Onderzoek datatransfer EU-organen aan AWS en Azure

Compliance Europese instellingen in geding nu Privacy Shield ongeldig is

Dit artikel delen:

Berlaymont, zetel van de Europese Commissie in Brussel

De Europees Toezichthouder voor Gegevensbescherming (EDPS) start twee onderzoeken naar het gebruik van clouddiensten door Europese instellingen. Zijn persoonsgegevens van EU-burgers voldoende beschermd terwijl die instellingen gebruikmaken van Amerikaanse aanbieders Amazon Web Services (AWS) en Microsoft Azure? En is de Europese Commissie compliant bij haar gebruik van Microsoft 365?

De EDPS ziet er als onafhankelijke autoriteit op toe dat organisaties verbonden aan de Europese Unie zich houden aan afspraken over privacy en bescherming van persoonsgegevens. Afgelopen najaar riep de toezichthouder Europese instellingen op om te melden of en hoe zij zulke gegevens delen met bedrijven van buiten de EU.

Veel EU-instellingen maken gebruik van de diensten van Amerikaanse cloud-aanbieders AWS en Microsoft. De organisaties tekenden hiertoe begin vorig jaar zogeheten Cloud II-contracten met de aanbieders. Dit gebeurde enkele maanden voordat het Europese Hof van Justitie het toenmalige verdrag voor trans-Atlantische data-uitwisseling Privacy Shield ongeldig verklaarde.

Het is nu de vraag of de Cloud II-contracten voldoen aan de nieuwe situatie waarin het Privacy Shield niet meer van kracht is. 

Weinig bescherming

"Europese instellingen moeten het goede voorbeeld geven"

Sinds de ongeldigverklaring van Privacy Shield mogen bedrijven, overheden en instellingen in de Europese Unie geen persoonsgegevens buiten de EU opslaan en laten verwerken, zonder dat er voldoende waarborgen zijn voor de bescherming van de data. Ook modelcontracten voor doorgifte van persoonsgegevens bieden te weinig bescherming tegen de bevoegdheden van Amerikaanse inlichtingendiensten.

Volgens EDPS-chef Wojciech Wiewiórowski hebben AWS en Microsoft maatregelen aangekondigd zodat ze voldoen aan nieuwe situatie. Hij twijfelt evenwel of dit voldoende is om de Europese regels voor databescherming volledig te volgen.

Aanbevelingen

Het tweede onderzoek van de EDPS richt zich op het gebruik van het cloudgebaseerde kantoorsoftwarepakket Microsoft 365 door de Europese Commissie. Vastgesteld moet worden of de Commissie eerdere aanbevelingen van de EDPS over het gebruik van Microsoft-producten wel opvolgt.

Het uiteindelijke doel is dat de Europese Commissie en andere organisaties zich bij cloudcontractonderhandelingen beter gaan houden aan databeschermingsregels. Europese instellingen moeten het goede voorbeeld geven, aldus Wiewiórowski. Het is niet bekend hoe de planning van de twee onderzoeken eruitziet.

EDPS is de afkorting voor European Data Protection Supervisor. In 2018 publiceerde de toezichthouder richtlijnen voor het gebruik van clouddiensten door Europese instellingen.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-05-28T10:40:00.000Z Diederik Toet