U bent hier: Home / Nieuws / Nieuws / Aanbevelingen van de EDPB voor het gebruik van cloud-diensten door de overheid

Aanbevelingen van de EDPB voor het gebruik van cloud-diensten door de overheid

Geplaatst op
Illustration de l'actualité - cliquer pour agrandir
Dit bericht is bestemd voor verantwoordelijken voor gegevensbescherming binnen de overheidorganisaties die een cloud gebruiken.

De European Data Protection Board (Europees Comité voor Gegevensbescherming) heeft onlangs een verslag gepubliceerd over het gebruik van clouddiensten door overheidsinstanties in 22 nationale toezichthoudende organen. In dit rapport worden verantwoordelijken voor gegevensbescherming die clouddiensten gebruiken specifiek geadviseerd om 11 aanbevelingen op te volgen.

Wat zijn deze aanbevelingen?

  1. Voer een Effectbeoordeling inzake gegevensbescherming (Data Protection Impact Aanlysis of DPIA) uit, om na te gaan welke aanvullende beveiligingsmaatregelen nodig zijn om de naleving van de toepasselijke wet- en regelgeving te waarborgen. Enkel aanbieders van clouddiensten die voldoende garanties bieden, moeten worden geselecteerd.
     
  2. Zorg ervoor dat de rollen van de betrokken partijen duidelijk en ondubbelzinnig worden vastgesteld. Overheidsinstanties dienen hun rol met betrekking tot het gebruik van clouddiensten duidelijk te definiëren door middel van een interne evaluatie of als onderdeel van een DPIA.
     
  3. De aanbieder van clouddiensten mag alleen handelen namens en in opdracht van de overheidsinstantie. De overheidsadministratie moet nagaan of er steeds een geldige rechtsgrondslag is voor elke doorgifte van persoonsgegevens aan een clouddienstverlener die optreedt als verantwoordelijke voor de verwerking, hetzij alleen hetzij gezamenlijk.
     
  4. Controleer de huidige en toekomstige onderaannemers van de cloud provider. Er moet namelijk worden gezorgd voor een passende procedure om bezwaar te kunnen maken tegen latere nieuwe onderaannemers.
     
  5. Beperk de gegevens die voor duidelijke en expliciete doeleinden worden verwerkt tot een minimum. Zorg ervoor dat persoonsgegevens niet verder worden verwerkt voor doeleinden die onverenigbaar zijn met de oorspronkelijke doeleinden.
     
  6. De verwerkingen opnieuw evalueren overeenkomstig de impactanalyse, om deze zo nodig bij te werken.
     
  7. Ervoor zorgen dat de procedure voor overheidsopdrachten alle noodzakelijke vereisten omvat. Dit is met name belangrijk om de naleving van de AVG te waarborgen.
     
  8. Internationale gegevensoverdrachten die de leverancier uitvoert moeten voldoen aan de AVG en kunnen door de overheidsinstantie worden beperkt. De overheid moet van de leverancier eisen dat hij een geschikt overdrachtsinstrument gebruikt en zo nodig passende aanvullende maatregelen neemt.
     
  9. Het contract met de leverancier in detail herzien en zo nodig opnieuw onderhandelen om de naleving van de AVG te garanderen.
     
  10. De mogelijke voorwaarden voor een audit van de leverancier nagaan, ongeacht of deze intern of door een gemandateerde externe auditeur wordt uitgevoerd.
     
  11. Betrek de DPO vanaf het begin van een project, met name bij de analyse van contracten en bij alle in dit document beschreven stappen.

Het volledige verslag van de EDPB is beschikbaar op de website van de EDPB (in het Engels).

gearchiveerd onder: Categories: