/i/2004907232.png?f=meta)
Nederlandse overheidsinstanties mogen binnenkort commerciële clouddiensten gebruiken. Nu mogen overheden alleen eigen clouddiensten gebruiken. Overheden mogen niet alles opslaan op clouddiensten; bijzondere persoonsgegevens mogelijk bijvoorbeeld standaard niet.
Onder clouddiensten vallen volgens de Rijksoverheid onder meer externe opslagcapaciteit, applicaties en netwerken. Nederlandse overheidsinstanties mogen nu nog geen commerciële clouddiensten gebruiken, omdat in 2010 werd besloten dat nadelen als veiligheidsrisico's en afhankelijkheidsrisico's zwaarder wogen dan de voordelen van clouddiensten. 'Private' clouddiensten mochten wel, dat zijn clouddiensten die in beheer zijn van een overheidsinstantie 'of exclusief door een marktpartij worden aangeboden'.
Sinds dat besluit heeft de markt voor publieke clouddiensten echter een 'grote ontwikkeling doorgemaakt, versneld door de covid-pandemie', schrijft staatssecretaris van Digitalisering Alexandra van Huffelen. De diensten zijn volgens de staatssecretaris betrouwbaarder geworden, de veiligheidsmogelijkheden zijn uitgebreid en er wordt nu sneller gereageerd op bugs met updates en patches.
Daarom mogen overheidsinstellingen binnenkort ook commerciële clouddiensten gebruiken, al wordt dit gebruik wel aan bepaalde voorwaarden gebonden. Als er persoonsgegevens worden verwerkt, moet er bijvoorbeeld eerst een 'pre-scan' gegevensbeschermingseffectbeoordeling worden uitgevoerd. Volgt hieruit dat er een hoog risico is, dan moet er een volledige gegevensbeschermingseffectbeoordeling, ook wel bekend als dpia, worden uitgevoerd. Voor het einde van dit jaar moet er een implementatierichtlijn risicoafweging cloudgebruik zijn, zodat de chief information officers van overheidsinstellingen de juiste risicoanalyses kunnen maken. De opslag en verwerking van persoonsgegevens valt ook onder de AVG.
Andere voorwaarden zijn dat er altijd een exitstrategie moet zijn zodat het geregeld is hoe data wordt overgedragen als een overeenkomst wordt beëindigd en dat bepaalde leveranciers niet gebruikt mogen worden. Bedrijven of diensten uit landen met een cyberprogramma 'dat gericht is tegen Nederlandse belangen' mogen niet worden gebruikt. Overheidsinstanties mogen in principe geen bijzondere persoonsgegevens of een basisregistratie verwerken met de clouddiensten. Uitzonderingen zijn wel mogelijk, al moeten deze dan wel worden uitgelegd binnen de dpia.
Staatsgeheimen mogen niet op commerciële clouddiensten worden opgeslagen. De staatssecretaris wil het nieuwe Cloudbeleid 2022 een jaar na publicatie evalueren. Wanneer het Cloudbeleid ingaat is niet duidelijk, mogelijk wordt er eerst gewacht op de eerder genoemde risicoafweging. Het ministerie van Defensie valt buiten het nieuwe Cloudbeleid. De Algemene Rekenkamer, Auditdienst Rijk en Autoriteit Persoonsgegevens gaan toezien dat overheden het beleid volgen.
Nederlandse overheidsinstanties mogen straks commerciële clouddiensten gebruiken - IT Pro - Nieuws - Tweakers
Read More
Tidak ada komentar:
Posting Komentar