Privatim: Amerikaanse SaaS ontoelaatbaar voor Zwitserse overheden

In dit artikel:

Privatim, de Zwitserse conferentie van functionarissen voor gegevensbescherming, heeft op 24 november benadrukt dat het beschermen van persoonsgegevens wettelijk verplicht is en dat veel SaaS-diensten van grote internationale partijen — met name Microsoft 365 — daardoor ongeschikt zijn voor gebruik door overheidsinstanties voor bijzonder beschermingswaardige gegevens. Deze uitspraak sluit aan bij een groeiende rij adviezen en waarschuwingen uit Europa over Amerikaanse hyperscalers; aanbieders uit China worden zelden genoemd wegens hun beperkte aanwezigheid in Europa.

Privatim noemt vijf kernproblemen:
- Veel SaaS-diensten bieden geen echte end-to-endversleuteling, waardoor de leverancier toegang kan hebben tot leesbare data.
- Wereldwijd opererende leveranciers geven te weinig transparantie om naleving van beveiligings- en contractafspraken effectief te controleren (inclusief change/release-management, inzet van personeel en lange ketens van onderaannemers), terwijl contracten ook eenzijdig kunnen worden aangepast.
- Gebruik van zulke clouddiensten betekent een substantieel verlies van controle voor de verantwoordelijke instantie, waardoor risico’s op schending van grondrechten enkel beperkt kunnen worden door gevoelige data binnen hun eigen beheersbare domein te houden.
- Voor gegevens onder wettelijke geheimhoudingsplichten bestaat rechtsonzekerheid over het uitschakelen van externe dienstverleners.
- De Amerikaanse CLOUD Act (2018) kan leveranciers verplichten gegevens aan Amerikaanse autoriteiten te overhandigen, zelfs als die in Zwitserland zijn opgeslagen.

Privatim concludeert dat internationaal (lees: Amerikaans) aangeboden SaaS voor zeer gevoelige of geheimhoudingsplichtige persoonsgegevens alleen aanvaardbaar is wanneer de verantwoordelijke instantie zelf versleutelt en de cloudprovider geen toegang heeft tot de sleutel. De genoemde knelpunten staan ook centraal in lopend Europees en Brits onderzoek.