Mijn Leeromgeving

Outvie zomeractie: Kies uit een Winkelcheque of een Bol.com cadeaubon t.w.v. €50,-* Bekijk de actie.

Alles wat je als privacy professional wilt weten over clouddiensten

Foto van Sjoera Nas | Privacy Company

Sjoera Nas | Privacy Company

De politieke situatie in de Verenigde Staten maakt het voor organisaties in Nederland steeds urgenter om na te denken over de verwerking van persoonsgegevens via de cloud. Sjoera Nas, senior adviseur bij Privacy Company en keynote spreker tijdens het Dataprotectie & Privacy Congres 2025, vertelt over de actuele issues én de mogelijke oplossingen.

“Big tech heeft zich de discussie over datasoevereiniteit aangetrokken. Vrijwel alle Amerikaanse cloudproviders beloven inmiddels dat de gegevensverwerkingen plaatsvinden via datacenters in de Europese Unie. Bijna dagelijks zijn er weer nieuwe toezeggingen over dataprotectie”, zegt Sjoera Nas, senior adviseur bij Privacy Company. “Maar het is belangrijk om te letten op wat er precies gebeurt. Ook als een datacenter is gevestigd in de EU, is het mogelijk dat er persoonsgegevens terechtkomen bij een Amerikaans bedrijf. Er zijn bijvoorbeeld partners van clouddienstverleners buiten de EU die data verwerken, zoals supportservices in India. Daarnaast kunnen de Amerikaanse medewerkers een export maken van gegevens die in Europese datacenters zijn opgeslagen. Of data worden in de EU bewaard, maar in de Verenigde Staten geback-upt.”

Drie redenen om te zoeken naar Europese alternatieven

  1. Nas is een van de keynote sprekers tijdens het Dataprotectie & Privacy Congres 2025, waar ze vertelt over onder meer de risico’s van het gebruik van Amerikaanse techdiensten. Er zijn goede redenen om als privacy professional nu op zoek te gaan naar Europese alternatieven voor cloudoplossingen, benadrukt Nas. “De gegevensoverdracht van de EU naar de VS is momenteel juridisch mogelijk op basis van het EU-U.S. Data Privacy Framework. Voor het zogenoemde adequaatheidsbesluit van de Europese Commissie was een executive order van de Amerikaanse president nodig, waarmee aanpassingen in het rechtsstelsel van de VS zijn doorgevoerd. Maar als Trump een streep haalt door het presidentiële besluit van Biden, dan is er geen adequaat beschermingsniveau meer in de VS. Daarmee staat de doorgifte van persoonsgegevens van de EU naar de VS op het spel.”

  2. Naast een politiek besluit in de VS is ook een rechtszaak in de EU een risico voor de werking van het EU-U.S. Data Privacy Framework. “Het Europese Hof van Justitie oordeelde al dat eerdere regelingen – de Safe Harbour Agreement en het Privacy Shield – niet voldeden aan de Algemene verordening persoonsgegevens (AVG). Het is voorstelbaar dat ook Data Privacy Framework geen standhoudt voor het hof. Als organisatie moet je dan direct een alternatief hebben voor techdiensten die persoonsgegevens van Europese burgers verwerken in de VS.”

  3. Nas geeft nog een derde reden om serieus werk te maken van Europese techoplossingen. “De onzekerheden rond het optreden van Trump betekenen dat de beschikbaarheid van persoonsgegevens in gevaar kan komen. Denk aan de situatie waarin een leverancier als gevolg van sancties de dienstverlening aan je organisatie stopzet.” Dat gebeurde al bij het Internationaal Strafhof in Den Haag, waar de hoofdaanklager geen toegang meer heeft tot Microsoft-applicaties.

Overstappen naar Europese cloudproviders

Wat staat privacy professionals te doen als een organisatie een overstap naar Europese cloudservices overweegt? “Het begint ermee dat je inventariseert welke clouddiensten de organisatie nu gebruikt, en welke alternatieven daarvoor zijn. Je moet in kaart brengen of je data kunt exporteren in een herbruikbaar formaat. De reflex van veel organisaties is om te zoeken naar een dienstverlener die het volledige pakket aan diensten aanbiedt. Maar zo’n oplossing is er doorgaans niet, en dan houdt het denken vaak op. Organisaties moeten aanvaarden dat een overstap niet eenvoudig is, en de vraag stellen: wat moeten we wanneer en bij welke leverancier doen om verschillende onderdelen werkend te krijgen?”

