De Autoriteit Persoonsgegevens (AP) heeft forse kritiek op het nieuwe cloudbeleid van het kabinet. Volgens de privacytoezichthouder is daarin onvoldoende vastgelegd dat data van Nederlandse burgers moeten voldoen aan de privacyregels. De zorgen zijn geuit in een brief aan Van Huffelen, staatssecretaris voor Digitalisering.

Eind augustus presenteerde de staatssecretaris nieuw cloudbeleid. Daarmee wil zij bevorderen dat overheidsinstanties gebruik mogen maken van commerciële clouddiensten. En dus informatie over Nederlanders mogen opslaan op servers van bijvoorbeeld Amerikaanse bedrijven als Amazon, Google of Microsoft.  

‘De overheid beschikt over een gigantische hoeveelheid data over ons allemaal’, zegt AP-voorzitter Aleid Wolfsen. ‘Hoeveel jij verdient, je burgerservicenummer, je bankrekeningnummer en nog veel meer. Die gegevens moeten niet in verkeerde handen vallen. Als je die niet op eigen servers opslaat, maar op die van een bedrijf, moet je zeker weten dat ze veilig zijn. Er hangt dus veel af van een goede uitwerking en naleving van dit cloudbeleid. Daar maak ik me zorgen over.’

De toezichthouder vraagt de staatssecretaris met name oog te hebben voor de risico’s van het opslaan van persoonsgegevens in landen buiten Europa, waar de privacywet Algemene verordening Gegevensbescherming (AVG) niet geldt.

Wanneer de overheid persoonsgegevens opslaat op servers van een bedrijf buiten de EU, dan moet de overheid nagaan of de bescherming van persoonsgegevens ten minste op hetzelfde niveau ligt als binnen de EU. Dat is volgens de AP niet altijd het geval. 'Zo kunnen bijvoorbeeld Amerikaanse inlichtingendiensten persoonsgegevens van Nederlanders opvragen bij Amerikaanse bedrijven. Zelfs als de servers van die bedrijven in Europa staan. Daardoor kunnen die diensten jou bijvoorbeeld onterecht in verband brengen met terrorisme of fraude, waardoor je de VS en andere landen niet meer binnenkomt.’

Tot slot is het beleid volgens AP nu te vrijblijvend. ‘Zo zijn zelfstandige bestuursorganen niet verplicht het beleid te volgen. Terwijl instellingen als het UWV, het CBS en de Sociale Verzekeringsbank gevoelige persoonsgegevens van ons allemaal in hun systemen hebben staan’, waarschuwt Wolfsen.

Alles bij de bron; Computable