De Raad van State heeft in een arrest van 19 augustus 2021 over een overheidsopdracht (arrest nr. 251.378) verwezen naar het advies VTC/A/2020/05 m.b.t. informatieveiligheid en GDPR-confirmiteit 4 Platformen Onderwijs - Amazon Web Services (AWS).

Dit arrest heeft aandacht gekregen via LinkedIn en daarna in de gespecialiseerde pers. Er werd door verschillende partijen gepolst naar een reactie van de VTC. Die vindt u hierna.

“Wij hebben inderdaad nota genomen van dit recente arrest en zijn tevreden dat het complexe vraagstuk van de internationale doorgifte van persoonsgegevens ook in de procedures voor overheidsopdrachten de nodige aandacht krijgt. De aanbestedende dienst heeft de naleving van de gegevensbeschermingsvoorschriften inderdaad als een factor bij de beoordeling van de inschrijvingen geïntegreerd. Het feit dat het aanbestedingsbesluit vervolgens werd aangevochten op grond van gegevensbeschermingsoverwegingen toont aan dat dit steeds meer wordt gezien als een onderwerp van cruciaal strategisch belang.

Zoals u weet (en zoals ook in dit besluit wordt vermeld), heeft de Vlaamse Toezichtcommissie (VTC) een advies uitgebracht, gekoppeld aan een algemene waarschuwing aan alle Vlaamse overheidsdiensten, over het gebruik van clouddiensten in de overheidssector, met name wanneer het gebruik van die clouddienst een risico inhoudt dat persoonsgegevens in niet-Europese jurisdicties terechtkomen. In dit advies wijst de VTC op de noodzaak van een grondige risicobeoordeling, en verstrekt zij een risicomatrix die aangeeft welke clouddiensten en welke beveiligingsmaatregelen geschikt zijn voor specifieke cloud use cases, rekening houdend met hun risicoprofiel.

Het onderhavige besluit verwijst naar dit advies en wijst op de noodzaak om een passende risicobeoordeling uit te voeren, voordat relevante maatregelen worden genomen en een passende gegevensverwerkingsovereenkomst wordt gesloten. Ook wordt uitdrukkelijk verwezen naar de mogelijkheid om persoonsgegevens volledig te versleutelen alvorens deze aan een cloud-provider toe te vertrouwen als een mogelijke oplossing, en wordt opgemerkt dat dit een doeltreffende en wettelijk in acht te nemen maatregel zou kunnen zijn, indien de versleutelingscodes onder de uitsluitende controle van de betrokken Vlaamse overheid worden gehouden. Dit standpunt is in overeenstemming met onze eigen richtsnoeren over dit onderwerp: afhankelijk van de aard van de gegevens en de risico’s voor de betrokken personen, kan uitgebreide encryptie in combinatie met effectief sleutelbeheer een passende maatregel zijn.

Voor de volledigheid merken wij op dat wij niet kunnen beoordelen (en de Raad in deze specifieke beslissing ook niet) of een dergelijke maatregel bij de uitvoering van het project zou worden genomen, en het is ons ook niet duidelijk (en de Raad waarschijnlijk ook niet) welke persoonsgegevens - als die er al zouden zijn - aan een cloud provider zouden worden toevertrouwd. Dit zijn uiteraard belangrijke vragen bij de beoordeling van de rechtmatigheid van dit besluit. In het algemeen is de VTC echter tevreden dat de noodzaak van passende beschermingsmaatregelen zo duidelijk wordt erkend, zowel door de administratie die de vereisten voor deze aanbesteding heeft opgesteld, als door de Raad dat zich heeft uitgesproken over de conformiteit van deze procedure. Beide punten onderstrepen het belang van zorgvuldigheid bij het overbrengen van persoonsgegevens naar een cloudinfrastructuur in het algemeen, en naar niet-Europese aanbieders in het bijzonder, in overeenstemming met onze eigen richtsnoeren en de uitspraken van het Hof van Justitie van de EU. Wij zullen de uitvoering van dergelijke projecten blijven volgen en blijven evalueren of deze vereisten in de praktijk worden nageleefd.”