Het the Hague Forum for Cloud Contracting | verslag 2020

"Head in de cloud, feet on the ground!"

In augustus 2019 kwamen vertegenwoordigers van EU-lidstaten en -instellingen bijeen om te bespreken hoe ze de gezamenlijke inkoop van software, en clouddiensten in het bijzonder, op standaardvoorwaarden konden baseren. Deze conferentie resulteerde in de totstandkoming van The Hague Forum for Cloud Contracting.

English version

Op 2 juli 2020 werd de tweede editie van The Hague Forum for Cloud Contracting georganiseerd door de Europese Toezichthouder voor de Gegevensbescherming (EDPS) en Strategisch Leveranciersmanagement (SLM), dat onder het Nederlandse Ministerie van Justitie en Veiligheid valt. Het doel was het evalueren van de voortgang ten aanzien van de toepassing van de aanbevelingen.

Hieronder volgen enkele van de bevindingen, meningen en conclusies die tijdens het forum aan bod kwamen.

Het Forum blijft het platform voor informatie-uitwisseling dat bijdraagt aan het besef dat standaard gegevensbescherming door ontwerp een wettelijke verplichting is. Leveranciers moeten blijk geven van de toepassing van dit principe. Dit is nodig voor een gezamenlijke aanpak van de realisatie van de digitale datasoevereiniteit van de Europese Unie.

Het gebruik van clouddiensten is een realiteit voor de Europese Unie. Ze zijn niet meer weg te denken. Daarom moeten EU-instellingen innovatieve cloudoplossingen omarmen om de publieke diensten te kunnen leveren die burgers verwachten en verdienen.

Er zijn diverse haken en ogen aan cloud computing verbonden. De voornaamste hiervan is dat het de Europese Unie aan eigen cloudinfrastructuren en -diensten ontbreekt. Daarom is zij voor de verwerking van haar gevoelige informatie in toenemende mate afhankelijk van partijen buiten de EU. De uitdaging bestaat erin om erop toe te zien dat cloud providers voldoen aan de eisen van de Algemene Verordening Gegevensbescherming (AVG) en andere EU-richtlijnen ten aanzien van de cloudbeveiliging, dataportabiliteit en energie-efficiëntie.

De SLM is erin geslaagd om een AVG-proof contract met Microsoft uit te onderhandelen, dat het vervolgens introduceerde bij de Nederlandse gemeentes en onderwijssector. Het doel is om dit contract nu ook beschikbaar te stellen aan andere organisaties in de publieke sector en EU-instellingen. Dit kan alleen worden bewerkstelligd in nauwe samenwerking met de leden van het Forum en de nationale agentschappen voor gegevensbescherming, die worden aangestuurd door de Ierse gegevensbeschermingsautoriteit.

Aanbevelingen van de EDPS
De EDPS heeft aanbevelingen gepubliceerd die de neerslag vormen van zijn onderzoek naar de standaardvoorwaarden voor Microsoft Online Services (OST), die in januari 2020 werden bijgewerkt naar aanleiding van het door SLM verrichte werk. Het rapport is hier te vinden. De belangrijkste bevinding en tegelijkertijd het belangrijkste punt van zorg van de EDPS is dat Microsoft in diverse opzichten als verwerkingsverantwoordelijke optreedt. In zijn rapport reikt de organisatie aanbevelingen aan voor het oplossen van dit probleem. De EDPS heeft daarnaast diverse aanbevelingen gedaan voor het waarborgen van de continuïteit van de gegevensbescherming in gevallen waarin data wordt overgedragen naar landen buiten de Europese Unie en daar wordt opgeslagen en verwerkt.

De AVG en de European Union Data Protection Representatives (EUDPR) hebben richtlijnen opgesteld die moeten worden opgenomen in contracten tussen de Rijksoverheid in haar hoedanigheid als gegevensverantwoordelijke en de externe leverancier in diens hoedanigheid van gegevensverwerker. De EDPS stuitte echter op twee opvallende voorbeelden waarbij er onvoldoende aan deze eisen werd voldaan.

