De Zwitserse gegevensbeschermingsautoriteiten oordelen scherp over het gebruik van internationale clouddiensten door overheidsinstanties. De facto komt het bijna op een verbod neer.
In een nieuwe resolutie stelt privatim – dat zijn de verzamelde Zwitserse gegevensbeschermingsautoriteiten, zoals de GBA in ons land, nvdr – dat SaaS-oplossingen van hyperscalers zoals Microsoft, Google en Amazon in de meeste gevallen ongeschikt zijn voor de verwerking van ‘bijzonder gevoelige persoonsgegevens’.
De adoptie van public cloud-infrastructuur door overheden is al langer een punt van discussie, maar de Zwitserse toezichthouders nemen nu een opvallend sterk standpunt in. In een resolutie die op 18 november 2025 werd aangenomen, waarschuwt privatim voor de risico’s die gepaard gaan met het uitbesteden van overheidsdata aan grote internationale spelers. De schaalvoordelen en flexibiliteit van dergelijke platformen wegen volgens de toezichthouders vaak niet op tegen het verlies aan controle en transparantie.
Fundamenteel gebrek aan controle
De kern van de kritiek richt zich op het gebrek aan daadwerkelijk toezicht door Zwitserse overheidsorganen op wat er met hun data gebeurt in de cloud. ‘Wereldwijd opererende bedrijven bieden te weinig transparantie om Zwitserse autoriteiten in staat te stellen de naleving van contractuele verplichtingen inzake gegevensbescherming en -beveiliging te verifiëren’, lezen we letterlijk in de resolutie. Daarnaast hekelen de toezichthouders het feit dat leveranciers hun contractvoorwaarden eenzijdig kunnen aanpassen.
Gebrek aan end-to-end encryptie
Een specifiek technisch struikelblok is het gebrek aan waterdichte versleuteling. Zolang leveranciers toegang hebben tot de data in ‘clear text’, blijft de vertrouwelijkheid in het gedrang. ‘De meeste SaaS-oplossingen bieden nog geen echte end-to-end-encryptie die toegang van de aanbieder tot de gegevens in platte tekst zou uitsluiten’, stelt de resolutie onomwonden.
Dit risico wordt versterkt door de Amerikaanse Cloud Act die Amerikaanse providers dwingt om data van klanten te overhandigen aan Amerikaanse autoriteiten, zelfs wanneer die data fysiek in bijvoorbeeld Zwitserse datacenters is opgeslagen. Hierdoor wordt de bescherming die de lokale wetgeving biedt in de praktijk ondermijnd.
Harde conclusie voor Microsoft 365
De conclusie van privatim is niet mis te verstaan. Beroep doen op SaaS-diensten waarbij ‘bijzonder gevoelige persoonsgegevens of data die onder een wettelijke geheimhoudingsplicht vallen’ verwerkt worden, beschouwt de Zwitserse toezichthouder ‘in de meeste gevallen als ontoelaatbaar’. Privatim noemt hierbij expliciet Microsoft 365 als een ontoelaatbaar voorbeeld.
De enige opening die de resolutie laat, is strikte versleuteling onder eigen beheer. Gebruik is enkel mogelijk als de gegevens door de overheidsinstantie zelf worden versleuteld en de cloudprovider geen toegang heeft tot de decryptiesleutel.