Innovatie & Strategie

Cloud
cloud

Ook AP kritisch op cloudstrategie van Nederlandse overheid

"Grote privacyrisico's" bij opslaan overheidsdata in commerciële clouds. Kabinet moet aan de slag.

15 november 2022

"Grote privacyrisico's" bij opslaan overheidsdata in commerciële clouds. Kabinet moet aan de slag.

Ook privacytoezichthouder AP uit flinke kritiek op het recent gepresenteerde nieuwe cloudbeleid van de Nederlandse overheid. Het opslaan van overheidsdata bij commerciële clouddiensten brengt grote privacyrisico's met zich mee, schrijft de AP in een brief aan staatssecretaris Van Huffelen, die verantwoordelijk is voor Digitalisering. Het door haar geformuleerde beleid is nog niet 'rijp' en moet met oog op de AP-kritiek nog verder worden uitgewerkt.

Eerder hebben technische en juridische experts al tegenover AG Connect verklaard dat het toestaan van commerciële clouds bij de overheid géén goed idee is. Daarna hebben twee hoogleraren in een eigen betoog gehakt gemaakt van de nieuwe cloudkoers van het kabinet. Apache-grondlegger Dirk-Willem van Gulik en hoogleraar ICT & Recht Frederik Zuiderveen Borgesius van de Radboud Universiteit zagen al diverse risico’s ontstaan na het besluit om commerciële cloudaanbieders te omarmen voor breed overheidsgebruik. Hoogleraren Bart Jacobs en José van Dijck gingen er met gestrekt been in: zij noemden het beleid onvoorzichtig, slecht getimed, kritische rapporten negerend, en naïef.

Zorgen over uitwerking en naleving

De Autoriteit Persoonsgegevens (AP) gaat niet zo ver, maar uit wel flinke zorgen. "Het kabinet wil overheidsdata voortaan kunnen opslaan bij commerciële clouddiensten. Dit brengt grote privacyrisico’s met zich mee en daar moet het kabinet mee aan de slag in de verdere uitwerking van het beleid", aldus de boodschap in een brief aan Van Huffelen. De toezichthouder heeft haar adviezen op dit gebied ook overgebracht in een gesprek met de bewindsvrouw. Zij heeft aangegeven de adviezen van de AP ter harte te nemen, meldt de AP zelf.

Voorzitter Aleid Wolfsen van de Nederlandse privacywaakhond schetst de enorme impact van de nieuwe cloudkoers. "De overheid beschikt over een gigantische hoeveelheid data over ons allemaal. Hoeveel jij verdient, je burgerservicenummer, je bankrekeningnummer en nog veel meer. Die gegevens moeten niet in verkeerde handen vallen." Het opslaan van zulke gevoelige gegevens op servers die niet in eigen bezit, in eigen beheer of zelfs op eigen grondgebied zijn, kan een punt van grote zorg zijn. Wolfsen verklaart dat je dan zeker moet weten dat die data veilig zijn. "Er hangt dus veel af van een goede uitwerking en naleving van dit cloudbeleid. Daar maak ik me zorgen over."

Níet goed geregeld

Zoals het er nu voor staat, zijn bepaalde cruciale zaken níet goed geregeld, oordeelt de AP. De privacyrisico's in het cloudbeleid zijn onvoldoende in kaart gebracht, aldus de AP. "Dat is stap één. Privacy moet leidend zijn bij de vraag of je informatie over burgers mag opslaan bij een bedrijf", zegt Wolfsen. "Als je niet goed onderzoekt welke risico’s er zijn, kun je ook geen maatregelen nemen om die risico’s te weg te nemen."

Waar de AP zich ook zorgen over maakt, zijn de risico's bij het opslaan van persoonsgegevens in landen buiten Europa. "Waar privacywet Algemene verordening gegevensbescherming (AVG) niet geldt", stelt de Nederlandse toezichthouder. Strikt genomen kan de AVG wel degelijk van toepassing zijn omdat het immers data van EU-burgers betreft. "Wanneer de overheid persoonsgegevens opslaat op servers van een bedrijf buiten de Europese Unie (EU), moet de overheid nagaan of de bescherming van persoonsgegevens ten minste op hetzelfde niveau ligt als binnen de EU. Dat is niet altijd het geval."

