Management

Privacy
CIO's: AvG lastig na te leven door cloudafhankelijkheid

CIO's: AVG lastig na te leven door cloudafhankelijkheid

Het is lastig om afspraken te maken met grote Amerikaanse leveranciers zeggen CIO's in het Financieel Dagblad.

© CC0 - Unsplash.com
6 april 2021

Het is lastig om afspraken te maken met grote Amerikaanse leveranciers zeggen CIO's in het Financieel Dagblad.

Nederlandse CIO’s bekennen in het Financieel Dagblad dat de meeste Nederlandse bedrijven en organisaties nog altijd niet voldoen aan de wet Algemene Verordening Gegevensbescherming (AVG). Een belangrijke oorzaak is het gebruik van clouddiensten van Google, Amazon of Microsoft. Deze diensten maken het gebruikers lastig om aan de AvG te voldoen, zeggen de CIO’s.

Het CIO Platform, waarin de CIO’s zijn verzameld, roept op dat softwareleveranciers alleen producten in Europa mogen leveren als die leveranciers de AvG naleven. Dat is nu niet altijd het geval, zeggen de CIO’s. Leveranciers zijn bijvoorbeeld niet transparant over wat ze doen met klantdata.

Het CIO Platform legt uit dat doordat Nederlandse bedrijven voor hun clouddienstverlening vaak afhankelijk zijn van Amerikaanse techbedrijven, ze amper een onderhandelingspositie hebben. Maar boetes voor het niet naleven van de AVG komen wel voor rekening van de organisaties.

Tegenover het FD zegt de Autoriteit Persoonsgegevens dat clouddiensten uit de VS lang niet altijd AVG-klaar zijn. De autoriteit vindt het zorgelijk dat ondernemingen er veel uitzoekwerk aan hebben. Maar de AP geeft ook aan dat ze kampt met capaciteitsproblemen. De leveranciers zeggen in reacties dat ze aan de wetgeving voldoen.

Rijk en Google G Suite

Begin maart was er een voorbeeld van onjuiste dataverwerking door een van de cloudgiganten. Toen bleek uit een brief van minister Ferd Grapperhaus dat het Rijk grote twijfels heeft bij de dataverwerking van Google G Suite Enterprise. Rijksambtenaren gaan daarom voorlopig de dienst niet gebruiken. Diverse onderdelen van de dienst kennen volgens Grapperhaus een hoog risico vanwege onder meer een gebrek aan doelbinding, een gebrek aan transparantie en een gebrek aan juiste grondslag voor gegevensverwerking. Die risico’s werden aangetroffen na een Data Privacy Impact Assessment’ (DPIA). Google deed aanpassingen, maar die waren volgens het ministerie niet voldoende. De bal ligt nu bij de AP die advies moet uitbrengen.

De vraag is hoe snel dat advies zal komen. De AP zegt al lange tijd te kampen met capaciteitsproblemen. Die verergeren alleen maar door de coronacrisis en een sterke stijging van het aantal incidenten rondom hacking, phishing of malware om persoonsgegevens buit te maken. Maar op de Kamervragen die erover werden gesteld, zei minister Sander Dekker vorige week dat het stijgende aantal incidenten niet impliceert dat meer capaciteit nodig is. Volgens hem moet de autoriteit haar capaciteit risico-gestuurd inzetten.

Lees meer over
Lees meer over Management OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.