De Vlaamse Toezichtcommissie legt een bom onder het gebruik van Amazon Web Services voor Vlaamse onderwijsinstanties. Maar eigenlijk voor (overheids)bedrijven in het algemeen. Wat is er aan de hand? Heel wat, zo blijkt.
Wat is de boodschap? No go
De boodschap is simpel: dat het geen goed idee is om gegevens van Vlaamse studenten langdurig en op grote schaal op te slaan op de servers van Amazon, want in strijd met de Europese privacywetten. Dat adviseert de Vlaamse Toezichtcommissie (VTC) aan de (Vlaamse) overheid.
Let wel, het gaat om een advies, maar wel eentje dat to the point is. Of zoals het in hun rapport staat: AWS is in de meeste gevallen een ‘no-go’.
Waar komt dit advies plots vandaan?
Op de vraag van drie Vlaamse agentschappen: het Departement Onderwijs en Vorming, het Agentschap voor Onderwijsdiensten en – ten derde – het Agentschap Hoger Onderwijs, Volwassenenonderwijs, Kwalificaties en Studietoelagen.
Zij hadden de VTC om advies gevraagd rond een plan om databanken, die onder meer gegevens van studenten bevatten, te gaan opzetten en die onder te brengen bij Amazon Web Services (AWS). Die databanken zouden er voor moeten zorgen dat de drie agentschappen beter en efficiënter met elkaar samenwerken. De data in kwestie zijn dus Vlaamse onderwijsdata, gegevens die de VTC letterlijk als ‘kroonjuwelen’ omschrijft.
Wat is het probleem?
Het twaalf pagina’s lange rapport adviseert over AWS, en is eerder vernietigend voor de hele opzet. De VTC wijst er ook op dat spelers als Amazon de data (kunnen) gebruiken voor ‘vergaande profilering’ en verder schrijft ze dat het ‘key-management (beheer encryptiesleutel) van AWS is.’
De VTC wijst er verder op dat het verboden is om een grote hoeveelheid persoonsgegevens aan eenzelfde niet-Europese cloudspeler toe te vertrouwen. De gegevensbescherming in het land van de ontvanger is immers niet conform aan onze privacywetten.
Praktisch bekeken is het advies van de VTC ook gestoeld op de redenering dat een Amerikaanse overheid in principe data kan opvragen uit de databanken van Amerikaanse leveranciers wanneer zij daar een formeel verzoek voor indient.
Is het enkel AWS?
Neen, ook al ging het expliciet om AWS in het rapport, eigenlijk is het van toepassing op elke niet-Europese cloudleverancier waarvan noch het bedrijf, noch het moederbedrijf Europees is. Vermits het niet bewezen is dat de gegevensbescherming van het land van de ‘dataontvanger’ vergelijkbaar is met de Europese wetgeving (lees: GDPR). Ook Snowflake wordt overigens bij naam genoemd in het rapport.
Is het voor alle clouddiensten?
Een niet-Europese leverancier wordt niet voor alles afgeraden. Maar eerlijk: wel voor bijna alles. Veel data van veel personen is bijvoorbeeld een no-go bij een niet-Europese leverancier. Net als data die een negatieve impact kunnen hebben of over gevoelige personen. Ook unieke identificatoren zijn een no-go.
Het enige wat wel nog zou kunnen, zijn gevoelige gegevens die niet grootschalig én tijdelijk zijn, maar dan wel als ze geëncrypteerd zijn én extern gecontroleerd.
Van waar komt de (juridische) wind?
Het nieuwe advies lijkt een rechtstreeks gevolg van het grotendeels ongeldig verklaren van het Privacy Shield door het Europees Hooggerechtshof enkele maanden geleden.
Dat betekent dat bedrijven geen persoonsgegevens van EU-burgers meer mogen overzetten naar Amerikaanse servers. Weet ook dat een aantal jaar geleden door de overheid wél het licht op groen is gezet voor het gebruik van AWS en andere public clouddiensten. De klok in de public cloud is dus teruggedraaid.
Wat vindt AWS zelf?
Dat weten we niet officieel. Computable heeft begin deze week AWS om een reactie gevraagd, maar tot dusver komt uit die hoek geen commentaar. Al kan je er natuurlijk vanuit gaan dat zij verveeld zitten met de zaak.
Weet ook dat sommige Belgische spelers, actief in de onderwijswereld, intussen reeds bij Amazon zijn gaan aankloppen. Een bekend voorbeeld is Smartschool, marktleider in onderwijstoepassingen voor bijvoorbeeld secundaire scholen, dat onlangs (deels) overschakelde op AWS.
Wat is de inschatting van de it’er?
Die is (uiteraard) licht anders dan de juridische kant van het verhaal. Zo wijst het VTC er ook op dat er bij spelers als Amazon een gevaar bestaat voor ‘vendor lock-in’. Dat kan, maar is geen puur juridische inschatting. Een die overigens geldt voor alle bedrijven in de cloud. En eigenlijk geldt dit ook voor bedrijven die pakweg hun erp-pakket bij SAP bestellen.
Zijn er alternatieven?
De VTC stelt in het rapport zelf enkele cloudspelers voor waarbij de data wel op Belgische grondgebied zou worden gehouden, zoals de plaatselijke G-Cloud. Alleen kunnen die in technisch opzicht niet dezelfde diensten en garanties bieden dan een partij als AWS. Meer zelfs: ze zijn er in veel gevallen eigenlijk niet voor bedoeld.
We hebben in Europa op dit moment ook te weinig bedrijven met enige (cloud)schaal, en dat is ook jammer.
Of hoe het advies van het VTC juridisch dan wel begrijpelijk lijkt, maar vandaag niet helemaal de toets met de realiteit kan doorstaan.
