De Rijksoverheid mag gebruikmaken van commerciële clouddiensten. Uitzonderingen zijn het ministerie van Defensie en voor staatsgeheim gerubriceerde informatie.
Voor data uit de basisregistratiepersoonsgegevens en bijzondere persoonsgegevens geldt een ‘nee-tenzij-beleid’. Staatssecretaris Van Huffelen van Digitalisering heeft dit onlangs in een brief aan de Tweede Kamer laten weten.
Rijksbrede cloudbeleid
“Diensten zijn betrouwbaarder geworden en worden op zeer grote schaal door burgers en bedrijven gebruikt. Ook zijn de veiligheidsmogelijkheden uitgebreid en geeft de grootschalige uitrol van updates en patches de mogelijkheid veel sneller te reageren op fouten in software dan in het verleden. Daarom is het hoog tijd om het Rijksbrede cloudbeleid uit 2011 te herzien”, aldus de staatssecretaris in haar brief.
Risico-analyse
Het bewaren en verwerken van persoonsgegevens in de cloud dient plaats te vinden conform de AVG. Opslag en verwerking moet binnen de Europese Economische Ruimte gebeuren. Een alternatief vormen landen waarvoor een adequaatheidsbesluit bestaat. Een andere mogelijkheid is opslag en verwerking op basis van een passend doorgiftemechanisme dat voldoet aan de AVG, bijvoorbeeld een modelcontract. Om veiligheidsrisico’s tot een minimum te beperken, zijn overheidsinstellingen verplicht vooraf een risico-analyse te maken.
Klik hier voor de brief van Van Huffelen aan de Tweede Kamer.