Vlaamse Toezichtcommissie geeft vernietigend advies over AWS (update 13/10)
De Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens klinkt ongemeen hard in een pas gepubliceerd rapport over het gebruik van Amazon Web Services voor bepaalde overheidstoepassingen. VTC waarschuwt alle Vlaamse instanties dat ze mogelijk zelfs de AVG/GDPR-bepalingen met de voeten treden.
(Dit artikel is op 13 oktober om 15 uur bijgewerkt met een reactie van Amazon Web Services)
Het pas gepubliceerde rapport van de Vlaamse Toezichtcommissie (VTC) komt er na het verzoek om advies van het departement Onderwijs en Vorming, het Agentschap voor Onderwijsdiensten en het Agentschap Hoger Onderwijs, Volwassenenonderwijs, Kwalificaties en Studietoelagen (AHOVOKS). Het twaalf pagina’s tellende advies leest als één lange waarschuwing en klinkt zeer expliciet en hard.
‘Niet conform de principes van de AVG’
Ook al gaat het advies in principe enkel over vier concrete casussen, toch eindigt het rapport met een niet mis te verstane waarschuwing aan álle Vlaamse instanties dat het gebruik van AWS in sommige gevallen wel degelijk verboden is volgens de geldende GDPR-bepalingen. Letterlijk klinkt dat:
“Het overdragen van veel persoonsgegevens van veel personen (ook over projecten heen) aan eenzelfde niet-Europese cloudprovider, terwijl niet bewezen is dat de gegevensbescherming van het land van de ontvanger van de gegevens vergelijkbaar is met de Europese, is niet conform de principes en bepalingen van de AVG, in het bijzonder het proportionaliteits- en vertrouwelijkheidsbeginsel en dus verboden.”
‘Beleidsdatabank van Onderwijs & Vorming mag niét in Amazon’
De beleidsdatabank van Onderwijs & Vorming mag volgens VTC alvast niét ondergebracht worden bij Amazon en Snowflake. VTC verwijst naar het Hof van Justitie dat stelt dat als het bewezen is dat het niveau van bescherming niet voldoet voor bedrijven die onder de wetgeving van de Verenigde Staten vallen, het laten hosten van een platform zoals dat van de beleidsbank niet toegelaten is.
De onderwijsdatabanken Discimus en Davinci worden mogelijk in AWS gezet, en dat omvat dus ook de leerlingengegevens (waaronder bv. C-attest en anderstaligheid). Gegevens die het VTC omschrijft als “de kroonjuwelen van de onderwijswereld” wat de risicofactor verhoogt. De VTC vraagt ondertussen tegen het einde van de maand een overzicht van alle toepassingen en databestanden die al bij AWS gehost worden en ook van de apps en gegevens die men nog wil migreren richting de cloud van Amazon.
‘Risico op verregaande profilering is aanwezig’
De Toezichtscommissie wijst op het risico van het massaal doorgeven van persoonsgegevens van de burgers. In de onderzochte gevallen gaat het bovendien om gegevens van kinderen en jongeren. “De mogelijkheid van vergaande profilering is aanwezig”, waarschuwt VTC uitdrukkelijk alle verwerkingsverantwoordelijken. Dat zijn in dit geval de leidinggevenden van de diensten van de Vlaamse Regering, en de politiek verantwoordelijken. In de onderzochte casus is de conclusie van Onderwijs & Vorming dat de verwerking in de publieke cloud moet gebeuren en dat er maar een enkele mogelijke kandidaat is – AWS – waarbij het eveneens Amerikaanse Snowflake als verwerker aangeduid werd.
‘Monocloudstrategie is niet aanvaardbaar’
Zo’n monocloudstrategie – in dit geval dus in de public cloud – is géén goed idee, klinkt het bij de Commissie. Er is het risico op vendor lock-in, en dat bij een dienstverlener die “moeilijk te beheersen valt”, lezen we. Het VTC stelt zich ernstige vragen bij de veiligheid van de gegevens: “Er moet rekening worden gehouden met de maatregelen, de data, de vereiste van pseudonimisering en sluitende encryptie. Er is dan geen ruimte meer voor risico-aanvaarding.”
Dat alternatieven als G-cloud met datacenters op Belgisch grondgebied blijkbaar onveiliger waren voor Onderwijs & Vorming, lijkt het VTC niet te begrijpen “want het werd niet aangetoond”. Er zou ook geen validatie door de andere leveranciers gebeurd zijn.
Een bommetje onder IT
Het rapport valt in onderwijskringen behoorlijk zwaar, zo vernam Data News ook uit enkele anonieme bronnen. Daar vraagt men zich na dit rapport af of bestaande data van applicaties in AWS nog wel veilig zijn. Aan IT-kant wordt dan weer voor een stuk verbaasd gereageerd. Want had het VTC een aantal jaar geleden geen groen licht gegeven voor het gebruik van AWS en andere public clouddiensten?
Het nieuwe advies lijkt een rechtstreeks gevolg van het fameuze Schrems II arrest. Het Europees Hooggerechtshof heeft het Privacy Shield grotendeels ongeldig verklaard. Dat betekent dat bedrijven geen persoonsgegevens van EU-burgers meer mogen overzetten naar Amerikaanse servers.
“Dit dreigt nu een David tegen Goliath verhaal te worden”, horen we bij een legal manager die liever niet bij naam genoemd wordt. Het gaat om een werknemer die vanuit IT-consultancyhoek betrokken is bij een aantal Vlaamse IT-projecten. “Ja, dit advies gaat over Onderwijs & Vorming, maar de afsluitende waarschuwing geldt wel degelijk voor álle Vlaamse IT-entiteiten. Ik kan je vertellen dat de boodschap overal als een bommetje binnen komt”, horen we.
