Privatim: Amerikaanse SaaS ontoelaatbaar voor Zwitserse overheden

Privatim, de conferentie van Zwitserse functionarissen voor gegevensbescherming, constateert dat het beschermen van persoonsgegevens wettelijk verplicht is en dat daarom SaaS-oplossingen van grote internationale aanbieders (zoals met name M365) ontoelaatbaar zijn. Niet voor het eerst een oordeel over M365 dat aan duidelijkheid niets te wensen overlaat.

Het bericht van Privatim van 24 november past in een steeds langer wordende lijst van adviezen, waarschuwingen en richtsnoeren over het gebruik van SaaS diensten van de Amerikaanse hyperscalers. Soms worden de aanbieders bij naam genoemd, soms zijn er algemene omschrijvingen. Aanbieders van dit soort diensten uit China komen amper voorbij, daarvoor is hun aanwezigheid in Europa te gering.

Vijf struikelblokken

Privatim constateert dat:

• De meeste SaaS-oplossingen bieden nog geen echte end-to-end-versleuteling, waardoor de aanbieder toegang zou hebben tot leesbare gegevens.
• Wereldwijd opererende bedrijven bieden te weinig transparantie om Zwitserse autoriteiten in staat te stellen de naleving van de contractuele verplichtingen met betrekking tot gegevensbescherming en -beveiliging te controleren. Dit geldt zowel voor de implementatie van technische maatregelen en het change-/releasemanagement als voor de inzet en controle van medewerkers en onderaannemers, die soms lange ketens van externe dienstverleners vormen. Wat de zaak nog ingewikkelder maakt, is dat softwareleveranciers de contractvoorwaarden periodiek eenzijdig kunnen aanpassen.
• Het gebruik van SaaS-toepassingen gaat daarom gepaard met een aanzienlijk verlies aan controle. De overheidsinstantie kan de kans op schending van grondrechten niet beïnvloeden. Zij kan alleen de ernst van mogelijke schendingen verminderen door bijzonder beschermingswaardige gegevens niet buiten haar controleerbare domein te brengen.
• Bij gegevens die onder een wettelijke geheimhoudingsplicht vallen, bestaat er soms aanzienlijke rechtsonzekerheid over de mate waarin deze überhaupt naar clouddiensten mogen. Niet elke derde partij kan als hulpverlener worden ingeschakeld, alleen omdat de strafrechtelijke voorschriften inzake ambts- en beroepsgeheim ook hulpverleners van geheimhouders tot geheimhouding verplichten.
• Op grond van de in 2018 aangenomen CLOUD Act kunnen Amerikaanse aanbieders worden verplicht om gegevens van hun klanten aan Amerikaanse autoriteiten te verstrekken zonder zich aan de regels van internationale rechtshulp te houden, zelfs als deze gegevens in Zwitserse datacenters zijn opgeslagen.

Conclusie

Privatim stelt dat op basis van bovenstaande dat “het gebruik van internationale (lees: Amerikaanse) SaaS-oplossingen voor bijzonder beschermingswaardige persoonsgegevens of persoonsgegevens die onder de wettelijke geheimhoudingsplicht vallen door openbare instanties alleen mogelijk [is] als de gegevens door de verantwoordelijke instantie zelf versleutelen en de cloudprovider geen toegang heeft tot de sleutel.

In het vet en cursief staan de struikelblokken die ook onderwerp van Europees onderzoek en het onderzoek dat de Britten uitvoeren.