Europees onderzoek naar gebruik clouddiensten door overheidsinstellingen
Op 15 februari jl. heeft de European Data Protection Board (EDPB), het Europese samenwerkingsorgaan van de privacytoezichthouders, een persbericht uitgestuurd over een onderzoek dat de Privacytoezichthouders in heel Europa starten naar het gebruik van clouddiensten door de landelijke overheden.
Cloudgebaseerde overheidsdiensten
22 nationale toezichthoudende autoriteiten in de hele EER gaan de komende maanden onderzoeken starten naar het gebruik van cloudgebaseerde overheidsdiensten. Ook de Nederlands Autoriteit Persoonsgegevens (AP) en de Belgische Gegevensbeschermingsautoriteit (GBA) neemt deel aan dit project, zo laten zij in hun persberichten weten. Op basis van de uitkomsten van dit onderzoek kunnen de toezichthouders achterhalen waar de grootste privacyproblemen zitten bij het gebruik van clouddiensten door overheden.
Gecoördineerd handhavingskader
Deze Europese actie is het gevolg van het besluit van de EDPB om een “Coordinated Enforcement Framework” (CEF) op te zetten. In totaal zullen meer dan 80 overheidsinstanties in de EER worden onderzocht. Dit zal op nationaal niveau ten uitvoer worden gelegd door middel van het:
– uitvoeren van Feitenonderzoek;
– laten invullen van een vragenlijst om na te gaan of een formeel onderzoek geboden is;
– instellen van een formeel onderzoek;
– uitvoeren van follow-up van lopende formele onderzoeken.
De toezichthoudende autoriteiten zullen met name de uitdagingen van overheidsinstanties in verband met de naleving van de AVG onderzoeken wanneer zij cloudgebaseerde diensten gebruiken. Dit met inbegrip van het proces en de waarborgen die worden ingesteld wanneer zij clouddiensten inzetten. Daarbij wordt gelet op de uitdagingen in verband met internationale doorgiften en bepalingen die de relatie verwerkingsverantwoordelijke-verwerker regelen.
Clouddiensten en digitale transformatie
Volgens gegevens van EuroStat is het gebruik van “de cloud” door ondernemingen in de EU de afgelopen 6 jaar verdubbeld. De COVID-19-pandemie is de aanleiding geweest voor een digitale transformatie van organisaties. Hierbij hebben veel overheidsorganisaties gekozen voor de inzet van cloudtechnologie.
Overheidsinstanties kunnen moeilijkheden ondervinden bij het verkrijgen van informatie- en communicatietechnologieproducten die beantwoorden aan de gegevensbeschermingsregels van de EU. Door middel van gecoördineerde richtsnoeren en activiteiten willen de toezichthoudende autoriteiten best practices bevorderen en daarmee de passende bescherming van persoonsgegevens verzekeren.
In haar persbericht geeft de AP hierover aan dat toezichthouders vaak signalen krijgen dat clouddiensten niet aan de privacywet voldoen. Veel clouddiensten sturen bijvoorbeeld data door naar landen waar persoonsgegevens onvoldoende beschermd worden, zoals de Verenigde Staten. Op grond van Amerikaanse wetgeving hebben de inlichtingen- en veiligheidsdiensten daar het recht om gegevens van EU-burgers in te zien en te gebruiken. Tegelijkertijd horen toezichthouders dat organisaties vaak weinig macht hebben in de onderhandelingen met de grote clouddienstverleners. Het afdwingen van een goede bescherming van de gegevens die zij aan de clouddiensten toevertrouwen kan complex zijn, zo geeft de AP aan.
Aanpak
De Nederlandse AP stuurt een vragenlijst naar de organisaties die namens de Rijksoverheid afspraken maken met de grootste clouddienstverleners.
De Belgische GBA heeft besloten om in eerste instantie een feitenonderzoek in te stellen door de vragenlijst naar twee soorten instanties te sturen. De vragenlijst wordt naar de twee belangrijke ICT-dienstverleners voor overheidsinstanties worden gestuurd. De vragenlijst zal bovendien naar vijf overheidsinstanties worden gestuurd die grote hoeveelheden gezondheidsgegevens verwerken en die een cruciale rol hebben gespeeld in de context van de COVID-19-pandemie.
Resultaten worden eind 2022 verwacht
De resultaten zullen worden geanalyseerd en de toezichthoudende autoriteiten zullen beslissen over eventuele verdere nationale toezichts- en handhavingsactiviteiten. Tevens zullen de resultaten worden geaggregeerd, zodat er een beter inzicht in het onderwerp wordt verkregen. Hierdoor wordt een gerichte follow-up op EU-niveau mogelijk. De EDPB zal voor het einde van 2022 een verslag over het resultaat van deze analyse publiceren.