De Vlaamse Toezichtscommissie voor de verwerking van persoonsgegevens (VTC) heeft zich in een nieuw advies geuit over het gebruik van kantoortoepassingen in een publiek cloud-model. De commissie bouwt hiermee verder op één van haar vorige adviezen: publieke cloud is in principe niet te gebruiken voor dossierbehandeling, wel als algemene kantoortoepassing. Het advies is toepasselijk op alle algemene kantoortoepassingen in een cloud-model.
Reeds eerder (VTC/A/2020/05) gaf de VTC in een advies aan dat het geen goed idee was om gegevens van Vlaamse studenten langdurig en op grote schaal op te slaan op de servers van Amazon (niet-Europese cloudleverancier). Dit zou strijdig zijn met de Europese privacywetgeving. Enkel gevoelige gegevens die niet grootschalig én tijdelijk waren, konden nog door de vingers worden gezien.
In haar nieuw advies (VTC/A/2021/12) past de VTC het territoriaal principe toe op kantoortoepassingen waarbij data wordt verwerkt in de publieke cloud. Het probleem dat zich daarbij stelt is dat een clouddienstverlener meestal niet-Europees is, ongeacht de gekozen datalocatie. Dit betekent dat de naleving van Europese gegevensbeschermingseisen niet kan worden gegarandeerd.
Een gevolg hiervan kan zijn dat “de wetgeving die op de leverancier van toepassing is, zoals bijvoorbeeld die van de VS, de overheid de mogelijkheid geeft om de data die beheerd worden door deze cloud providers massaal op te vragen, ook als de servers zich niet in de VS bevinden”, aldus de VTC.
Richtlijnen voor publieke cloud
In het advies geeft de VTC enkele richtlijnen voor de besturen en organisaties die als houvast moeten dienen. Zo geeft ze aan dat er eerst gekeken moet worden voor welke verwerkingen het gebruik van een publieke cloud toepassing wel of niet aanvaardbaar is. Indien aanvaardbaar, dient te worden nagegaan welke maatregelen kunnen genomen worden om de verwerking van de persoonsgegevens verder te beschermen.
Voor structureel dossierbeheer met persoonsgegevens is de publieke cloud in principe niet aanvaardbaar. Hetzelfde geldt voor het delen of uitwisselen van gevoelige persoonsgegevens (bijvoorbeeld vaccinatiestatus), alsook het gebruik van cloud voor participatie van burgers zoals gedeelde mappen in de cloud.
Het gebruik van publieke cloud zou in principe dan wel mogelijk zijn voor het uitwisselen van ontwerpdocumenten zonder vertrouwelijke informatie en het uitvoeren van praktische taken. De VTC denkt bijvoorbeeld aan het samenwerken aan een beleidsplan. Hierbij kunnen incidenteel persoonsgegevens worden uitgewisseld, zoals de naam of het emailadres van een collega of beperkte informatie over de medewerker.
Hoe dan ook zijn bovenstaande richtlijnen slechts richtinggevend. Het blijft belangrijk om, bij het uitmaken of een cloud toepassing wel of niet kan, steeds conform de AVG een risicoanalyse te maken. Het advies van de functionaris voor gegevensbescherming/DPO is daarbij altijd vereist. De structuur van de persoonsgegevens, de schaal van de verwerking en de gevoeligheid van de informatie zijn criteria die de VTC aanhaalt. Zij dienen als hulpmiddel bij het bepalen of informatie al dan niet in de publieke cloud kan verwerkt worden.
Indien men dan toch overgaat tot verwerking in de publieke cloud, heeft de VTC ook hiervoor tips en minimumeisen meegegeven. Het gaat over o.a. het verplicht sluiten van een verwerkingsovereenkomst met de cloud leverancier of het enkel verwerken van gegevens in servers in Europa.
Conclusie: kantoortoepassingen in de niet-EU cloud enkel als algemene kantoortoepassing
Kortom, publieke cloud is enkel te gebruiken als algemene kantoortoepassing en niet voor dossierbehandeling. De VTC laat de besturen wel ruimte om zelf een afweging te maken. Dit betreft zowel in de keuze van de dienstverleners als voor het correct gebruik van de diensten. De eindverantwoordelijkheid ligt dus bij de besturen, die er goed aan doen om steeds op zoek te gaan naar alternatieve oplossingen.