DPIA krijgt prominente plek in Rijksbrede cloudbeleid 2022
Onder het nieuwe beleid mogen overheidsdiensten, met enkele uitzonderingen, onder voorwaarden publieke clouddiensten gebruiken. In de eerste plaats gelden voorwaarden voor de verwerking van persoonsgegevens in publieke clouddiensten. Dit vergt een goedgekeurde Pre-DPIA. Bij hoog risico wordt een volledige data protection impact assessment (of formele DPIA) uitgevoerd, waarin zowel de verwerking zelf als de geldende grondslagen, de aard van de verwerking en de bijbehorende risico’s en maatregelen zijn beschreven. Dit geldt ook bij verwerking van gegevens in een publieke cloud. Elk departement is zelf verantwoordelijk om de relevante risico’s van het gebruik maken van een publieke cloud toepassing in beeld te hebben en tijdens het gebruik in beeld te houden.
Bijzondere persoonsgegevens in de cloud
Bijzondere persoonsgegevens hebben extra bescherming nodig, en daarom geldt daarvoor een zwaardere beleidsverplichting. Voor deze gegevens wordt in principe géén gebruik gemaakt van publieke cloudvoorzieningen, tenzij aantoonbaar aan de eis (opslag en verwerking binnen de Europese Economische Ruimte (EER) of in landen waarvoor een adequaatheidsbesluit bestaat) is voldaan (eisen 9 a. en b.). Uitzonderingen hierop die voldoen aan 9.c (aanwezigheid van een passend doorgiftemechanisme dat voldoet aan de vereisten (van art. 46, hoofdstuk V) van de AVG, zoals een modelcontract (standaard contractbepalingen of ‘standard contractual clauses’) zijn mogelijk op basis van ‘pas-toe-of-leg-uit’ (comply or explain). Indien aan de eis 9.c (wordt voldaan of in alle andere situaties, dan wordt de explain die minimaal de uitgevoerde (Pre- of formele) DPIA bevat, zo spoedig mogelijk na vaststelling aan CIO Rijk toegezonden. CIO Rijk gebruikt deze als aanvulling op de jaarlijkse rapportages in zijn monitorende verantwoordelijkheid en neemt de uitkomsten mee in de jaarlijkse cyclus van CIO gesprekken.
DOWNLOAD HIER DE KAMERBRIEF VAN BZK