Ook AP kritisch op cloudstrategie van Nederlandse overheid
Eerder hebben technische en juridische experts al tegenover AG Connect verklaard dat het toestaan van commerciële clouds bij de overheid géén goed idee is. Daarna hebben twee hoogleraren in een eigen betoog gehakt gemaakt van de nieuwe cloudkoers van het kabinet. Apache-grondlegger Dirk-Willem van Gulik en hoogleraar ICT & Recht Frederik Zuiderveen Borgesius van de Radboud Universiteit zagen al diverse risico’s ontstaan na het besluit om commerciële cloudaanbieders te omarmen voor breed overheidsgebruik. Hoogleraren Bart Jacobs en José van Dijck gingen er met gestrekt been in: zij noemden het beleid onvoorzichtig, slecht getimed, kritische rapporten negerend, en naïef.
Zorgen over uitwerking en naleving
De Autoriteit Persoonsgegevens (AP) gaat niet zo ver, maar uit wel flinke zorgen. "Het kabinet wil overheidsdata voortaan kunnen opslaan bij commerciële clouddiensten. Dit brengt grote privacyrisico’s met zich mee en daar moet het kabinet mee aan de slag in de verdere uitwerking van het beleid", aldus de boodschap in een brief aan Van Huffelen. De toezichthouder heeft haar adviezen op dit gebied ook overgebracht in een gesprek met de bewindsvrouw. Zij heeft aangegeven de adviezen van de AP ter harte te nemen, meldt de AP zelf.
Voorzitter Aleid Wolfsen van de Nederlandse privacywaakhond schetst de enorme impact van de nieuwe cloudkoers. "De overheid beschikt over een gigantische hoeveelheid data over ons allemaal. Hoeveel jij verdient, je burgerservicenummer, je bankrekeningnummer en nog veel meer. Die gegevens moeten niet in verkeerde handen vallen." Het opslaan van zulke gevoelige gegevens op servers die niet in eigen bezit, in eigen beheer of zelfs op eigen grondgebied zijn, kan een punt van grote zorg zijn. Wolfsen verklaart dat je dan zeker moet weten dat die data veilig zijn. "Er hangt dus veel af van een goede uitwerking en naleving van dit cloudbeleid. Daar maak ik me zorgen over."
Níet goed geregeld
Zoals het er nu voor staat, zijn bepaalde cruciale zaken níet goed geregeld, oordeelt de AP. De privacyrisico's in het cloudbeleid zijn onvoldoende in kaart gebracht, aldus de AP. "Dat is stap één. Privacy moet leidend zijn bij de vraag of je informatie over burgers mag opslaan bij een bedrijf", zegt Wolfsen. "Als je niet goed onderzoekt welke risico’s er zijn, kun je ook geen maatregelen nemen om die risico’s te weg te nemen."
Waar de AP zich ook zorgen over maakt, zijn de risico's bij het opslaan van persoonsgegevens in landen buiten Europa. "Waar privacywet Algemene verordening gegevensbescherming (AVG) niet geldt", stelt de Nederlandse toezichthouder. Strikt genomen kan de AVG wel degelijk van toepassing zijn omdat het immers data van EU-burgers betreft. "Wanneer de overheid persoonsgegevens opslaat op servers van een bedrijf buiten de Europese Unie (EU), moet de overheid nagaan of de bescherming van persoonsgegevens ten minste op hetzelfde niveau ligt als binnen de EU. Dat is niet altijd het geval."
China, maar ook VS
Het gaat hierbij niet alleen om landen met sterk afwijkende wet- en regelgeving of met andere, minder democratische bestuursvormen. De AP wijst erop dat Amerikaanse inlichtingendiensten persoonsgegevens van Nederlanders kunnen opvragen bij Amerikaanse bedrijven. Dit opvraagrecht geldt volgens de Amerikaanse wet zelfs als de servers van die bedrijven in Europa staan. "Daardoor kunnen die diensten jou bijvoorbeeld onterecht in verband brengen met terrorisme of fraude, waardoor je de VS en andere landen niet meer binnenkomt", zegt Wolfsen.
Dus dringt de AP er nu bij het kabinet op aan dat het van tevoren goed moet kijken en handelen bij cloudaanbieders uit landen waar persoonsgegevens minder goed worden beschermd, zoals de VS. De risico’s moeten vooraf in kaart worden gebracht waarna de overheid maatregelen moet nemen om te zorgen dat die gegevens dan toch veilig zijn. Hierbij wijst de AP de staatssecretaris erop dat opslag bij een Europees bedrijf qua privacy de beste keuze is. Het leeuwendeel van de huidige cloudmarkt bestaat echter uit aanbieders van Amerikaanse herkomst. Daarom zou de staatssecretaris ook Europese alternatieven moeten stimuleren, stelt de AP in de brief.
Beleid ook te vrijblijvend
Een laatste kritiekpunt dat de privacytoezichthouder heeft op de nieuwe cloudkoers van de overheid is dat het te vrijblijvend is zoals het er nu ligt. Zelfstandige bestuursorganen zijn bijvoorbeeld niet verplicht om het beleid te volgen. "Terwijl instellingen als het UWV, het CBS en de Sociale Verzekeringsbank gevoelige persoonsgegevens van ons allemaal in hun systemen hebben staan", aldus Wolfsen.
Vanuit branche-organisatie DINL (Stichting Digitale Infrastructuur Nederland) heeft AG Connect eind september nog een uitgebreide reactie gekregen op het toen recente afkraken van de nieuwe Nederlandse cloudkoers. Directeur en spreekbuis Michiel Steltman stelde in zijn repliek op de kritiek dat het cloudbeleid van Van Huffelen juist noodzakelijk is voor het verbeteren van soevereiniteit en het beschermen van data. De zorgen van de hoogleraren volgens hem op het eerste gezicht begrijpelijk. "Maar hun conclusies getuigen van weinig kennis over het onderwerp cloud en zijn gebaseerd op een bekende, onjuiste aanname: met IT in eigen beheer behoud je controle, met clouddiensten geef je de regie volledig uit handen. De realiteit is veel genuanceerder."
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee