Voorwaarden public cloud gebruik

Public clouddiensten mogen voor overheidsdiensten worden gebruikt onder voorwaarden. Elke gemeente moet daarbij relevante risico’s in beeld hebben en houden zodat zij zich kan verzekeren dat risico’s beheerst zijn en blijven.
Gemeenten formuleren hun eigen cloudbeleid en cloudstrategie. Alle typen clouddienstverlening moeten voldoen aan bestaande voorwaarden voor ICT-dienstverlening. Eventuele risico’s moeten bekend en waar mogelijk gemitigeerd zijn. De gemeente moet zich ervan verzekeren (en aantonen) dat die risico’s beheerst zijn en blijven. Publieke clouddiensten mogen dus worden gebruikt op basis van een relevante risicoafweging. De besluitvorming door de verantwoordelijken moet te toetsen en auditen zijn. Alle opslag en verwerking van privacygevoelige gegevens vindt bij voorkeur plaats binnen de Europese Economische Ruimte (EER). Buiten de EER moeten extra maatregelen genomen worden om aan de verplichtingen van de Algemene Verordening Gegevensbescherming (AVG) te voldoen. Ook moeten extra maatregelen genomen worden op basis van een risicoanalyse bij gebruik van een dienst van een dienstverlener die valt onder een juridisch regiem buiten dat van de AVG (ook al wordt de data in de EER opgeslagen).
Verder worden er géén leveranciers of diensten gebruikt uit landen met een offensief cyberprogramma gericht tegen Nederlandse belangen, met speciale aandacht voor ketenafhankelijkheden.

Aanvullende voorwaarden voor clouddiensten

Bij verwerving of uitbesteding van activiteiten aan clouddienstverleners zijn specifieke risico’s van toepassing als gevolg van marktconcentratie en politieke of geografische spreiding van gegevensverwerkingen. Om daar zicht op te houden dienen gemeenten een aantal kenmerken voor specifieke risico’s bij materieel public cloudgebruik vast te leggen. Dit geldt met name voor gemeentelijke processen waarvan de afhankelijkheid van de ingezette clouddiensten hoog is in relatie met Te Beschermen Belangen of processen waarbij ketenafhankelijkheden van toepassing zijn. Risicoanalyses voor deze processen worden uitgebreid met de specifieke risico’s voor de betreffende clouddiensten. De risicoanalyse betreft tenminste:

  • De karakteristieken van gebruik van een clouddienst, zoals de (hoofd-) dienstverlener en eventuele onder-dienstverleners, het type dienstverlening (public/private/hybride/community cloud), de geografische regio van verwerking en opslag van gegevens.
  • Hoe per geval, bij beëindiging van de overeenkomst, data wordt overgedragen en hoe wordt geregeld dat data aan de kant van de leverancier vernietigd is. Deze ‘exit strategie’ is altijd opgenomen in de overeenkomst met de SaaS-leverancier.
  • Hoe is geregeld dat de dienstverlener controle en verantwoordingsonderzoeken toelaat of daarover rapporteert; er bestaat een ‘right-to-audit’ voor de opdrachtgevende organisatie.

Samengevat: Voorwaarden vanuit het Rijk voor het gebruik van cloud dienstverlening zijn

Volledige bron: Implementatiekader risicoafweging cloudgebruik | Rapport | Rijksoverheid.nl

  • Voor verwerking van persoonsgegevens dient altijd een pre-scan DPIA (Data Protection Impact Assessment) uitgevoerd te worden. Bij een uitkomst ‘hoog risico’ dient een volledige DPIA uitgevoerd te worden.
  • Defensie en staatsgeheimen (nooit toegestaan) vallen buiten de scope van dit beleid.
  • Een eigen cloudbeleid en -strategie dient geformuleerd te zijn.
  • Een risicoafweging dient gemaakt te worden, met auditeerbare besluitvorming.
  • Gekend gebruik: er wordt jaarlijks gerapporteerd over de verwerking van persoonsgegevens door de gemeente aan de gemeenteraad.
  • Exit-strategie: Er dient altijd geregeld te zijn hoe data worden overgedragen en verzamelde data bij leveranciers worden vernietigd bij beëindiging van de overeenkomst.
  • Risicoanalyse t.b.v. materieel publiek cloudgebruik (d.w.z. de ingekochte dienst is van wezenlijk belang).
  • Specifieke risicoanalyse op gebied van geografische regio waar gegevens van SaaS-diensten worden opgeslagen en is er ‘right-to-audit’ voor opdrachtgever.
  • Aandacht voor Cyberveiligheid m.b.t. statelijke actoren – aan te sluiten bij Europees beleid.
  • Wet Open Overheid: openbaarmaking van besluitvorming over de gegevensbeschermingseffectbeoordelingen (DPIA’s).
  • Voldoen aan privacy-vereisten AVG, minimaal aan één van onderstaande eisen voldoen:Opslag en verwerking gegarandeerd binnen EER ofOpslag in landen waarvoor een adequaatheidsbesluit bestaat, of
  • Op basis van een passend doorgiftemechanisme dat voldoet aan de vereisten (art. 46, hoofdstuk V van AVG)
  • Bijzondere persoonsgegevens: Dan en slechts dan in publieke cloud als voorgaande punt 1 of 2 voldoet. Punt 3 (doorgiftemechanisme) alleen via ‘pas-toe-of-leg-uit’.


Thema's

Compliance & DPIA Cloudstrategie en beleid

Gerelateerd

Nieuws

Aanpassing licentiemodel Microsoft

Nieuws

Woordvoeringslijn toegang VS tot e-mail van de Nederlandse overheid

Nieuws

GGI-Cloud Expertisecentrum