Innovatie & Strategie

Cloud
Google Docs

Office-clouds schenden AVG, aldus Zweden

Clouds die office-functionaliteit bieden voldoen volgens een Zweedse studie niet aan de AVG (GDPR).

© Google
27 februari 2019

Clouds die office-functionaliteit bieden voldoen volgens een Zweedse studie niet aan de AVG (GDPR).

Zweedse overheidsinstanties kunnen juridisch gezien geen gebruik maken van web-based office-diensten, zoals online-tekstverwerkers maar ook webmail en chatsystemen via tekstberichten of video. Zogeheten office-clouds voldoen namelijk niet aan de Europese privacyrichtlijn AVG (GDPR in het Engels), zo blijkt uit een studie door de National Procurement Services van Zweden.

Het struikelpunt voor de Zweedse publieke sector is Amerikaanse wetgeving die bedrijven verplicht om data af te staan in het geval van vorderingen door opsporingsdiensten. Deze zogeheten CLOUD Act (Clarifying Lawful Overseas Use of Data) is krap een jaar jaar geleden vrij stilletjes aangenomen. Die wet is eerder al onderwerp van controverse geweest, onder meer vanwege een hoog opgelopen rechtszaak tussen Microsoft en Justitie in de VS over data die opgeslagen stond in Ierland.

Microsoft en Google dwingen

In Zweden wordt nu in een voorstudie naar web-gebaseerde kantoorpakketten gesteld dat AVG-vereiste waarborgen voor dataprotectie worden ondermijnd door de CLOUD Act, maar ook door andere Amerikaanse regelgeving. De office-cloudoplossingen van de huidige marktleiders kunnen geen adequate bescherming onder de AVG bieden, luidt de conclusie.

De mogelijkheid bestaat namelijk dat de CLOUD-wet, of Executive Order 12333 of anders sectie 702 van de FISA (Foreign Intelligence Surveillance Act), door de regering van de Verenigde Staten worden gebruikt om Zweedse data in te zien. Amerikaanse cloudaanbieders als Microsoft en Google zouden daarmee gedwongen kunnen worden om geheime gegevens van Zweedse gebruikers over te dragen. Microsofts rechtszaak over Ierse gebruikersdata ging juist daarover, en stamde van vóór het aannemen van de CLOUD Act.

Archivering en geheimhouding

Het rapport naar aanleiding van de studie is afgelopen vrijdag gepubliceerd en online beschikbaar als PDF. "De beste optie zou een web-based office suite zijn die voldoet aan de GDPR en aan Zweedse regels voor lange-termijn archivering en geheimhouding", citeert EU-nieuwssite OSOR de projectleider van deze Zweedse studie. Momenteel is die gewenste optie er echter niet. Hierdoor is er vooralsnog geen framework in Zweden voor overheidsgebruik van office-functionaliteit op cloud-basis.

De verkenning door de aankoopdienst, onderdeel van de Zweedse overheidsinstantie Kammarkollegiet, heeft geen aanbieders op de markt gevonden die op dit moment een office-cloud kunnen bieden voor de Zweedse publieke sector die voldoet aan de vereisten. Overigens is hiermee niet gelijk gesteld dat cloudoplossingen voor kantoorproductiviteit over de hele linie niet voldoen aan de AVG. Zweden heeft van oudsher al eigen wetgeving rondom databescherming, privacy en vrije meningsuiting. Hierdoor heeft het land dan ook aanpassingen voor de AVG moeten doen.

Lees meer over Innovatie & Strategie OP AG Intelligence
1
Reacties
Atilla Vigh 02 maart 2019 13:53

Wellicht dat overheden meer eigen cloudomgevingen moeten gaan inrichten. Je ziet dat in ICT land steeds twee zaken opduiken:
- andere landen hebben het idee dat hun regelgeving boven die van andere gaat
- commerciele organisaties willen alleen maar eensheidsworst

Deze bovenstaande zaken zullen voorlopig niet verdwijnen daar ze sterk in het DNA van die landen en bedrijven zitten.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.