De Vlaamse Toezichtcommissie publiceerde vandaag een advies rond het gebruik van kantoortoepassingen in de publieke cloud (denk aan Microsoft Teams en soortgenoten). Sowieso interessant omdat het een zeer actueel onderwerp is maar tegelijkertijd viel ons nog iets anders op: Dasprive wordt genoemd! Of om precies te zijn, er wordt verwezen naar Dasprive als “gespecialiseerde site” met onze Tooltip voor Ondernemingen voor het vinden van alternatieven van de klassieke Amerikaanse clouds. Kunnen wij dat waarderen? Ja, heel erg zelfs.
Gevoelige gegevens in cloud niet aanvaardbaar
Dat gezegd zijnde, adviezen van de VTC zijn niet zomaar te negeren voor Vlaamse instanties en wat de VTC vindt van kantoortoepassingen in de cloud is dus best belangrijk voor lokale besturen en andere Vlaamse bestuursinstanties.
Men begint het advies met nog eens kort de problematiek te schetsen rond het gebruik van (voornamelijk) Amerikaanse clouds en te benadrukken dat men altijd moet onderzoeken of er alternatieven zijn. Dit is een standpunt waar de VTC zich niet altijd geliefd mee maakt: of je wel of niet overstapt naar de cloud moet onderbouwd zijn en mag niet de default zijn. Een standpunt dat wij alleen maar kunnen onderschrijven: veel te vaak wordt er niet gekeken naar EU alternatieven en zijn argumenten zoals “iedereen gebruikt het” of “het is goedkoper” verworden tot clichés die niet eens meer getoetst worden. Dat wil de VTC dus anders zien: je onderbouwt waarom je naar de publieke cloud moet, anders doe je het niet. Daarbij brengt men nog even het vorige advies over de cloud en aanvullingen op dat advies in herinnering.
Bij die beslissing hoort ook een risico-analyse die in kaart brengt om welke gegevens het gaat, de omvang en of het om gestructureerde persoonsgegevens (databases, dossiersystemen) of ongestructureerde gaat (contactpersonen in documenten) en de context waarin gegevens verwerkt worden. Als er documenten worden verwerkt met de naam Bart van Buitenen en die worden verstuurd naar de dienst “grensoverschrijdend gedrag” is Bart waarschijnlijk slachtoffer of dader. Louter die context is al gevoelig.
Samengevat concludeert de VTC dat kantoortoepassingen in de publieke cloud in principe alleen aanvaardbaar zijn als het gaat om losse bestanden die geen gevoelige gegevens bevatten, b.v. beleidsdocumenten in een structuur van losse folders.
Praktische tips gebruik cloudkantoortoepassing
Het advies gaat vervolgens ook in op een aantal praktische tips om het gebruik van kantoortoepassingen in de cloud nog beter te omkaderen. Denk aan zaken zoals:
- Afsluiten van verwerkersovereenkomsten.
- Vereiste om sowieso servers in Europa te gebruiken, inclusief back-ups.
- Voorkomen van vendor lock-in, oftewel vasthangen aan één cloudleverancier.
- Multifactor all the things.
- Deactiveren van monitoring functies in clouds.
- Toegankelijkheid voor de burger: men kan bv. niet de burger verplichten om een Microsoft account aan te moeten maken om gegevens op te halen of te communiceren.
- Etc.
Alternatieven
Hoe je het ook draait of keert, de VTC heeft een relatief restrictieve kijk op het gebruik van de cloud en zou het liefste zien dat de bijna default sprong naar (Amerikaanse) clouds wat minder gretig gebeurt. Dan krijgt men automatisch de vraag van Vlaamse instanties: wat kan er dan wel? Precies om die vraag te beantwoorden verwijst men naar Dasprive. Ja, dat vermelden we gewoon even twee keer in dit artikel.
Al met al zet de VTC met dit advies een strenge doch rechtvaardige lijn verder in hoe ze naar het gebruik van publieke clouds kijkt en weet je als Vlaamse instantie in ieder geval waar je aan toe bent.