Overslaan en naar de inhoud gaan

CIO's: AVG lastig na te leven door cloudafhankelijkheid

Nederlandse CIO’s bekennen in het Financieel Dagblad dat de meeste Nederlandse bedrijven en organisaties nog altijd niet voldoen aan de wet Algemene Verordening Gegevensbescherming (AVG). Een belangrijke oorzaak is het gebruik van clouddiensten van Google, Amazon of Microsoft. Deze diensten maken het gebruikers lastig om aan de AvG te voldoen, zeggen de CIO’s.
pseudonimiseren
© CC0 - Unsplash.com
CC0 - Unsplash.com

Het CIO Platform, waarin de CIO’s zijn verzameld, roept op dat softwareleveranciers alleen producten in Europa mogen leveren als die leveranciers de AvG naleven. Dat is nu niet altijd het geval, zeggen de CIO’s. Leveranciers zijn bijvoorbeeld niet transparant over wat ze doen met klantdata.

Het CIO Platform legt uit dat doordat Nederlandse bedrijven voor hun clouddienstverlening vaak afhankelijk zijn van Amerikaanse techbedrijven, ze amper een onderhandelingspositie hebben. Maar boetes voor het niet naleven van de AVG komen wel voor rekening van de organisaties.

Tegenover het FD zegt de Autoriteit Persoonsgegevens dat clouddiensten uit de VS lang niet altijd AVG-klaar zijn. De autoriteit vindt het zorgelijk dat ondernemingen er veel uitzoekwerk aan hebben. Maar de AP geeft ook aan dat ze kampt met capaciteitsproblemen. De leveranciers zeggen in reacties dat ze aan de wetgeving voldoen.

Rijk en Google G Suite

Begin maart was er een voorbeeld van onjuiste dataverwerking door een van de cloudgiganten. Toen bleek uit een brief van minister Ferd Grapperhaus dat het Rijk grote twijfels heeft bij de dataverwerking van Google G Suite Enterprise. Rijksambtenaren gaan daarom voorlopig de dienst niet gebruiken. Diverse onderdelen van de dienst kennen volgens Grapperhaus een hoog risico vanwege onder meer een gebrek aan doelbinding, een gebrek aan transparantie en een gebrek aan juiste grondslag voor gegevensverwerking. Die risico’s werden aangetroffen na een Data Privacy Impact Assessment’ (DPIA). Google deed aanpassingen, maar die waren volgens het ministerie niet voldoende. De bal ligt nu bij de AP die advies moet uitbrengen.

De vraag is hoe snel dat advies zal komen. De AP zegt al lange tijd te kampen met capaciteitsproblemen. Die verergeren alleen maar door de coronacrisis en een sterke stijging van het aantal incidenten rondom hacking, phishing of malware om persoonsgegevens buit te maken. Maar op de Kamervragen die erover werden gesteld, zei minister Sander Dekker vorige week dat het stijgende aantal incidenten niet impliceert dat meer capaciteit nodig is. Volgens hem moet de autoriteit haar capaciteit risico-gestuurd inzetten.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in