Vanaf vandaag onderzoeken tientallen toezichthoudende autoriteiten uit Europa het gebruik van cloudgebaseerde overheidsdiensten. Het initiatief komt voort uit een handhavingsactie van het Europees comité voor gegevensbescherming, een onafhankelijk Europees orgaan dat is samengesteld uit vertegenwoordigers van de nationale gegevensbeschermingsautoriteiten van de EU.
Zij namen in het najaar van 2020 het besluit om een gecoördineerd handhavingskader op te zetten. De komende maanden zullen hierdoor 22 nationale toezichthoudende autoriteiten uit de Europese Economische Ruimte (EER) – alle EU-landen plus Liechtenstein, Noorwegen en IJsland – onderzoek verrichten naar cloudgebruik door de overheid. Ook de Belgische GBA (Gegevensbeschermingsautoriteit) neemt deel aan dit project.
De initiatiefnemers halen een onderzoek van EuroStat aan dat stelt dat het gebruik van de cloud door ondernemingen in de EU de afgelopen zes jaar is verdubbeld. ‘De pandemie is de aanleiding geweest voor een digitale transformatie van organisaties, waarbij veel overheidsorganisaties hun toevlucht nemen tot cloudtechnologie’, klinkt het. Maar door deze evolutie kunnen, volgens de EU-autoriteiten, overheidsinstanties op nationaal en EU-niveau moeilijkheden ondervinden bij het verkrijgen van ict-producten die beantwoorden aan de gegevensbeschermingsregels van de EU.
Door middel van deze gecoördineerde actie willen de toezichthoudende autoriteiten ‘beste praktijken’ bevorderen en aldus de passende bescherming van persoonsgegevens verzekeren.
Tachtig instanties
In totaal zullen meer dan tachtig overheidsinstanties in de EER worden aangesproken, waaronder EU-instellingen, die een brede waaier aan sectoren bestrijken (zoals gezondheidszorg, financiën, belastingen, onderwijs, centrale inkopers of leveranciers van it-diensten). De toezichthoudende autoriteiten zullen met name de uitdagingen van overheidsinstanties in verband met de naleving van de GDPR onderzoeken wanneer zij cloudgebaseerde diensten gebruiken.
De GBA heeft besloten om in eerste instantie een feitenonderzoek in te stellen door de vragenlijst naar twee soorten instanties te sturen. Enerzijds gaat die naar twee belangrijke ict-dienstverleners voor overheidsinstanties. Daarnaast zal de vragenlijst naar vijf overheidsinstanties worden gestuurd die grote hoeveelheden gezondheidsgegevens verwerken en die een cruciale rol hebben gespeeld in de context van de coronacrisis.
Timing
De resultaten zullen, volgens de GBA, op gecoördineerde wijze worden geanalyseerd. Waarna de toezichthoudende autoriteiten zullen beslissen over eventuele verdere nationale toezichts- en handhavingsactiviteiten.
Ook zullen de resultaten worden samengevoegd, zodat een gerichte follow-up op EU-niveau moet mogelijk zijn. Tegen het einde van 2022 wordt een verslag over het resultaat van deze analyse verwacht.