 

Nas adviseert om voor elke dienst in kaart te brengen wat de business impact is van een plotselinge uitschakeling. “Daarmee zet je de urgentie van een overstap op scherp. Je zoekt vervolgens naar verantwoorde alternatieven die op korte termijn zijn te implementeren. Een open samenwerking met leveranciers maakt daarbij het verschil. Er liggen zo veel kansen om in afstemming met een kleinere Europese leverancier een product door te ontwikkelen tot een oplossing met alle gewenste functionaliteiten.”

 

De standaardoplossingen liggen niet klaar. Daarom is het devies: experimenteer en leer. “Je kunt kleinschalige pilots inrichten om leerervaringen op te doen. Of officiële schaduw-IT inrichten, zodat je voorkomt dat medewerkers zelf – buiten het zicht van de IT-afdeling – met risicovolle toepassingen aan de slag gaan.” Ook vanuit de initiatieven van specifieke sectoren, zoals onderwijs en de overheid, zijn inzichten af te leiden. “Vraag je af: welke branches hebben al onderzoeken uitgevoerd naar privacyvriendelijke diensten, en wat kunnen we daarvan leren? Kijk daarbij ook voorbij de grenzen. De zoektocht naar alternatieven voor Amerikaanse clouddiensten is natuurlijk voor organisaties in alle Europese landen een probleem.”

Krachten bundelen

Een migratie naar een nieuwe cloudoplossing klinkt misschien als een technische opgave. Toch liggen er volgens Nas ook voor privacy professionals belangrijke taken. “Het gaat erom de krachten te bundelen met verschillende expertises, waaronder IT. Het is niet voldoende om een contract te checken. Er is ook technisch onderzoek nodig naar de gegevensverwerkingen door de leverancier, en voorstellen voor privacy by design maatregelen. Als privacy professional ben je daarvoor de drijvende kracht.”

 

Data Protection Impact Assessments (DPIA’s) van de Nederlandse overheid geven waardevolle inzichten om in actie te komen, aldus Nas. De overheid laat twee paraplu-DPIA’s uitvoeren voor overeenkomsten met Europese cloudleveranciers. De uitkomsten, die naar verwachting na de zomer worden gepubliceerd, leggen de basis voor overkoepelende afspraken over oplossingen die voldoen aan de AVG en waarvan de beschikbaarheid niet in gevaar komt door de onvoorspelbare verhoudingen met de VS.

 

Nas: “De conclusies van de DPIA’s zijn speciaal bedoeld voor overheidsinstanties, maar ook bruikbaar voor andere organisaties. Iedere privacy professional kan de analyses overnemen, en aanvullen met specifieke verwerkingen en doelen uit de eigen organisatie. Wat zijn de risico’s als wij deze diensten gebruiken? Zijn alle aanbevolen maatregelen passend voor ons? Welke aanbevolen maatregelen heeft de leverancier getroffen?” In opdracht van de rijksoverheid maakte Privacy Company eerder al DPIA’s voor onder meer Microsoft Teams, OneDrive en SharePoint en clouddiensten van Amazon Web Services Inc.

Van analyses naar een plan

Ga snel aan de slag met een risicoanalyse, een business impact analyse en een crisisbeheersplan, adviseert Nas. “Het is onvoorspelbaar hoe de situatie in de VS zich ontwikkelt, en hoe lang het EU-U.S. Data Privacy Framework standhoudt. Maar een overstap naar een Europese cloudoplossing is niet in één dag geregeld. In een grote organisatie duurt een totale migratie al snel twee jaar. Begin daarom nú met de voorbereidingen.”

 

Ontdek meer oplossingen voor actuele vraagstukken rond privacy en big tech tijdens het Dataprotectie & Privacy Actualiteitencongres op 2 en 3 oktober in Utrecht.

Download de brochure van het Dataprotectie & Privacy Congres

Share

Getagged
Outvie logo