De Autoriteit Persoonsgegevens (AP) heeft forse kritiek op het nieuwe cloudbeleid van het kabinet. Volgens de privacytoezichthouder is daarin onvoldoende vastgelegd dat data van Nederlandse burgers moeten voldoen aan de privacyregels. De zorgen zijn geuit in een brief aan Van Huffelen, staatssecretaris voor Digitalisering.
‘Het kabinet wil overheidsdata voortaan kunnen opslaan bij commerciële clouddiensten. Dit brengt grote privacyrisico’s met zich mee en daar moet het kabinet mee aan de slag in de verdere uitwerking van het beleid’, schrijft de AP in die brief. De AP heeft haar adviezen ook in een gesprek met Van Huffelen overgebracht. ‘Zij heeft aangegeven de adviezen van de AP ter harte te nemen.’
Eind augustus presenteerde de staatssecretaris nieuw cloudbeleid. Daarmee wil zij bevorderen dat overheidsinstanties gebruik mogen maken van commerciële clouddiensten. En dus informatie over Nederlanders mogen opslaan op servers van bijvoorbeeld Amerikaanse bedrijven als Amazon, Google of Microsoft. Nu mag dat niet, stelt de staatssecretaris.
Privacyrisico’s
Volgens AP zijn in het cloudbeleid de privacyrisico’s onvoldoende in kaart gebracht. ‘De overheid beschikt over een gigantische hoeveelheid data over ons allemaal’, zegt AP-voorzitter Aleid Wolfsen. ‘Hoeveel jij verdient, je burgerservicenummer, je bankrekeningnummer en nog veel meer. Die gegevens moeten niet in verkeerde handen vallen. Als je die niet op eigen servers opslaat, maar op die van een bedrijf, moet je zeker weten dat ze veilig zijn. Er hangt dus veel af van een goede uitwerking en naleving van dit cloudbeleid. Daar maak ik me zorgen over.’
De AP vindt dat privacy leidend moet zijn bij de vraag of je informatie over burgers mag opslaan bij een bedrijf. ‘Als je niet goed onderzoekt welke risico’s er zijn, kun je ook geen maatregelen nemen om die risico’s te weg te nemen’, aldus Wolfsen.
Beperk risico’s opslag buiten Europa
De toezichthouder vraagt de staatssecretaris met name oog te hebben voor de risico’s van het opslaan van persoonsgegevens in landen buiten Europa, waar de privacywet Algemene verordening Gegevensbescherming (AVG) niet geldt.
Wanneer de overheid persoonsgegevens opslaat op servers van een bedrijf buiten de EU, dan moet de overheid nagaan of de bescherming van persoonsgegevens ten minste op hetzelfde niveau ligt als binnen de EU. Dat is volgens de AP niet altijd het geval. ‘Zo kunnen bijvoorbeeld Amerikaanse inlichtingendiensten persoonsgegevens van Nederlanders opvragen bij Amerikaanse bedrijven. Zelfs als de servers van die bedrijven in Europa staan. Daardoor kunnen die diensten jou bijvoorbeeld onterecht in verband brengen met terrorisme of fraude, waardoor je de VS en andere landen niet meer binnenkomt.’
Europees Alternatief
Bij cloud-aanbieders uit landen waar persoonsgegevens minder goed worden beschermd, zoals de VS, moet de overheid van tevoren goed de risico’s in kaart brengen, en maatregelen nemen om te zorgen dat die gegevens veilig zijn. De AP wijst de staatssecretaris erop dat opslag bij een Europees bedrijf qua privacy de beste keuze is.
Omdat het overgrote deel van de veelgebruikte cloud-aanbieders op dit moment Amerikaans is, zou de staatssecretaris ook Europese alternatieven moeten stimuleren, stelt de AP in de brief.
Tot slot is het beleid volgens AP nu te vrijblijvend. ‘Zo zijn zelfstandige bestuursorganen niet verplicht het beleid te volgen. Terwijl instellingen als het UWV, het CBS en de Sociale Verzekeringsbank gevoelige persoonsgegevens van ons allemaal in hun systemen hebben staan’, waarschuwt Wolfsen.
Ik vind dit te simpel. Of gegevens in een commerciële cloud staan of op eigen hardware zegt niets, maar dan ook niets over de privacy. Als je een transitie maakt van een eigen “gammele” informatievoorziening naar een cloudplatform, kan dat in voorkomende gevallen zelfs heel verstandig zijn vanuit een privacy perspectief. Maar ongetwijfeld bedoelt Wolfsen dat je de risico’s goed in kaart moet hebben. En daar heeft hij wel een punt.
De “gammele” informatievoorziening mist vaak nog zoiets als een aansluiting op het datamanagement doordat dit uitbesteed is. Looijen of klooien gaat het niet om de Europese of Amerikaanse cloud maar het data stewardship want lang leve de mistige wolken van de cloud krijg je een verspreiding van de informatie met een groeiende onduidelijkheid over wie nu precies waarvoor verantwoordelijk is. En dit geldt zeker voor het verzamelen van allerlei gevoelige of bijzondere persoonsgegevens vanuit een proces om deze met een geheel ander doel te gebruiken voor een ander proces via de informatievoorziening op basis van een SOA architectuur.
Wolfsen waarschuwt voor dAmerikaanse (commerciële) cloud providers maar het zijn keer op keer zelfstandige bestuursorganen die zich schuldig maken aan wetsovertredingen aangaande het recht op inzage, correctie en verwijdering. Dat de Amerikaanse inlichtingendiensten persoonsgegevens van Nederlanders op kunnen vragen bij Amerikaanse bedrijven lijkt me dus minder impact te hebben op de privacy dan het opvragen door onze eigen overheid. Tenslotte hebben we het niet over de gestructureerde registers maar de ongestructureerde fileshares welke met de moderne datasythese van het koppelen van informatie op basis van één van de vele technische ID’s ontsloten worden binnen het digitaal dossiergericht werken.
Want hoeveel van deze ongestructureerde fileshares vallen buiten het toezicht van de organisaties door zoiets als Shadow IT?