De Europese privacytoezichthouder EDPS heeft grensbewaker Frontex een officiële reprimande gegeven wegens het overstappen naar de cloud zonder een Data protection impact assessment (DPIA) uit te voeren, waarmee privacyrisico's in kaart worden gebracht.

De EDPS ontdekte dat Frontex naar de cloud was overgestapt zonder een uitgebreid onderzoek te doen naar de databeschermingsrisico's en zonder het identificeren van mitigatiemaatregelen of andere waarborgen voor het verwerken van data. Frontex kon de Europese privacytoezichthouder ook niet laten zien waarom het naar de cloud moest overstappen.

Frontex had gekozen voor de clouddiensten van Microsoft, maar kon ook niet aantonen dat deze oplossing de uitkomst was van een uitgebreid proces waarbij ook naar alternatieve producten was gekeken. Verder bleek dat Frontex de verzameling van persoonlijke data door Microsoft niet had beperkt tot wat noodzakelijk was. Daarmee heeft de grensbewaker de verplichtingen die voor datacontrollers gelden overtreden, alsmede de vereisten voor databescherming by design en default, aldus de EDPS.

Naast de reprimande heeft de EDPS Frontex opgedragen om de DPIA te herzien en de documenten rond de gegevensverwerking van persoonlijke data in clouddiensten. "Het is de verantwoordelijkheid van de datacontroller richting de verantwoordelijke autoriteit en individuen van wie de data wordt verwerkt om duidelijk de activiteiten in kaart te brengen die het verwerken van persoonlijke data vereisen en de impact op de fundamentele rechten van personen te beoordelen", zegt EDPS-voorzitter Wojciech Wiewiorowski.