Het wijzen op risicos met Amerikaanse cloudproviders is niet nieuw, maar een duidelijke rode lijn wordt niet vaak getrokken.

Het is volgens Zwitserse privacytoezichters ‘juridisch ontoelaatbaar’ dat de overheid de verwerking van bijzondere persoonsgegevens of geheimhoudingsplichtige gegevens uitbesteed aan niet-Europese Cloudproviders. Dat schrijft de organisatie voor Zwitserse privacytoezichthouders in een resolutie gericht aan de Zwitserse overheid.

Privatim richt zijn pijlen in de resolutie specifiek op grote internationale aanbieders van Software-as-a-Service, zoals Microsoft, Google en andere hyperscalers. Volgens de organisatie brengen dergelijke platforms fundamentele risico’s met zich mee voor databescherming, transparantie en rechtszekerheid. Het wijzen op risico’s met Amerikaanse cloudproviders zijn voor Europese privacyorganisaties niet nieuw, maar een duidelijke rode lijn wordt niet vaak getrokken.

Er zijn volgens de organisatie vijf cruciale redenen op waarom deze uitbesteding niet mag plaatsvinden. Zo ontbreekt het bij de meeste SaaS-oplossingen nog altijd aan echte end-to-end-versleuteling, waardoor aanbieders theoretisch toegang kunnen krijgen tot gegevens in leesbare vorm. Ook zouden internationale cloudbedrijven te weinig inzicht bieden in hun beveiligingsmaatregelen, interne processen en ketens van onderaannemers, waardoor controle door de overheid onmogelijk wordt.

Gegevens onder wettelijke geheimhouding

Daarnaast waarschuwt Privatim voor een verregaand verlies van controle zodra gegevens buiten het eigen beheersdomein worden geplaatst. Voor gegevens onder wettelijke geheimhouding, zoals bij justitie, politie, gezondheidszorg of sociale diensten, bestaat bovendien aanzienlijke juridische onzekerheid over of uitbesteding überhaupt is toegestaan.

Deze versturen we 3-4x per jaar.