AP maakt zich zorgen over de continuïteit van vitale processen in Nederland

De privacywaakhond luidt in een brief aan de minister van Economische Zaken de alarmbel over de kwetsbaarheid van vitale processen in Nederland. Digitale afhankelijkheid is als politiek drukmiddel geen theoretisch scenario, waarschuwt de AP. Als daarvan gebruik wordt gemaakt en systemen uitvallen of verstoord worden kan dit leiden tot grootschalige maatschappelijke ontwrichting en persoonlijk leed, bijvoorbeeld wanneer uitkeringen niet meer kunnen worden uitbetaald.

Aanbevelingen

Om de risico’s te verminderen doet de AP meerdere aanbevelingen die snel moeten worden opgepakt. Ze adviseert onder meer om het EU Cloud Sovereignty Framework in de Algemene Rijksvoorwaarden bij IT-overeenkomsten (ARBIT) te betrekken, zodat leveranciers kunnen worden beoordeeld op digitale soevereiniteit en een minimumscore als kick-outcriterium kan worden ingevoerd. Daarnaast pleit de toezichthouder voor heldere exit-maatregelen in contracten, zodat overheden bij overnames of verplaatsing van hostinglocaties buiten de EER het contract kosteloos en onmiddellijk kunnen beëindigen en data veilig kunnen terughalen.

Verder roept de AP op tot structurele marktmonitoring en uitbreiding van ICT-risicomanagementcapaciteit binnen de overheid, een uniforme, centraal gecoördineerde aanpak van digitale soevereiniteit en gerichte investeringen in schaalbare Europese alternatieven , waaronder steun voor een Rijkscloud onder volledig Nederlands beheer en Europese wetgeving. De brief benadrukt dat veel aanbevelingen ook Europese aanpassingen vereisen, zoals aan aanbestedingsregels, en dat samenwerking binnen de EU noodzakelijk is.

Meedenken

De brief, verzonden op de Europese Dag van de Privacy, is gericht aan meerdere bestuurders en is openbaar gemaakt op de website van de AP. De toezichthouder biedt aan om actief mee te denken over praktische oplossingen die zowel continuïteit als AVG-compliance verbeteren.