Overslaan en naar de inhoud gaan
(advertentie)

Publieke sector mag Google Cloud gebruiken

Donkere wolken aan de horizon
Shutterstock

Google Cloud mag door de Nederlandse publieke sector worden gebruikt. Dat is de uitslag van een data protection impact assessment (DPIA) dat is uitgevoerd door Privacy Company in opdracht van de Nederlandse overheid. De uitspraak komt op een saillant moment, aangezien de data-uitwisselingsovereenkomst tussen de EU en de VS weer eens op de tocht staat en de herziening van het Rijksbrede cloudbeleid vandaag door de ministerraad is goedgekeurd.

Strategisch Leveranciersmanagement Rijk (SLM Rijk), dat namens de rijksoverheid  contractvoorwaarden bedingt, concludeert dat er geen bekende hoge privacyrisico’s overblijven als de aanbevolen maatregelen uit de DPIA worden toegepast. Volgens Google zijn alle belangrijke punten opgelost. Het is aan systeembeheerders van overheidsorganisaties om de maatregelen correct door te voeren. Er zijn nog wel enkele middelgrote en lage risico’s over, blijkt uit de DPIA, maar dat geldt ook voor bijvoorbeeld Microsoft Copilot en ook dat wordt ook ingezet door ministeries.

Volgens Google zijn alle belangrijke punten opgelost.

Sinds 2022 mogen de departementen onder voorwaarden onder meer publieke clouddiensten gebruiken. De Algemene Rekenkamer concludeerde in 2025 echter dat het Rijk onvoldoende grip heeft op het gebruik van de publieke cloud en laakte de afhankelijkheid van de Nederlandse overheid van Amerikaanse techbedrijven. Het Rijk is druk bezig om in ieder geval de meest cruciale data- en IT-systemen te kunnen onderbrengen in een soevereine overheidscloud.

Amerikaans-Europese data-uitwisseling op de tocht

De bekendmaking komt bovendien op een saillant moment. Maandag bepaalde het Amerikaanse hooggerechtshof dat onafhankelijke overheidsinstanties onder de uitvoerende macht vallen en dat de president Trump dus leden mag ontslaan, met uitzondering van de centrale bank, de Federale Reserve. De uitspraak betekent in de praktijk dat Amerikaanse toezichthouders niet onafhankelijk zijn.

Volgens de invloedrijke Oostenrijkse privacyorganisatie noyb (none of your business) is het EU-US Data Privacy Framework door deze uitspraak in elkaar gestort. Dat zit zo: de doorgifte van persoonsgegevens naar landen buiten de Europese Unie is alleen in bepaalde gevallen toegestaan. De Europese Commissie kan op basis van een adequaatheidsbesluit dat een land persoonsgegevens van Europeanen beschermt op een niveau dat vergelijkbaar is met de AVG.

Eén van de eisen die de EU stelt, is dat er een onafhankelijke toezichthouder is.

Het adequaatheidsbesluit geldt voor vijftien landen, waaronder de Verenigde Staten. Maar één van de eisen die de EU stelt, is dat er een onafhankelijke toezichthouder is. In de Verenigde Staten is dat de Federal Trade Commission (FTC). Maar de zaak bij het Hooggerechtshof draaide nu juist om het ontslag van een Democratisch lid van de FTC, die door Trump was weggestuurd omdat haar agenda niet strookte met die van de regering-Trump.

Als het EU-US Data Privacy Framework inderdaad niet meer geldt, dan staat het gebruik van alle Amerikaanse clouddiensten op losse schroeven. Het is aan de Europese Commissie om de geldigheid van het Framework opnieuw te beoordelen. Anders maakt noyb ongetwijfeld opnieuw de gang naar de rechter. Eerder slaagde de stichting erin om twee eerdere soortgelijke overeenkomsten, Safe Harbor en het Privacy Shield, door het Europees Hof van Justitie ongeldig te laten verklaren.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.

Hans Donkhorst (op pers. titel) | 3 juli 2026, 13:36

Apart om als overheid een rapport in het Engels te publiceren, zeker omdat verwarring over begrippen op de loer ligt. In het EU recht gaat - noodzaak - in relatie tot de overheid, over legaliteit en is dus geen onderdeel van proportionaliteit en subsidiariteit.
De tekst "However, the choice to use GCP-services to host Content Data will usually be secondary to the performance of public tasks by government organisations ... " (p117)
gaat mogelijk voorbij een de wettelijke verplichtingen ten aanzien van informatie. Verplichtingen die aansluiten bij de Bestuursrechtelijke (taak)opdrachten die voor de overheid de legaliteit vormen. Die aansluiting levert m.i. geen reden op om naar meer dan één grondslag op zoek te gaan, laat staan die als excuus te gebruiken.
Hetzelfde geldt voor het initiële (inhoudelijke / rechtmatige) gebruik en de verwerking die de functionele beschikbaarheid (account) ondersteunt. Die staan in de context van de beoordeling voor de overheid niet los van elkaar.
Rest de vraag en de beoordeling, of de overheid aan derden inzicht (welk en hoe diep) wil geven in het functioneren. De uitwisseling kan veel meer inzichten leveren dan vanuit de ambtenaar bedoeld is. Dat levert ook in andere (juridische) perspectieven risico's op die vanuit wettelijke verplichtingen inzichtelijk en beheerst / beheerd moeten worden

Melden als ongepast

Door u gemelde berichten worden door ons verwijderd indien ze niet voldoen aan onze gebruiksvoorwaarden.

Schrijvers van gemelde berichten zien niet wie de melding heeft gedaan.

(advertentie)

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in