Overheidsinstellingen moeten de privacyrisico’s goed in kaart brengen voordat ze in zee gaan met een clouddienst. Dat moet met een zogeheten gegevensbeschermingseffectbeoordeling, waarbij overheden technische en organisatorische maatregelen nemen om de risico’s zoveel mogelijk te beperken. Onder meer door specifieke afspraken te maken in het contract dat ze sluiten met de clouddienst.
Europese privacy-toezichthouders wijzen overheden op deze vereisten bij het gebruik van clouddiensten. Ze hebben een lijst met aanbevelingen opgesteld voor overheidsinstellingen die persoonsgegevens van burgers opslaan in de cloud. Deze lijst met dertien aanbevelingen staat in een rapport over een gezamenlijke actie van de European Data Protection Board (EDPB), het samenwerkingsverband van de Autoriteit Persoonsgegevens (AP) en de andere privacytoezichthouders in Europa.
Volgens hen moeten overheidsinstellingen ook periodiek controleren of clouddiensten zich houden aan deze afspraken. In de praktijk betekent dit dat er maatwerk nodig is. Overheden moeten niet zomaar akkoord gaan met het standaardcontract dat de clouddienst aanbiedt.
Leren
De AP concludeert dat veel andere landen kunnen leren van de Nederlandse overheid. Veel overheidsinstellingen voeren een gedegen gegevensbeschermingseffectbeoordeling uit bij clouddiensten. Maar er is bij het cloudgebruik ook wel wat te verbeteren. De AP gaf daarom alle Nederlandse ministeries in een brief drie opdrachten mee.
Zo vindt de AP dat de minister moet beseffen zelf verantwoordelijk te zijn voor de inkoop van clouddiensten, en deze verantwoordelijkheid niet bij de gezamenlijke inkooporganisatie leggen. Daarbij moeten de ministeries de manier waarop privacy wordt meegenomen in het inkoopproces uniformeren. Tot slot moet de minister onderzoeken op welke plekken nog meer gezamenlijke inkoop kan plaatsvinden.
De AP wijst erop dat in een zo vroeg mogelijk stadium rekening wordt gehouden met de privacyaspecten van een gegevensverwerking. Voor overheden die clouddiensten willen afnemen is het daarom van belang dat zij eerst de risico’s in kaart brengen en de benodigde maatregelen treffen.
De strategisch leveranciers management (slm)-functie kan een belangrijke rol spelen om daar in een vroegtijdig stadium aan bij te dragen. Volgens de AP bestaat er echter geen duidelijk kader voor de rol en belegging van slm-functies binnen het Rijk. Evenmin is helder voor welke clouddiensten een dergelijke functie is bekleed.
De criteria waarmee wordt vastgesteld wanneer er voor een bepaalde clouddienst een slm-functie moet worden ingericht, en bij welke organisatie deze functie wordt uitgevoerd moeten helderder worden gedefinieerd. Nu ontbreekt het aan duidelijke richtlijnen.
Ik lees nog meer redenen (specs) om een eigen hyperscaler te ontwikkelen:
– transparante juridische aansprakelijkheid
– exgress cost inzichtelijk maken
– dataportabiliteit garanderen
of wachten tot een commerciele partij buiten Europa iets voor ons gaat maken 😛
Waarom ‘hyperscaler’ Dino? Natuurlijk spreken de voorbeelden van ongekende schaalbaarheid tot de fantasie maar als we kijken naar de centjes dan schrijven velen nog altijd de winst in rode cijfers. De bedot.com economie lijkt tot inkeer te komen als ik kijk naar de ontslagen bij hyperscalers want het schaalt de andere kant op.
Door ontwikkelingen zoals IoT groeit de omvang van de ‘edge’ een factor 7 keer sneller want neem nieuwe realiteit van video. Je zult zelf ook gebruik maken van geneugten van vergaderen via Teams en kies je dan voor notuleren of opnemen?
Hele idee van community clouds gaat om een samenwerking buiten gebruikelijke organisatorische begrenzingen waarbij een gedeeld platform nog niet de opslag bepaalt. Lang leve download functie als de output via een open standaard gaat, Fuck The Dutch in de indexering van Usenet;-)
Ik ga geen licht schijnen op duistere magie van data als het gaat om de blokken maar zal me op een cryptische manier uitdrukken want de vijand luistert mee. Vergeet mijn eerdere vraag niet over hoe je verzekert dat de data niet gewijzigd is want het codewoord van de dag is hash.
Geneugten ? de cloud first strategy meeting 2023Q1 nog een keer zien in de herhaling.
met ouwe zakke die praten over jong cybertalent.
heel akelig.