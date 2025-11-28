Het gebruik van Amerikaanse clouddiensten voor de opslag van gevoelige overheidsdata is vaak onacceptabel, zo stelt Privatim, de vereniging van Zwitserse Functionarissen Gegevensbescherming (FG's). Een FG houdt binnen organisaties toezicht op de toepassing en naleving van de AVG. Privatim publiceerde deze week een resolutie over gegevensverwerking in de cloud door overheidsinstanties. "Publieke organen hebben een speciale verantwoordelijkheid naar hun burgers toe. Hoewel ze hun gegevensverwerking mogen uitbesteden aan derde partijen, moeten ze ervoor zorgen dat databescherming en informatiebeveiliging behouden blijven."

De meeste cloudoplossingen bieden echter geen echte end-to-end encryptie die voorkomt dat de aanbieder toegang tot de data heeft, aldus Privatim. Daarnaast kunnen Zwitserse autoriteiten door een gebrek aan transparantie bij grote techbedrijven onvoldoende controleren of die zich aan hun contractuele verplichtingen met betrekking tot databescherming en security houden. Zo kunnen cloudproviders periodiek eenzijdig contractsvoorwaarden aanpassen, aldus de FG's

Het gebruik van clouddiensten leidt dan ook tot een groot verlies van controle, gaat de resolutie verder. Overheidsinstanties hebben daardoor ook geen invloed op een mogelijke schending van fundamentele rechten. Instanties kunnen alleen de impact van dergelijk overtredingen beperken door geen gevoelige data met de clouddienst te delen. De FG's wijzen ook naar de Amerikaanse CLOUD Act, die Amerikaanse techbedrijven kan dwingen om klantgegevens te verstrekken, ook als die gegevens in Zwitserse datacenters zijn opgeslagen.

Voor deze redenen is het volgens Privatim in de meeste gevallen onacceptabel dat overheidsinstanties gevoelige persoonlijke data van burgers of data waarvoor wettelijke verplichtingen gelden, bij Amerikaanse clouddiensten opslaan. De enige mogelijkheid volgens de FG's voor overheidsdiensten om toch Amerikaanse clouddiensten voor de opslag van gevoelige persoonlijke data te gebruiken is wanneer de data is versleuteld door de instantie zelf en de cloudprovider geen toegang tot de encryptiesleutel heeft.