Directie Informatievoorziening en Inkoop

Directie Informatievoorziening en Inkoop

Xxxxxxxxx 000 0000 XX Xxx Xxxx Xxxxxxx 00000 0000 XX Xxx Xxxx

xxx.xxxxxxxxxxxxx.xx/xxxx Contactpersoon Xxxxxxxx Xxxxxxx

Memo SLM inzake afspraken met Amerikaanse cloudleveranciers

T 070 370 79 11

Datum

4 maart 2024 Projectnaam Ons kenmerk

Aanleiding memo

Naar aanleiding van het nieuwsartikel van de NOS van vrijdag 1 maart 2024

‘’Amerikaanse overheid kan bij e-mail van Nederlandse overheden en kritieke bedrijven (xxx.xx)’’ licht Strategisch Leveranciersmangement Microsoft, Google en Amazon Web Services (SLM) kort toe hoe SLM het gebruik van Amerikaanse clouddiensten benadert. Hieronder wordt toegelicht dat de Rijksoverheid goede afspraken heeft gemaakt met Microsoft en AWS. Het te kort door de bocht om te stellen dat de Amerikaanse overheid bij het e-mail verkeer van Rijksorganisaties kan.

Privacyafspraken

SLM heeft al in 2019 aanvullende privacyafspraken gemaakt met Microsoft waardoor AVG-compliant gebruik van Microsoftdiensten mogelijk wordt gemaakt. Deze aanvullende afspraken zijn opgenomen in de verwerkersovereenkomst en deze bindt Microsoft aan instructies voor de verwerking van persoonsgegevens van de (werknemers van) overheidsorganisaties. Deze afspraken beschrijven wat Microsoft wel, en wat Microsoft niet met deze gegevens mag doen. Microsoft mag de persoonsgegevens van de (werknemers van) overheidsorganisaties uitsluitend verwerken voor gespecificeerde, door de Rijksoverheid toegestane doeleinden zoals het leveren van haar diensten of het beveiligen daarvan.

De Rijksoverheid heeft ook doeleinden benoemd waarvoor Microsoft expliciet géén goedkeuring wordt gegeven, namelijk:

(a) data analytics,

(b) profilering

(c) adverteren of een vergelijkbaar commercieel doel, of

(d) marktonderzoek gericht op het creëren van nieuwe functionaliteiten, diensten of producten of enig ander doel; 1

Ook met AWS zijn vergelijkbare afspraken gemaakt.

1 factsheet-verwerkersovereenkomst.pdf (xxxxxxxxxxxxxxxx.xx).

DPIAs, DTIAs, onderzoeken en audits

SLM doet echter veel meer dan alleen het sluiten van goede contracten om bestaande risico’s te mitigeren. Zo is een auditrecht bedongen om periodiek te controleren of partijen zich ook in de praktijk aan de gemaakte afspraken houden. Deze audits vinden jaarlijks plaats. Daarnaast voert SLM Data Protection Impact Assessments (DPIAs) en technische verificatieonderzoeken uit. Op deze manier blijft SLM continu in gesprek met deze cloudleveranciers en zijn geïdentificeerde risico’s gemitigeerd.

Ook heeft SLM meerdere Data Transfer Impact Assessments (DTIAs) uitgevoerd waaruit volgt dat het gebruik van deze clouddiensten mogelijk is in lijn met alle geldende wet- en regelgeving. In een DTIA wordt gekeken of aan de AVG-vereisten voor internationale doorgifte van persoonsgegevens, zoals een passend doorgiftemechanisme en aanvullende waarborgen, wordt voldaan. In een DTIA wordt uiteraard ook grondig gekeken naar de bestaande (extraterritoriale) Amerikaanse wetgeving.2 SLM heeft conform de aanbevelingen van de European Data Protection Board (EDPB) een nauwkeurige analyse van deze Amerikaanse wetgeving gemaakt en deze meegenomen in haar risicobeoordeling.3 Daarbij kan ook worden opgemerkt dat het onderzoek van Xxxxxxxxx Xxxxxxx ten aanzien van de Cloud Act laat zien dat het risico dat de Amerikaanse overheid toegang krijgt tot Europese (persoonsgegevens) in de praktijk (zeer) klein is.4

Recent heeft SLM ook een onderzoek uitgevoerd naar de mate waarin Microsoft voldoet aan de leveranciers-vereisten in de Baseline Informatiebeveiliging Overheid (BIO). Uit dit onderzoek door een externe auditor blijkt dat alle relevante beheersmaatregelen bij Microsoft zijn aangetroffen.

Vervolg

SLM blijft de relevante ontwikkelingen nauwkeurig volgen en nieuwe onderzoeken starten om te kunnen vaststellen of de door SLM beheerde cloudleveranciers blijven voldoen aan de actuele vereisten. Waar nodig worden aanvullende maatregelen getroffen om er voor te zorgen dat diensten compliant kunnen worden blijven gebruikt.

Daarnaast moedigt SLM organisaties aan de gepubliceerde documentatie te lezen en bij vragen contact op te nemen.

Met vriendelijke groet,

Team Strategisch Leveranciersmanagement Microsoft, Google Cloud en Amazon Web Services Rijk

2 Downloads - DPIAs - SLM Microsoft, Google Cloud en Amazon Web Services (xxxxxxxxxxxxxxxx.xx)

3 Dutch-Ministry-of-Justice-step-3-EDPB-US.pdf (xxxxxxxxxxxxxxxx.xx).

4 Cloud Act requests | Rapport | Nationaal Cyber Security Centrum (xxxx.xx).