De Autoriteit Persoonsgegevens (AP) is kritisch op het voornemen om overheidsdata te bewaren in de cloud van bedrijven als Google, Microsoft en Amazon. De gegevens, bijvoorbeeld databases met gegevens van Nederlandse burgers, worden daarbij op servers buiten Nederland opgeslagen.
Het gebruik van commerciële clouddiensten brengt volgens de AP grote privacyrisico’s met zich mee. Voordat het kabinet de cloudomgeving van bedrijven gaat gebruiken, moet het kabinetsbeleid verder uitgewerkt worden. Dat heeft de AP staatssecretaris Alexandra van Huffelen (Digitalisering) geadviseerd.
Eind augustus presenteerde de staatssecretaris nieuw cloudbeleid. Daarmee wil zij ervoor zorgen dat overheidsinstanties gebruik mogen maken van commerciële clouddiensten. Nu mag de overheid informatie over Nederlanders nog niet opslaan op servers van bijvoorbeeld Amerikaanse bedrijven.
“De overheid beschikt over een gigantische hoeveelheid data over ons allemaal”, zegt AP-voorzitter Aleid Wolfsen. “Hoeveel jij verdient, je burgerservicenummer, je bankrekeningnummer en nog veel meer. Die gegevens moeten niet in verkeerde handen vallen.”
“Als je die niet op eigen servers opslaat, maar op die van een bedrijf, moet je zeker weten dat ze veilig zijn. Er hangt dus veel af van een goede uitwerking en naleving van dit cloudbeleid. Daar maak ik me zorgen over”, aldus Wolfsen.
Kabinet heeft privacyrisico’s onvoldoende in beeld
Volgens de AP zijn in het cloudbeleid de privacyrisico’s onvoldoende in kaart gebracht. Privacy moet volgens de teozichthouder leidend zijn bij de vraag of je informatie over burgers mag opslaan bij een bedrijf. “Als onvoldoende wordt onderzocht welke risico’s er zijn, kunnen geen maatregelen genomen worden om die risico’s te weg te nemen”, stelt de privacywaakhond.
De AP vraagt de staatssecretaris met name oog te hebben voor de risico’s van het opslaan van persoonsgegevens in landen buiten Europa. Daar geldt de privacywet Algemene Verordening Gegevensbescherming (AVG) niet. Daardoor heeft de bescherming van persoonsgegevens daar vaak niet hetzelfde niveau als binnen de EU.
Europese regels gelden niet voor Amerikaanse clouddiensten
Amerikaanse inlichtingendiensten kunnen volgens de AP bijvoorbeeld persoonsgegevens van Nederlanders opvragen bij Amerikaanse bedrijven. Zelfs als de servers van die bedrijven in Europa staan. “Daardoor kunnen die diensten jou bijvoorbeeld onterecht in verband brengen met terrorisme of fraude, waardoor je de VS en andere landen niet meer binnenkomt”, zegt Wolfsen.
De AP wijst de staatssecretaris erop dat opslag bij een Europees bedrijf qua privacy de beste keuze is. Omdat het overgrote deel van de veelgebruikte cloudaanbieders op dit moment Amerikaans is, zou de staatssecretaris ook Europese alternatieven moeten stimuleren, stelt de toezichthouder.
Tot slot is het beleid volgens de AP nu te vrijblijvend. Zo zijn zelfstandige bestuursorganen, zoals het UWV of de Sociale Verzekeringsbank, niet verplicht het beleid te volgen.
