Hoge privacyrisico’s cloudgebruik AWS opgelost

Na onderzoek naar de privacyrisico’s van drie clouddiensten van Amazon Web Services veilig gebruikt kunnen worden door de Nederlandse overheid. Zeven eerder geconstateerde hoge privacyrisico’s zijn opgelost. Wel zijn er nog steeds negen lage risico’s voor datagebruik.

Privacy Company deed het onderzoek naar de privacyrisico’s in opdracht van strategisch leveranciersmanagement voor Microsoft, Google en Amazon Web Services van de Rijksoverheid, beter bekend als SLM Rijk. AWS heeft de nodige organisatorische en contractuele maatregelen genomen om 7 eerder geïdentificeerde hoge risico’s voor gegevensbescherming te beperken. De uitkomsten zijn vastgelegd in deze Data Protection Impact Assessment (DPIA).

Negen lage risico’s voor datagebruik

Wel zijn er nog steeds negen andere risico’s voor datagebruik, maar die schat Privacy Company in als laag. Zo kunnen betrokkenen geen inzage krijgen in bepaalde gegevens en is er een risico op het ‘verlies van controle over cookies en websitetelemetrie bij AWS-websites met beperkte toegang’. SLM Rijk blijft audits uitvoeren op de naleving van doelgebruik van data, gegevensminimalisatie en bewaartermijnen. Overheden kunnen de dienst gebruiken, ondanks die risico’s. Er worden diverse adviezen gegeven die ze kunnen treffen om deze risico’s te vermijden.

Datatransfers naar Verenigde Staten

Privacy Company heeft ook een data transfer impact assessment (DTIA) uitgevoerd. Bij het gebruik van AWS cloudservices bestaat een risico dat data doorgestuurd worden naar de Verenigde Staten. Deze risico’s kunnen worden vermeden door gevoelige persoonsgegevens te versleutelen en accountgegevens van beheerders te pseudonimiseren.