15 feb
2022

De GBA neemt deel aan de eerste Europese jaarlijkse gecoördineerde actie over het gebruik van de cloud door de overheid

Vandaag begint de eerste gecoördineerde handhavingsactie van het Europees Comité voor gegevensbescherming (een onafhankelijk Europees orgaan dat is samengesteld uit vertegenwoordigers van de nationale gegevensbeschermingsautoriteiten van de EU). De komende maanden zullen 22 nationale toezichthoudende autoriteiten in de hele EER (met inbegrip van de EDPS) onderzoeken starten naar het gebruik van cloudgebaseerde overheidsdiensten. De GBA neemt deel aan dit project.


Deze reeks acties is het gevolg van het besluit van de EDPB om in oktober 2020 een gecoördineerd handhavingskader (GHK) op te zetten. Het GHK is een kernactiviteit van de EDPB in het kader van zijn Strategie 2021-2023, samen met de oprichting van een ondersteuningsgroep van deskundigen (Support Pool of Experts - SPE). De twee initiatieven zijn gericht op het stroomlijnen van handhaving en samenwerking tussen de toezichthoudende autoriteiten.

Volgens EuroStat is het gebruik van de cloud door ondernemingen in de EU de afgelopen 6 jaar verdubbeld. De COVID-19-pandemie is de aanleiding geweest voor een digitale transformatie van organisaties, waarbij veel overheidsorganisaties hun toevlucht nemen tot cloudtechnologie. Hierbij kunnen overheidsinstanties op nationaal en EU-niveau echter moeilijkheden ondervinden bij het verkrijgen van informatie- en communicatietechnologieproducten die beantwoorden aan de gegevensbeschermingsregels van de EU. Door middel van gecoördineerde richtsnoeren en activiteiten willen de toezichthoudende autoriteiten beste praktijken bevorderen en aldus de passende bescherming van persoonsgegevens verzekeren.

In totaal zullen meer dan 80 overheidsinstanties in de EER worden aangesproken, waaronder EU-instellingen, die een brede waaier aan sectoren bestrijken (zoals gezondheidszorg, financiën, belastingen, onderwijs, centrale inkopers of leveranciers van IT-diensten). Voortbouwend op het gemeenschappelijke voorbereidende werk van alle deelnemende toezichthoudende autoriteiten zal het GHK op nationaal niveau ten uitvoer worden gelegd op een of meer van de volgende manieren: feitenonderzoek; vragenlijst om na te gaan of een formeel onderzoek geboden is; instelling van een formeel onderzoek; follow-up van lopende formele onderzoeken. De toezichthoudende autoriteiten zullen met name de uitdagingen van overheidsinstanties in verband met de naleving van de AVG onderzoeken wanneer zij cloudgebaseerde diensten gebruiken, met inbegrip van het proces en de waarborgen die worden ingesteld wanneer zij clouddiensten verwerven, uitdagingen in verband met internationale doorgiften, en bepalingen die de relatie verwerkingsverantwoordelijke-verwerker regelen.

De Belgische Gegevensbeschermingsautoriteit ("BE GBA") heeft besloten om in eerste instantie een feitenonderzoek in te stellen door de vragenlijst naar twee soorten instanties te sturen.

Om een helicopterview te krijgen van het gebruik van cloudgebaseerde diensten door de overheid in België, zal de vragenlijst naar twee belangrijke ICT-dienstverleners voor overheidsinstanties worden gestuurd. De vragenlijst zal bovendien naar zes overheidsinstanties worden gestuurd die grote hoeveelheden gezondheidsgegevens verwerken en die een cruciale rol hebben gespeeld in de context van de COVID-19-crisis.

De resultaten zullen op gecoördineerde wijze worden geanalyseerd en de toezichthoudende autoriteiten zullen beslissen over eventuele verdere nationale toezichts- en handhavingsactiviteiten. Bovendien zullen de resultaten worden geaggregeerd, zodat een beter inzicht in het onderwerp wordt verkregen en een gerichte follow-up op EU-niveau mogelijk wordt. De EDPB zal voor het einde van 2022 een verslag over het resultaat van deze analyse publiceren.

Interessante links