Google Cloud mag door de Nederlandse publieke sector worden gebruikt. Dat is de uitslag van een data protection impact assessment (DPIA) dat is uitgevoerd door Privacy Company in opdracht van de Nederlandse overheid. De uitspraak komt op een saillant moment, aangezien de data-uitwisselingsovereenkomst tussen de EU en de VS weer eens op de tocht staat en de herziening van het rijksbrede cloudbeleid vandaag door de ministerraad is goedgekeurd.
Publieke sector mag Google Cloud gebruiken
Een DPIA wijst uit dat Google Cloud geen hoge privacyrisico's bevat. Maar geldt de data-uitwisselingsovereenkomst met de VS straks nog wel?
Strategisch Leveranciersmanagement Rijk (SLM Rijk), dat namens de rijksoverheid contractvoorwaarden bedingt, concludeert dat er geen bekende hoge privacyrisico’s overblijven als de aanbevolen maatregelen uit de DPIA worden toegepast. Volgens Google zijn alle belangrijke punten opgelost. Het is aan systeembeheerders van overheidsorganisaties om de maatregelen correct door te voeren. Er zijn nog wel enkele middelgrote en lage risico’s over, blijkt uit de DPIA, maar dat geldt ook voor bijvoorbeeld Microsoft Copilot en ook dat wordt ook ingezet door ministeries.
Volgens Google zijn alle belangrijke punten opgelost.
Sinds 2022 mogen de departementen onder voorwaarden onder meer publieke clouddiensten gebruiken. De Algemene Rekenkamer concludeerde in 2025 echter dat het Rijk onvoldoende grip heeft op het gebruik van de publieke cloud en laakte de afhankelijkheid van de Nederlandse overheid van Amerikaanse techbedrijven. Het Rijk is druk bezig om in ieder geval de meest cruciale data- en IT-systemen te kunnen onderbrengen in een soevereine overheidscloud.
Amerikaans-Europese data-uitwisseling op de tocht
De bekendmaking komt bovendien op een saillant moment. Maandag bepaalde het Amerikaanse hooggerechtshof dat onafhankelijke overheidsinstanties onder de uitvoerende macht vallen en dat de president Trump dus leden mag ontslaan, met uitzondering van de centrale bank, de Federale Reserve. De uitspraak betekent in de praktijk dat Amerikaanse toezichthouders niet onafhankelijk zijn.
Volgens de invloedrijke Oostenrijkse privacyorganisatie noyb (none of your business) is het EU-US Data Privacy Framework door deze uitspraak in elkaar gestort. Dat zit zo: de doorgifte van persoonsgegevens naar landen buiten de Europese Unie is alleen in bepaalde gevallen toegestaan. De Europese Commissie kan op basis van een adequaatheidsbesluit dat een land persoonsgegevens van Europeanen beschermt op een niveau dat vergelijkbaar is met de AVG.
Eén van de eisen die de EU stelt, is dat er een onafhankelijke toezichthouder is
Het adequaatheidsbesluit geldt voor vijftien landen, waaronder de Verenigde Staten. Maar één van de eisen die de EU stelt, is dat er een onafhankelijke toezichthouder is. In de Verenigde Staten is dat de Federal Trade Commission (FTC). Maar de zaak bij het Hooggerechtshof draaide nu juist om het ontslag van een Democratisch lid van de FTC, die door Trump was weggestuurd omdat haar agenda niet strookte met die van de regering-Trump.
Als het EU-US Data Privacy Framework inderdaad niet meer geldt, dan staat het gebruik van alle Amerikaanse clouddiensten op losse schroeven. Het is aan de Europese Commissie om de geldigheid van het Framework opnieuw te beoordelen. Anders maakt noyb ongetwijfeld opnieuw de gang naar de rechter. Eerder slaagde de stichting erin om twee eerdere soortgelijke overeenkomsten, Safe Harbor en het Privacy Shield, door het Europees Hof van Justitie ongeldig te laten verklaren.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.