Op 15 februari 2022 is de European Data Protection Board (EDPB) een onderzoek gestart naar het gebruik van clouddiensten binnen de publieke sector. Dit wordt gedaan om een gecoördineerde handhaving van de privacyregels uit de Algemene verordening gegevensbescherming (AVG) te garanderen. Het onderzoek zal zich richten op servers van techbedrijven, zogeheten clouddiensten. De 22 nationale privacytoezichthouders die dit onderzoek uitvoeren maken deel uit van de EDPB. Meer dan 75 publieke instellingen en overheden in Europa zullen worden onderzocht.
European Data Protection Board
De EDPB is een onafhankelijk orgaan waarin alle nationale privacytoezichthouders van de Europese Unie samenwerken ten behoeve van de naleving van de regels rondom gegevensbescherming. In Nederland is dit de Autoriteit Persoonsgegevens (AP). De EDPB kan onder andere richtsnoeren uitgeven over de interpretatie van de AVG en aanbevelingen doen, bijvoorbeeld voor datalekken of het vaststellen van bindende bedrijfsvoorschriften omtrent gegevensbescherming.
Het onderzoek is het eerste initiatief onder het Gecoördineerde handhavingskader op grond van de Verordening 2016/679 (GHK). Het GHK is een belangrijk onderdeel van de 2021-2023 Strategie van de EDPB. Het doel van het GHK en deze strategie is om de handhaving en samenwerking tussen nationale privacytoezichthouders te stroomlijnen.
Door middel van dit onderzoek kunnen de toezichthouders identificeren wat de grootste uitdagingen en problemen zijn op het gebied van gegevensbescherming bij het gebruik van clouddiensten door overheden. Zo wordt er gekeken of data van burgers goed beschermd wordt en of alles in lijn met de AVG gebeurt.
Vervolgstappen
Het onderzoek richt zich op allerlei sectoren, zoals aanbesteden, gezondheid en onderwijs. De eerste stap in het onderzoek is een enquête. De organisaties die namens de Rijksoverheid afspraken maken met grote clouddienstverleners worden door de AP gevraagd deze vragenlijst in te vullen. Op basis van de uitkomsten zullen de toezichthouders de vervolgstappen bepalen. Eind 2022 zal de EDPB een gezamenlijk rapport publiceren over het gebruik van clouddiensten door overheden.
Decentrale relevantie
Door de toenemende digitalisering van diensten maken (decentrale) overheden steeds meer gebruik van clouddiensten. Toezichthouders krijgen echter signalen dat clouddiensten niet altijd aan de AVG voldoen. Tegelijkertijd zien de toezichthouders dat grote clouddienstverleners vaak meer macht hebben dan de organisaties die met hen onderhandelen. Dit bemoeilijkt goede bescherming van gegevens die organisaties aan deze clouddiensten toevertrouwen, zoals de elektronische identiteit (eID) van burgers.
Bron
Lancering van gecoördineerde handhaving op cloudgebruik door publieke sector, European Data Protection Board
Privacytoezichthouders onderzoeken gebruik clouddiensten door overheidsinstellingen, Autoriteit Persoonsgegevens
Meer informatie
Digitale Overheid, Kenniscentrum Europa Decentraal
Algemene Verordening Gegevensbescherming, Kenniscentrum Europa Decentraal
Toezicht en sancties, Kenniscentrum Europa Decentraal