China, maar ook VS

Het gaat hierbij niet alleen om landen met sterk afwijkende wet- en regelgeving of met andere, minder democratische bestuursvormen. De AP wijst erop dat Amerikaanse inlichtingendiensten persoonsgegevens van Nederlanders kunnen opvragen bij Amerikaanse bedrijven. Dit opvraagrecht geldt volgens de Amerikaanse wet zelfs als de servers van die bedrijven in Europa staan. "Daardoor kunnen die diensten jou bijvoorbeeld onterecht in verband brengen met terrorisme of fraude, waardoor je de VS en andere landen niet meer binnenkomt", zegt Wolfsen.

Dus dringt de AP er nu bij het kabinet op aan dat het van tevoren goed moet kijken en handelen bij cloudaanbieders uit landen waar persoonsgegevens minder goed worden beschermd, zoals de VS. De risico’s moeten vooraf in kaart worden gebracht waarna de overheid maatregelen moet nemen om te zorgen dat die gegevens dan toch veilig zijn. Hierbij wijst de AP de staatssecretaris erop dat opslag bij een Europees bedrijf qua privacy de beste keuze is. Het leeuwendeel van de huidige cloudmarkt bestaat echter uit aanbieders van Amerikaanse herkomst. Daarom zou de staatssecretaris ook Europese alternatieven moeten stimuleren, stelt de AP in de brief.

Beleid ook te vrijblijvend

Een laatste kritiekpunt dat de privacytoezichthouder heeft op de nieuwe cloudkoers van de overheid is dat het te vrijblijvend is zoals het er nu ligt. Zelfstandige bestuursorganen zijn bijvoorbeeld niet verplicht om het beleid te volgen. "Terwijl instellingen als het UWV, het CBS en de Sociale Verzekeringsbank gevoelige persoonsgegevens van ons allemaal in hun systemen hebben staan", aldus Wolfsen.

Vanuit branche-organisatie DINL (Stichting Digitale Infrastructuur Nederland) heeft AG Connect eind september nog een uitgebreide reactie gekregen op het toen recente afkraken van de nieuwe Nederlandse cloudkoers. Directeur en spreekbuis Michiel Steltman stelde in zijn repliek op de kritiek dat het cloudbeleid van Van Huffelen juist noodzakelijk is voor het verbeteren van soevereiniteit en het beschermen van data. De zorgen van de hoogleraren volgens hem op het eerste gezicht begrijpelijk. "Maar hun conclusies getuigen van weinig kennis over het onderwerp cloud en zijn gebaseerd op een bekende, onjuiste aanname: met IT in eigen beheer behoud je controle, met clouddiensten geef je de regie volledig uit handen. De realiteit is veel genuanceerder."

3
Reacties
j.a. karman 24 november 2022 13:58

Zeer verwonderlijk is de activistische insteek van de AP via de invloed van wat organisaties niet.
Helaas gaat daarmee de genuanceerde onafhankelijke insteek van een toezichthouder verloren.

Veel overheidsinstanties en ngo's zijn gewoon te klein om een kwalitatief goede ICT in huis op orde te hebben.
Dat de informatieverwerking onder een technologische insteek leidt is het probleem wat de hoogste prio zou moeten hebben. Eerst weten en begrijpen waar het over gaat, dan technologie. Niet andersom.

Ronald kunenborg 15 november 2022 15:15

Werkelijk... wat een niveau. Even een telefoontje van de AP naar de uitvoeringsorganisaties en ze hadden uit kunnen leggen hoe het beleid daar in elkaar zit.

En alsof de wet meteen massaal wordt overtreden als commerciële cloud een optie wordt. Nee dus: je mag nog steeds alleen binnen de wetgeving werken.

Het ergste: er is allang een SLM Rijk die de clouddiensten regelt. Al jaren. Er is zelfs een website van. Maar blijkbaar is even Google gebruiken teveel moeite.

Stef Joosten 15 november 2022 12:35

Goed dat de discussie nu losbarst. Ongetwijfeld weten van Gulik, Zuiderveen Borgesius en Jacobs ook wel dat het genuanceerd ligt. En gelukkig geeft Steltman (DINS) een genuanceerd tegengeluid. Maar laat die knuppel maar eens door het hoederhok gaan.
Relevant is nog wel dat een lage kwaliteit van de informatievoorziening een hoog risico op privacyschendingen oplevert. Maatregelen om de privacy te beschermen zijn zinloos als de kwaliteit van de informatievoorziening te laag is om die maatregelen te doen slagen. Dus eerst maar eens zorgen dat de informatievoorziening op orde komt...

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.