijl instellingen als het UWV, het CBS en de Sociale Verzekeringsbank gevoelige persoonsgegevens van ons allemaal in hun systemen hebben staan.’