Ten eerste was de door Microsoft verstrekte informatie onvoldoende om een subverwerker te kunnen goedkeuren of afwijzen. Ten tweede geeft de richtlijn aan dat de gegevensverantwoordelijke recht heeft op audits en inspecties van de gegevensverwerker. De EDPS constateerde echter dat dit in de praktijk niet mogelijk was.

De maatregelen die de EDPS aan alle overheden aanbeveelt: deel je praktische en professionele kennis en meld de problemen op het gebied van gegevensbescherming die je signaleert.

DG DIGIT
De nieuwe overeenkomst tussen het Directoraat-generaal Informatica (DIGIT) van de Europese Commissie en Microsoft is gebaseerd op diverse aanbevelingen van de EDPS. Zij brengt alle clausules die relevant zijn voor gegevensbescherming onder in één document dat alle andere onderdelen van de overeenkomst vervangt en niet eenzijdig kan worden gewijzigd. Verder geeft de overeenkomst uitdrukkelijk aan welke verwerkingsdoeleinden wel en niet zijn toegestaan. Zij biedt meer grip op de inzet van subverwerkers en voorziet daarnaast in beschermingsmechanismen die van toepassing zijn op de werkzaamheden van Microsoft en in het bijzonder mechanismen voor de omgang met verzoeken van autoriteiten in landen buiten de EU om inzage in persoonsgegevens.

Een vergelijking tussen de contracten van DG DIGIT en SLM bracht diverse lage, gemiddelde en hoge risico’s aan het licht. SLM heeft een nieuwe bijlage en een nieuw amendement opgesteld om al deze problemen te verhelpen. Deze zijn beschikbaar voor alle andere EU-lidstaten en -instellingen, zodat zij deze clausules dan wel bepalingen met een vergelijkbare strekking in hun contracten met Microsoft kunnen opnemen.

Wat audits betreft bepaalt de nieuwe overeenkomst voor gegevensbescherming dat elke gegevensverantwoordelijke een individueel auditrecht heeft. Microsoft staat echter open voor gezamenlijke audits, omdat die voordelen voor alle betrokkenen opleveren. Dit biedt de gelegenheid om samen met de EU-lidstaten en -instellingen een EU-brede auditgroep samen te stellen voor het uitvoeren van gezamenlijke audits. Dit is mogelijk door een pool van experts in het leven te roepen voor het Europees Comité voor Gegevensbescherming. De gezamenlijke audit zou een van de eerste uitdagingen kunnen zijn voor een dergelijke pool van experts.

Een Europese Cloudfederatie
Het Forum ontving daarnaast een update over de ontwikkeling van een Europese Cloudfederatie. Deze heeft ten doel om de huidige gefragmenteerde initiatieven van de EU-lidstaten en lokale cloud providers te verenigen teneinde de afhankelijkheid van grote (‘hyperscale’) cloud providers te verminderen.

De Europese Cloudfederatie bouwt voort op, en verenigt bestaande cloudinfrastructuren en -diensten, waaronder het Frans-Duitse initiatief GAIA-X. Alle data wordt opgeslagen en verwerkt in gemeenschappelijke Europese dataruimtes. Het European Cloud Rule Book werpt licht op het toepasselijke wetgevingskader en voorziet in zelfregulerende maatregelen, zoals gedragsnormen ten aanzien van gegevensbescherming en dataportabiliteit in de cloud. Het Rule Book beschrijft daarnaast de regels die van toepassing zijn op de inkoop van clouddiensten in de publieke sector.

Een gedeelde Europese marktplaats die vergelijkbaar is met het Britse G Cloud zal bijdragen aan inzicht in de levering van cloudinfrastructuren en -diensten. Deze marktplaats zal dienen als uitgangspunt voor overheden om dergelijke oplossingen te betrekken bij de Europese Cloud Federation of andere aanbieders.

Bezoek voor meer informatie: The Hague Forum for Cloud Contracting of neem contact met ons op.