Gedaan met laden. U bevindt zich op: Cloudadvies VTC/A/2020/05 in het kort Cloud

Cloudadvies VTC/A/2020/05 in het kort

Voor instanties die overwegen voor de verwerking van persoonsgegevens (verder) beroep te doen op een cloudleverancier, heeft de Vlaamse Toezichtcommissie al verschillende aanbevelingen en adviezen gegeven.

In haar advies nr. 2020/05 van 8 september 2020 zet de VTC de principes nog eens op een rij en legt ook uit waarom deze zo belangrijk zijn voor de entiteiten van de Vlaamse Overheid. Het advies houdt rekening met het arrest van het Hof van Justitie, genaamd Schrems II.

De tekst houdt ook een waarschuwing in die gericht is aan alle entiteiten van de Vlaamse Overheid:

“Overeenkomstig artikel 58, a), AVG, spreekt de VTC een waarschuwing uit tegenover de verwerkingsverantwoordelijken van de Vlaamse instanties:
Het overdragen van veel persoonsgegevens van veel personen (ook over projecten heen) aan eenzelfde niet-Europese cloudprovider, terwijl niet bewezen is dat de gegevensbescherming van het land van de ontvanger van de gegevens vergelijkbaar is met de Europese, is niet conform de principes en bepalingen van de AVG, in het bijzonder het proportionaliteits- en vertrouwelijkheidsbeginsel en dus verboden.”

U leest best het hele advies, maar hier vindt u al de matrix die er in opgenomen is en die het kader vormt om uw bestaande en geplande toepassingen aan te toetsen (uitleg en kleurcodes in advies):

Niet Europese leverancier*

Europese externe leverancier**

Belgische overheid

Intern Vlaamse Overheid

Grootschaligheid: veel data van veel personen

(ook over projecten en beleidsdomeinen heen)

X

Encryptie of vergelijkbare maatregel

  • externe controle

Beveiliging + externe controle

Beveiliging + externe controle

Risicogevoelige personen

X

X
(tenzij specifieke wetgeving)

Beveiliging + externe controle

Beveiliging + externe controle

Gegevens die een zware negatieve impact kunnen hebben

X

Encryptie of vergelijkbare maatregel

  • externe controle

Beveiliging + externe controle

Beveiliging + externe controle

Gevoelige gegevens sensu lato

- niet grootschalig en

- tijdelijk

Encryptie of vergelijkbare maatregel

  • externe controle

Encryptie of vergelijkbare maatregel

  • externe controle

Beveiliging + externe controle

Beveiliging + interne controle

Unieke identificatoren

X

Encryptie of vergelijkbare maatregel

  • externe controle

Beveiliging + externe controle

Beveiliging + interne controle

Andere personen/persoonsgegevens

Encryptie of vergelijkbare maatregel

  • externe controle

Beveiliging

  • externe controle

Beveiliging + interne controle

Beveiliging + interne controle

*
- ongeacht locatie data/servers
- bedoeld worden: landen die niet voldoen aan de Europese beschermingsstandaarden
- om het eenvoudig te houden, te lezen als noch bedrijf, noch moederbedrijf is Europees

** en locatie data/servers in Europa