Advertentie
Foto: 30daysreplay/Unsplash

Publieke clouddiensten niet langer taboe voor overheden

Onder strikte voorwaarden mogen overheidsdiensten voortaan gebruik maken van commerciële clouddiensten. Zo moet de privacy gewaarborgd zijn en mogen staatsgeheimen niet in deze ‘cloud’ worden opgeslagen. Dat schrijft staatssecretaris Alexandra van Huffelen (Digitalisering) aan de Tweede Kamer.  

Tot nu toe mochten overheidsinstanties alleen eigen clouddiensten gebruiken, maar de voordelen van commerciële diensten zijn evident, schrijft staatssecretaris Van Huffelen aan de Tweede Kamer. ‘Voor veel mensen en bedrijven is de cloud al een vertrouwd gegeven. De overheid heeft daar bewust mee gewacht. Anders dan een paar jaar geleden winnen de voordelen het nu van de risico’s. Dat neemt niet weg dat we nog steeds strikte voorwaarden stellen, met name op het gebied van beveiliging en privacy.’ 

Wat verstaan we eigenlijk onder 'de cloud'?
Werken in de cloud betekent zoveel als werken en bestanden opslaan in een digitale omgeving. Informatie die je opslaat in de cloud, zoals bestanden of programma's, zijn zo toegankelijk via elke telefoon of computer met een internetverbinding. Het opslaan van bestanden is veruit de meest gebruikte toepassing van deze digitale omgeving, maar er zijn ook andere functies mogelijk. 

Voordat data in een commerciële cloud mag worden opgeslagen, moet een uitgebreide risico-analyse zijn gemaakt. Zo moet duidelijk zijn dat de cloudbeheerder niet uit een land komt met een actief cyberprogramma dat gericht is tegen Nederlandse belangen. Ook moet er een exit-strategie zijn, waarin is opgenomen hoe de data wordt overgedragen naar een andere cloud en hoe de leverancier de data vernietigt. De clouddiensten moeten hoe dan ook voldoen aan de gangbare veiligheidsmaatregelen. 

Verder zijn er strenge voorwaarden voor het opslaan van persoonsgegevens. ‘Voor gegevens uit de basisregistratiepersoonsgegevens en bijzondere persoonsgegevens geldt het principe nee, tenzij.’ Onder die tenzij valt onder meer de eis dat de data opgeslagen wordt in de Europese Economische Ruimte (EER) en dat de opslag voldoet aan de AVG. Overheden moeten sowieso opslag van persoonsgegevens in een commerciële cloud melden en verklaren aan de staatssecretaris. 

AVG-discussie 

Het beleid richt zich voornamelijk op Rijksdiensten, blijkt uit de brief. Het ministerie van Defensie is uitgesloten van deze nieuwe beleidslijn. Die mag onder geen enkele voorwaarde data in een commerciële cloud opslaan.  

De brief gaat niet in op de discussie in de Europe Unie over het gebruik van diensten uit de Verenigde Staten. Twee jaar geleden verklaarden Europese rechters het zogeheten Privacy Shield ongeldig. Met die uitspraak kwam de overeenkomst tussen de VS en de EU over de AVG te vervallen. Daardoor kunnen persoonsgegevens niet langer op servers van Amerikaanse bedrijven, zoals Google of Microsoft, worden geplaatst.  

Dit bericht delen via:

Gerelateerde artikelen