De Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens (VTC) formuleert een update van haar advies. De focus ligt op het gebruik van kantoortoepassingen in de publieke cloud. Dossierbehandeling in de cloud blijkt geen optie.
Een aantal maanden geleden gaf de VTC in een rapport een advies om geen gegevens van Vlaamse studenten op te slaan op de servers van Amazon AWS. Of toch zeker niet langdurig en op grote schaal. Dat deed nogal wat stof opwaaien.
Nu komt de organisatie met een update. De stelling van de VTC is van tel voor Vlaamse en lokale besturen en andere Vlaamse bestuursinstanties. Deze organisaties kunnen de adviezen van de VTC daarom ook zomaar niet naast zich neerleggen.
De update draait rond kantoortoepassingen, waarbij data in de publieke cloud worden verwerkt. Zo is zo’n clouddienstverlener meestal een niet-Europese groep, ongeacht de gekozen datalocatie. ‘De leverancier kan daarbij niet sluitend en afdwingbaar garanderen dat de Europese gegevensbeschermingseisen steeds zullen worden gerespecteerd’, aldus de VTC.
Er kunnen zich, volgens de VTC, zeker problemen stellen. ‘Dit bijvoorbeeld doordat wetgeving die op de leverancier van toepassing is, zoals die van de VS, de overheid – en in het bijzonder de inlichtingendiensten – de mogelijkheid geeft om de data die beheerd worden door deze cloudproviders massaal op te vragen.’
Geen dossierbeheer
Volgens de VTC is de publieke cloud in principe niet aanvaardbaar voor structureel dossierbeheer met persoonsgegevens. Ook is deze cloudvorm niet aanvaardbaar voor het delen of uitwisselen van gevoelige persoonsgegevens zoals het uitwisselen van vaccinatiestatus. Het is ook niet de bedoeling dat er gebruik wordt gemaakt van een (publieke) cloudapplicatie voor participatie van de burger, zoals met gedeelde mappen in de cloud.
Wat zou dan wel mogen? In principe is de publieke cloud volgens de VTC wel bruikbaar voor het uitwisselen van ontwerpdocumenten zonder vertrouwelijke informatie en het uitvoeren van praktische taken. ‘Daarbij kunnen incidenteel persoonsgegevens worden uitgewisseld, zoals de naam of het emailadres van een collega of beperkte informatie over de medewerker.’
In principe is de publieke cloud door Vlaamse overheidsorganisaties te gebruiken als algemene kantoortoepassing en niet voor dossierbehandeling, luidt de conclusie.
Belangrijk is tenslotte ook dat steeds naar andere mogelijkheden wordt gekeken. ‘Ons advies werd opgesteld voor alle leveranciers van algemene kantoortoepassingen in een cloudmodel. Het is steeds aangewezen is om alternatieve oplossingen te bekijken.’
