Privacy-onderzoek bewijst: AWS-diensten veilig voor Nederlandse overheid
Amazon Web Services (AWS) is erin geslaagd om alle privacyrisico’s van drie belangrijke clouddiensten voor de Nederlandse rijksoverheid weg te nemen. Het onderzoek, een zogeheten DPIA, werd door Privacy Company verricht in opdracht van het strategisch leveranciersmanagement van de Rijksoverheid (SLM Rijk).
© AWS
AWS
AWS biedt veel verschillende clouddiensten, zowel infrastructuur en platform als software. De onderzoekers beoordeelden de risico's van het gebruik van Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) en Amazon Relational Database Service (Amazon RDS).
De voornaamste conclusie na het onderzoek is dat er geen bekende ‘hoge risico's’ meer zijn wanneer de Nederlandse overheidsorganisaties de aanbevolen mitigerende maatregelen van de onderzoekers opvolgen. AWS slaagde er eerder na onderhandelingen met SLM Rijk al in om zeven eerder geïdentificeerde hoge risico's voor gegevensbescherming te beperken.
Risico op doorgifte
De onderzoekers hebben een manier beschreven waarmee overheidsorganisaties het risico op doorgifte van gegevens naar de Verenigde Staten kunnen beperken. Dit kan door speciale of zeer gevoelige persoonsgegevens te versleutelen met een zelfbeheerde sleutel, in combinatie met het pseudonimiseren van accountgegevens van de beheerder.
Voor negen andere, kleinere risico’s hebben de onderzoekers van Privacy Company eveneens risicobeperkende maatregelen beschreven. Het gaat onder meer om het pseudonimiseren van beheerderaccounts, waarschuwingen die duidelijk maken dat alleen supportmedewerkers uit Europa mogen reageren op verzoeken en een advies aan medewerkers om geen persoonsgegevens te uploaden in support-tickets.
Eerdere kritiek
In september 2022 nam de regering het besluit om commerciële clouds voor overheidsgebruik toe te staan, onder strikte voorwaarden. Deskundigen uitten daarop forse kritiek en spraken in de Volkskrant nog van naïviteit. "Onze overheid moet haar kostbare data niet klakkeloos uitleveren aan Google en Amazon." Met de voorgestelde maatregelen lijkt er volgens de DPIA nu toch een mogelijkheid om de clouddiensten veilig te gebruiken.
Eerdere DPIA's in opdracht van de rijksoverheid hebben voor diverse verbeteringen gezorgd. Onder meer Zoom paste voorwaarden aan na kritiek vanuit Nederland. Ook Google beloofde risico's weg te nemen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee