Zwitserse FG's: opslag overheidsdata in Amerikaanse cloud vaak onacceptabel
Het gebruik van Amerikaanse clouddiensten voor de opslag van gevoelige overheidsdata is vaak onacceptabel, zo stelt Privatim, de vereniging van Zwitserse Functionarissen Gegevensbescherming (FG's). Een FG houdt binnen organisaties toezicht op de toepassing en naleving van de AVG. Privatim publiceerde deze week een resolutie over gegevensverwerking in de cloud door overheidsinstanties. "Publieke organen hebben een speciale verantwoordelijkheid naar hun burgers toe. Hoewel ze hun gegevensverwerking mogen uitbesteden aan derde partijen, moeten ze ervoor zorgen dat databescherming en informatiebeveiliging behouden blijven."
De meeste cloudoplossingen bieden echter geen echte end-to-end encryptie die voorkomt dat de aanbieder toegang tot de data heeft, aldus Privatim. Daarnaast kunnen Zwitserse autoriteiten door een gebrek aan transparantie bij grote techbedrijven onvoldoende controleren of die zich aan hun contractuele verplichtingen met betrekking tot databescherming en security houden. Zo kunnen cloudproviders periodiek eenzijdig contractsvoorwaarden aanpassen, aldus de FG's
Het gebruik van clouddiensten leidt dan ook tot een groot verlies van controle, gaat de resolutie verder. Overheidsinstanties hebben daardoor ook geen invloed op een mogelijke schending van fundamentele rechten. Instanties kunnen alleen de impact van dergelijk overtredingen beperken door geen gevoelige data met de clouddienst te delen. De FG's wijzen ook naar de Amerikaanse CLOUD Act, die Amerikaanse techbedrijven kan dwingen om klantgegevens te verstrekken, ook als die gegevens in Zwitserse datacenters zijn opgeslagen.
Voor deze redenen is het volgens Privatim in de meeste gevallen onacceptabel dat overheidsinstanties gevoelige persoonlijke data van burgers of data waarvoor wettelijke verplichtingen gelden, bij Amerikaanse clouddiensten opslaan. De enige mogelijkheid volgens de FG's voor overheidsdiensten om toch Amerikaanse clouddiensten voor de opslag van gevoelige persoonlijke data te gebruiken is wanneer de data is versleuteld door de instantie zelf en de cloudprovider geen toegang tot de encryptiesleutel heeft.
Bij een 'cloud' ben je hoe dan ook niet meer 'baas over eigen data'. Ingewikkelder is het niet.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?