Google Cloud krijgt DPIA-goedkeuring en mag in publieke sector gebruikt worden

Google Cloud krijgt DPIA-goedkeuring en mag in publieke sector gebruikt worden

De Nederlandse overheid heeft Google Cloud na een data protection impact assessment (DPIA) goedgekeurd voor de centrale publieke sector. SLM Rijk concludeert dat er geen bekende hoge privacyrisico’s overblijven als de aanbevolen maatregelen worden toegepast. Daarmee komt er een formeel getoetst alternatief naast Microsoft. De vraag is echter of de EU-US Data Privacy Framework (DPF), waar de goedkeuring van afhankelijk is, in stand blijft.

Alle belangrijke aandachtspunten zijn volgens Google opgelost. Met andere woorden: er zijn geen hoge risico’s voor databescherming als de voorgestelde instellingen worden gebruikt. Het is vooral voor systeembeheerders van overheidsorganisaties de taak deze door te voeren. Google biedt het benodigde gereedschap, maar de DPIA-goedgekeurde stappen zijn regelmatig niet de standaard.

Ook Google Workspace is door deze zelfde DPIA-toetsing gekomen, te weten medio 2024. Nu GCP volgt, is het dus mogelijk om naast Azure ook een andere public cloud te kiezen. Veel hangt echter af van de recent gedestabiliseerde wetgeving omtrent dataverkeer tussen de VS en de Europese Unie. De EU-US Data Privacy Framework wordt aan Amerikaanse zijde gecontroleerd door de Federal Trade Commission (FTC) als onafhankelijke autoriteit, maar dat is volgens het Hooggerechtshof in dat land niet een correcte inschatting. De FTC kan namelijk volgens die rechters niet onafhankelijk zijn.

Lees ook: EU-US Data Privacy Framework schudt op zijn grondvesten

Voortbouwen op Workspace

De toekomst is dus wat onzeker voor Google door een juridisch besluit in de VS. Ook aan de Europese kant zijn regelgevers niet altijd al te flexibel geweest voor het aanbod van Google. De oorspronkelijke beoordeling van G Suite legde aanvankelijk tien hoge privacyrisico’s bloot, later teruggebracht tot acht. Het ging onder meer om gebrekkige transparantie rond metadata en diagnostische gegevens, en om de rolverdeling tussen controller en processor. Het oplossen van deze tekortkomingen leidde tot een positieve beoordeling van Workspace, maar deze keer is een externe factor dus de potentiële spelbreker.

Na onderhandelingen ging Google akkoord met de rol van data processor en met aangescherpte auditrechten voor de overheid. De aanpak toont hoe SLM zulke beoordelingen formuleert: ook bij Microsoft Copilot bleven na een DPIA nog enkele middelgrote en lage risico’s over.

Het Rijk in de cloud

De Algemene Rekenkamer was eerder kritisch over de cloudadoptie van het Rijk, dat beperkt zicht heeft op zijn clouddiensten en risicoafwegingen. Sinds 2022 mogen ministeries onder voorwaarden werken met onder meer Azure, AWS en Google Cloud.

Tegelijk speelt de bredere soevereiniteitsdiscussie, waarbij Europese cloudspelers een streepje voor hebben ondanks dat hun concurrentiepositie sterk in twijfel te trekken is; wie een breed aanbod vereist, heeft doorgaans toch een Amerikaanse clouddienst actief.