De clouddiensten van de huidige (Amerikaanse) leveranciers voldoen niet aan de vereisten van de GDPR. Dat concludeert een studie van de Zweedse Nationale Aanbestedingsdienst, die de conclusies met het Open Source Observatory van de EU deelt.
Het is momenteel onmogelijk voor de openbare diensten in Zweden om webgebaseerde SaaS-diensten als tekstverwerkers, e-mail of chatdiensten aan te kopen die in regel zijn met de Europese GDPR. Dat stelt de Nationale Aanbestedingsdienst. Door Amerikaanse surveillancewetten als de Cloud Act, Executive Order 1233 en Sectie 702 van de Foreign Intelligence Surveillance Act kunnen dat soort diensten immers te weinig privacybescherming bieden aan hun gebruikers.
De Zweedse studie kan geen enkele aanbieder vinden die de openbare sector een product kan aanbieden dat honderd procent compliant is. Volgens de ‘Kammarkollegiet’ (opgericht in 1539 en daarmee de oudste Zweedse overheidsdienst) moeten openbare diensten en bedrijven samenwerken om oplossingen te bouwen die wél aan de Europese regels voldoen. ‘Waarschijnlijk zijn openbronsoftware en open standaarden de sleutel om dit mogelijk te maken. Die laat de openbare sector toe om snel over te stappen van een aanbieder naar een concurrent of om over te stappen naar eigen hostingoplossingen.’
In Duitsland krijgt de zogenaamde ‘Bundescloud’, een dienst om documenten te delen die gebaseerd is op NextCloud, volgend jaar eigen tools voor tekstverwerking, presentaties, chat en videoconferencing. De Bundescloud voldoet wel aan de GDPR en staat onder toezicht van de Duitse veiligheidsdiensten.