Dinsdag zijn 22 nationale toezichthouders begonnen met een onderzoek naar het gebruik van publieke clouds door overheden in de Europese Unie. Dat lijkt een forse stap, maar wie de jurisprudentie over de AVG volgt wist dat er aan zat te komen.
Waar gaat het om
Toezichthouders voor databescherming en privacy in de EU werken samen. Zo wordt dubbel werk voorkomen. Bij het reguliere overleg wordt ook gesproken over de coördinatie van de handhaving. De AVG geldt in elke lidstaat en voorkomen moet worden dat de interpretatie en handhaving verschilt.
Vorig jaar is al aangegeven dat de rol van de nationale hogere en lagere overheden (van ministeries tot gemeentelijke diensten) onder de loep genomen zou worden. Meerdere toezichthouders zouden met name het gebruik van publieke clouddiensten gaan onderzoeken. Dat idee is nu dus werk in uitvoering.
Waarom de publieke cloud
Heel simpel: overheden maken steeds meer gebruik van de cloud. Het aanbod is breed, maar niet elke aanbieder zou geaccepteerd mogen worden.
Er is namelijk iets als het verbod data door te sluizen naar landen met een lager beschermingsniveau. Begrippen die daar bij horen zijn Schrems II, Safe Harbour en natuurlijk de AVG.
Overheden staan nog steeds toe dat bij aanbestedingen en kleinere opdrachten de keuze valt op de cloud van providers die onmogelijk aan de eisen kunnen voldoen. Dat wordt dan ook een interessant deel van het onderzoek.
Bestaande of nieuwe regels
Iedereen die wel eens een RFP of aanbesteding van de overheid heeft meegemaakt zal zich afvragen wat dit EU brede onderzoek voor consequenties zal hebben. Op het eerste gezicht lijkt men vooral te kijken naar het direct zaken doen met de hyperscalers.
Het ligt echter ook voor de hand dat het niet bij dat niveau kan blijven. De gemeentelijke plantsoenendienst hoeft niet eens direct zaken te doen met AWS. Het kan vertrouwen op de diensten van een lokale IT specialist. Maar wat nu als die een SaaS dienst vanuit diezelfde cloud aanbiedt?
Kunnen deze problemen met de bestaande regels en handhavingsmiddelen worden opgelost of zijn er nieuwe regels nodig?
Dit onderzoek zal niet met een paar weken klaar zijn. Een veel grotere groep dan alleen de hyperscalers heeft er belang bij dit dossier te volgen. ITchannelPRO doet dat in ieder geval.