Privatim richt zijn pijlen in de resolutie specifiek op grote internationale aanbieders van Software-as-a-Service, zoals Microsoft, Google en andere hyperscalers. Volgens de organisatie brengen dergelijke platforms fundamentele risico’s met zich mee voor databescherming, transparantie en rechtszekerheid. Het wijzen op risico’s met Amerikaanse cloudproviders zijn voor Europese privacyorganisaties niet nieuw, maar een duidelijke rode lijn wordt niet vaak getrokken.
Er zijn volgens de organisatie vijf cruciale redenen op waarom deze uitbesteding niet mag plaatsvinden. Zo ontbreekt het bij de meeste SaaS-oplossingen nog altijd aan echte end-to-end-versleuteling, waardoor aanbieders theoretisch toegang kunnen krijgen tot gegevens in leesbare vorm. Ook zouden internationale cloudbedrijven te weinig inzicht bieden in hun beveiligingsmaatregelen, interne processen en ketens van onderaannemers, waardoor controle door de overheid onmogelijk wordt.
Zwitserse privacytoezichthouders willen Amerikaanse cloudproviders bij overheid weren
Het is volgens Zwitserse privacytoezichters ‘juridisch ontoelaatbaar’ dat de overheid de verwerking van bijzondere persoonsgegevens of geheimhoudingsplichtige gegevens uitbesteed aan niet-Europese Cloudproviders. Dat schrijft de organisatie voor Zwitserse privacytoezichthouders in een resolutie gericht aan de Zwitserse overheid.
Gegevens onder wettelijke geheimhouding
Daarnaast waarschuwt Privatim voor een verregaand verlies van controle zodra gegevens buiten het eigen beheersdomein worden geplaatst. Voor gegevens onder wettelijke geheimhouding, zoals bij justitie, politie, gezondheidszorg of sociale diensten, bestaat bovendien aanzienlijke juridische onzekerheid over of uitbesteding überhaupt is toegestaan.
Een extra complicatie is de Amerikaanse CLOUD Act, die Amerikaanse providers verplicht kanen gegevens aan Amerikaanse autoriteiten te overhandigen, zelfs wanneer ze in Zwitserland worden gehost. Privatim concludeert dat gebruik van dergelijke internationale SaaS-platforms door de overheid alleen denkbaar is als de overheid de gegevens zelf zodanig versleutelt dat de aanbieder nooit toegang kan krijgen: een situatie die in de praktijk zelden haalbaar is.
Situatie in Nederland
In Nederland zijn er door de AP wel risico’s geconstateerd bij het opslaan van persoonsgegevens in landen buiten Europa, waar privacywet Algemene verordening gegevensbescherming (AVG) niet geldt. Een dergelijke ‘rode lijn’ zoals in Zwitserland werd toen nog niet getrokken. Omdat het overgrote deel van de veelgebruikte cloudaanbieders Amerikaans is, zou de staatssecretaris ook Europese alternatieven moeten stimuleren, zo stelde de AP in 2022 in een brief aan het kabinet.
De privacywaakhond stelde dat wanneer de overheid persoonsgegevens opslaat op servers van een bedrijf buiten de Europese Unie (EU), de overheid moet nagaan of de bescherming van persoonsgegevens ten minste op hetzelfde niveau ligt als binnen de EU. ‘Bij cloudaanbieders uit landen waar persoonsgegevens minder goed worden beschermd, zoals de VS, moet de overheid van tevoren goed de risico’s in kaart brengen, en maatregelen nemen om te zorgen dat die gegevens veilig zijn.’
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.