Clouddiensten voldoen niet aan EU regels privacybescherming (AVG)

De clouddiensten van de huidige (Amerikaanse) leveranciers voldoen niet aan de vereisten van de EU regels voor privacybescherming (AVG). Dit concludeert een studie van de Zweedse Nationale Aanbestedingsdienst.

Het ging in deze studie om de aanschaf van webgebaseerde SaaS-diensten als tekstverwerkers, e-mail of chatdiensten die voldoen aan de AVG (of GDPR). Dit soort diensten bieden te weinig privacybescherming aan hun gebruikers en daarmee voldoen zij niet aan de eis van ‘privacy by design’.

De lange vingers van de VS

Door Amerikaanse surveillancewetten als de Cloud Act, Executive Order 1233 en Sectie 702 van de Foreign Intelligence Surveillance Act hebben de Amerikanen een nieuwe stap gezet in het juridisch imperialisme van de Verenigde Staten. De grip van de president en justitie van Amerika op data, waar dan ook ter wereld opgeslagen, is met deze wet fors toegenomen: het gaat hier de facto om een nagenoeg ongecontroleerde grip op data.

GDPR vs CLOUD ACT

Nog geen alternatief

De Zweedse studie kan geen enkele aanbieder vinden die de openbare sector een Office-product kan aanbieden dat honderd procent compliant is met de AVG. Volgens de ‘Kammarkollegiet’ moeten openbare diensten en bedrijven samenwerken om oplossingen te bouwen die wél aan de Europese regels voldoen.

Daniel Melin, de projectleider van de Zweedse studie, ziet geen andere oplossing dan zelfbouw. “Waarschijnlijk zijn openbronsoftware en open standaarden de sleutel om dit mogelijk te maken. Die laat de openbare sector toe om snel over te stappen van een aanbieder naar een concurrent of om over te stappen naar eigen hostingoplossingen.”

Probleem voor meer landen en organisaties

Dit probleem is niet alleen een Zweeds probleem en het geldt niet alleen voor Office-oplossingen in de cloud en ook niet alleen voor overheidsorganisaties. In Duitsland krijgt de zogenaamde ‘Bundescloud’, een dienst om documenten te delen die gebaseerd is op NextCloud, volgend jaar eigen tools voor tekstverwerking, presentaties, chat en videoconferencing. De Bundescloud voldoet wel aan de AVG en staat onder toezicht van de Duitse veiligheidsdiensten.

Ook cloud-diensten als Microsoft Azure, Amazon en diverse andere informatiemanagementsystemen in de cloud zoals CMS (WordPress,Crownpeak), DMS (MS SharePoint, Syncron), CRM (CRM Dynamics, Salesforce), Collaboration (The Box, Dropbox), Digital Workplace (Igloo, Liferay), Analytics (Google Analytics, Adobe Omniture), Marketing Automation (Hubspot, Marketo) en noem maar op worden geraakt door de Cloud Act. Weliswaar zijn er alternatieven voor dit soort Amerikaanse cloud-producten en organisaties, maar daar wordt vaak aan voorbij gegaan.

Ga de discussie aan!

Als informatieprofessional moet je volgens mij alert zijn op de behandeling van privacygevoelige gegevens in de informatiemanagementsystemen. Gaat het om een cloud-oplossing (SaaS of komt de server in de cloud te staan)? Betreft het ook privacygevoelige informatie? Gaat het om een Amerikaanse leverancier? Bij driemaal “ja” moeten de alarmbellen gaan rinkelen.

Een verwerkersovereenkomst of sussende woorden van Amerikaanse partijen zijn geen vrijwaring voor je verantwoordelijkheid als organisatie om echt te voldoen aan de Europese privacywet. Zoek de data privay officer (DPO) of functionaris voor gegevensbescherming of een andere verantwoordelijke voor de privacybescherming en licht deze functionaris in over de situatie. Bespreek met IT, de architecten en andere belanghebbenden wat de alternatieven zijn.

Meer over de Zweedse studie

De Zweedse Nationale Aanbestedingsdienst deelde haar conclusies met het Open Source Observatory van de EU op Sweden: For confidentiality, don’t use foreign clouds en Swedish procurement study: web-based office tools not GDPR compliant.

Lees ook Nieuwe VS Cloud Act & Europese privacy van IT-jurist Peter van Schelven.