“Het advies van het VTC is gebaseerd op de wetenschap dat een Amerikaanse overheid in principe data kan opvragen uit de databases van Amerikaanse leveranciers wanneer zij daar een formeel verzoek voor indient. Dus er zit een kern van waarheid in het advies, maar aan de andere kant klinkt dit advies wel heel erg hard. Voor sommige toepassingen is de G-cloud bijvoorbeeld echt niet geschikt, en is AWS misschien beter. Maar dit advies maakt het nu wel heel erg moeilijk.” Het advies gaat nu specifiek over AWS, maar de legal manager bevestigt dat hetzelfde kan gelden voor andere Amerikaanse spelers. Denk dus even goed ook aan die andere public cloud providers Microsoft en Google. “Het gaat hem in essentie niet om het niet kunnen hosten van data in Europa, maar om de garantie dat data nooit opgevraagd kan worden door de Amerikaanse overheid. En die garantie kunnen zij omwille van Schrems II dus niet meer bieden.”
Hoe het dan verder moet? “Ik verwacht een compromis à la Belge. Bijvoorbeeld het verplicht inzetten van pseudonimers om profilering onmogelijk te maken. Maar zelfs dat wordt niet evident”, zegt een security-expert. Het advies van de Vlaamse Toezichtscommissie is in principe niet bindend, maar dit zomaar negeren ligt toch lastig. “Het is een nieuw bewijs dat het internationale internet helemaal in elkaar aan het klappen is en we terugkeren naar diensten per continent.”
Update 02/10, 21 uur
Ondertussen bezorgde het stuurorgaan Vlaams Informatie- en ICT beleid ons een eerste korte reactie. “De Vlaamse overheid neemt gegevensbescherming zeer ernstig. Het stuurorgaan Vlaams Informatie- en ICT beleid, waarin alle beleidsdomeinen, VVSG en VVP vertegenwoordigd zijn, neemt akte van het advies van de VTC en bekijkt samen met de VTC de verder te ondernemen stappen. Tegelijk wil het stuurorgaan verder gaan op de ingeslagen weg van informatieclassificatie en professionalisering op het vlak van risico-assessment.”
Update 05/10, 11 uur
VTC-voorzitter Hans Graux benadrukt in een reactie dat het VTC op zich niet verbiedt dat administraties naar de cloud trekken en dat ook publieke cloud niet per se verboden is. “Wat ons vooral zorgen baart – en dit advies moet je vooral in die context zien – is dat het afwegingselement ontbreekt of het wel opportuun is dat data van leerlingen en studenten zo massaal in één publieke cloud gestopt wordt. Teveel administraties lijken nu de facto voor AWS of een andere Amerikaanse cloudleverancier te kiezen omwille van gebruiksgemak, efficiëntie maar ook voor het kostenplaatje. De afwegingen of het wel verstandig is wat datasoevereiniteit betreft, en of een monocloud wel een goed idee is, die lijken tegenwoordig dikwijls te ontbreken”, aldus Graux.
“We moeten ook eerlijk durven toegeven dat de internationale context ondertussen grondig veranderd is. We pleiten er zeker voor dat lokale spelers ook in overweging genomen worden, en zij ntegelijk niet blind voor het weinig Europees kleurende cloudlandschap.Wij blijven ijveren voor een meer gediversifieerd cloudaanbod, en hopen dat er ook verder geïnvesteerd kan worden in een Vlaams, Belgisch en Europees cloudaanbod, wat naar het voorbeeld van de Franse markt. Dat zou de datasoevereiniteit zeker ten goede komen”, zegt Graux die ook aangeeft dat er zeker nog een vervolg op dit advies komt. “Er wordt verder gewerkt aan een Vlaamse cloudstrategie, en de VTC zal daarin ook actief betrokken worden. We willen tot een aanpak komen waarin iedereen zich kan vinden.”
Update 13/10, 15 uur
Op dinsdag 13 oktober ontvingen we, ruim tien dagen na onze publicatie, alsnog de volgende reactie van Amazon Web Services: “Het VTC-rapport bevat veel onnauwkeurigheden en een algemeen gebrek aan begrip hoe AWS klantgegevens beveiligt en datasoevereiniteit mogelijk maakt. Bij AWS is beveiliging onze hoogste prioriteit. We implementeren rigoureuze technische en fysieke maatregelen om klantgegevens te beschermen, ongeacht de AWS-regio die een klant heeft geselecteerd. Klanten behouden altijd het eigendom en de controle over hun data, inclusief waar deze worden opgeslagen, hoe deze worden opgeslagen en wie toegang heeft. Klanten kunnen er ook voor kiezen om hun data te versleutelen, inactieve data en data in beweging, met behulp van AWS-tools of een aantal ondersteunde beveiligingsoplossingen van derden, terwijl ze de volledige controle over de versleuteling behouden. AWS-klanten kunnen ervoor kiezen om hun data op te slaan in een van onze zes regio’s in de Europese Unie (EU) en AWS zal hun data niet zonder hun toestemming verplaatsen uit de gekozen regio. Bovendien kunnen AWS-klanten vertrouwen op standaardcontractbepalingen als ze ervoor kiezen om hun data buiten de EU over te dragen, in volledige overeenstemming met de AVG.”
Fout opgemerkt of meer nieuws? Meld het hier