EDPB geeft overheden aanbevelingen bij gebruik clouddiensten

Aanbevelingen EDPB bij gebruik clouddiensten door overheden


Op 17 januari jl. heeft de European Data Protection Board (EDPB), het Europese samenwerkingsorgaan van de privacytoezichthouders, haar aanbevelingen gepubliceerd voor overheidsinstellingen die bij de verwerking van persoonsgegevens gebruik maken van cloudgebaseerde diensten. Om deze aanbevelingen navolging te kunnen geven zal er bij het contracteren met clouddienstverleners steeds meer maatwerk nodig zijn.

Aanbevelingen EDPD als resultaat van eerder onderzoek

In haar rapport noemt de EDPD 13 aanbevelingen die voortkomen uit een onderzoek dat in 2022 is uitgevoerd en waaraan 22 nationale toezichthoudende autoriteiten in de hele EER hebben deelgenomen. Ook de Nederlands Autoriteit Persoonsgegevens (AP) en de Belgische Gegevensbeschermingsautoriteit (GBA) namen deel aan dit project. In februari 2022 heb ik hierover een artikel gepubliceerd.

Aanleiding voor dit onderzoek was dat overheidsinstanties moeilijkheden kunnen ondervinden bij het verkrijgen van informatie- en communicatietechnologie producten die beantwoorden aan de gegevensbeschermingsregels van de EU. Door middel van gecoördineerde richtsnoeren en activiteiten willen de toezichthoudende autoriteiten best practices bevorderen en daarmee de passende bescherming van persoonsgegevens verzekeren.

Dertien aanbevelingen bij contracteren met Clouddienstverleners

De 13 aanbevelingen die de EDPB in haar rapport noemt zijn:

1. Voer een DPIA uit;

2. Zorg ervoor dat de rollen van alle betrokken partijen duidelijk en ondubbelzinnig zijn vastgesteld;

3. Ervoor zorgen dat de Clouddienstverlener alleen handelt namens de verwerkingsverantwoordelijke en dit doet volgens gedocumenteerde instructies. Benoem daarbij elke mogelijke verwerking door de Clouddienstverlener;

4. Ervoor zorgen dat er bezwaar gemaakt kan worden tegen nieuwe subverwerkers;

5. Ervoor zorgen dat de verwerking van de persoonsgegevens in relatie staat tot de doeleinden waarvoor zij worden verwerkt;

6. De betrokkenheid van de Functionaris Gegevensbescherming bevorderen;

7. Samenwerken met andere overheidsinstanties bij de onderhandelingen met de Cloud aanbieders;

8. Een evaluatie uitvoeren om te beoordelen of de verwerking wordt uitgevoerd in overeenstemming met de DPIA;

9. Ervoor zorgen dat de aanbestedingsprocedure voorziet in alle noodzakelijke vereisten om In overeenstemming met de AVG te zijn;

10. Nagaan welke overdrachten er kunnen plaatsvinden binnen de standaard dienstverlening van de Clouddienstverlener en in geval van verwerking van persoonsgegevens voor de eigen doeleinden van de Clouddienstverlener, ervoor zorgen dat aan de bepalingen van hoofdstuk V van de AVG wordt voldaan. Zo nodig dienen hierbij aanvullende maatregelen te worden genomen;

11. Analyseren of de wetgeving van een derde land van toepassing is op de Clouddienstverlener. Kan dit leiden tot het verzoek om toegang tot door de Clouddienstverlener in de EU opgeslagen gegevens?

12. Het contract nauwkeurig onderzoeken en het zo nodig opnieuw uitonderhandelen;

13. Nagaan onder welke voorwaarden de overheidsinstantie mag en kan meewerken aan audits en ervoor zorgen dat deze audits worden benoemd.

DPIA en DTIA

Kort samengevat zie je dat het er vooral om gaat dat je als overheidsorganisatie de privacyrisico’s goed in kaart brengt voordat je clouddiensten afneemt. Een geëigend middel daarvoor is de data protection impact assessment (DPIA). Een andere belangrijke aanbeveling van de EDPB heeft betrekking op de toegang tot de persoonsdata als die zijn opgeslagen bij een clouddienstverlener van buiten de Europese Unie. Als je als overheidsorganisatie persoonsgegevens laat verwerken door een clouddienst buiten de EU dan moet je nagaan of de bescherming van persoonsgegevens op (ten minste) het niveau ligt als binnen de EU. Daarvoor is de Data Transfer Impact Assessment (DTIA) een goed hulpmiddel.

In order to ensure a GDPR compliant implementation of cloud services, public bodies should take their responsibilities to assess and where necessary renegotiate cloud contracts, with close involvement of the DPO.

Hoofdstuk 6. Conclusion EDPB

Maatwerk

De AP heeft het uitbrengen van dit onderzoek door de EDPB op haar site gepubliceerd als persbericht. In dit persbericht wordt verder geconcludeerd dat overheidsinstellingen technische en organisatorische maatregelen dienen te nemen om de risico’s zoveel mogelijk te beperken. Dit kan onder meer door specifieke afspraken te maken in de overeenkomst met de clouddienstverleners. Daarbij zullen de afspraken ook periodiek gecontroleerd moeten worden om te beoordelen of clouddiensten zich houden aan deze overeenkomsten. 

Om dit in de praktijk te kunnen realiseren zal er bij het contracteren met clouddienstverleners steeds meer maatwerk nodig zijn.

Meer weten?

Heb je vragen over contracteren met Clouddienstverleners of over privacyvragen, neemt dan gerust contact op of lees andere artikelen over dit onderwerp.