chat-altchatcrossloginquestion-circlesearchsmileystarthumbup-downwarning
Vlaanderen
Contacteer ons
    Terug naar overzicht Stuur een e-mail

    Stuur een e-mail naar 1700, de informatiedienst voor al uw vragen aan de overheid.
    U ontvangt een kopie van uw bericht.

    Terug naar overzicht Chat met ons
    Uw chatgesprek wordt automatisch gestart zodra er een medewerker beschikbaar is.
    Even geduld, uw positie in de wachtrij wordt bepaald.

    Voor instanties die overwegen voor de verwerking van persoonsgegevens (verder) beroep te doen op een cloudleverancier, heeft de Vlaamse Toezichtcommissie al verschillende aanbevelingen en adviezen gegeven. Zie thema cloud.

    In haar advies nr. 2020/05 van 8 september 2020 zet de VTC de principes nog eens op een rij en legt ook uit waarom deze zo belangrijk zijn voor de entiteiten van de Vlaamse Overheid. Het advies houdt rekening met het arrest van het Hof van Justitie, genaamd Schrems II. 

    De tekst houdt ook een waarschuwing in die gericht is aan alle entiteiten van de Vlaamse Overheid:

    "Overeenkomstig artikel 58, a), AVG, spreekt de VTC een waarschuwing uit tegenover de verwerkingsverantwoordelijken van de Vlaamse instanties:
    Het overdragen van veel persoonsgegevens van veel personen (ook over projecten heen) aan eenzelfde niet-Europese cloudprovider, terwijl niet bewezen is dat de gegevensbescherming van het land van de ontvanger van de gegevens vergelijkbaar is met de Europese, is niet conform de principes en bepalingen van de AVG, in het bijzonder het proportionaliteits- en vertrouwelijkheidsbeginsel en dus verboden."

    U leest best het hele advies, maar hier vindt u al de matrix die er in opgenomen is en die het kader vormt om uw bestaande en geplande toepassingen aan te toetsen (uitleg en kleurcodes in advies):

     

    Niet Europese leverancier*

    Europese externe leverancier**

    Belgische overheid

    Intern Vlaamse Overheid

    Grootschaligheid: veel data van veel personen

    (ook over projecten en beleidsdomeinen heen)

    X

    Encryptie of vergelijkbare maatregel

    + externe controle

    Beveiliging + externe controle

    Beveiliging + externe controle

    Risicogevoelige personen

    X

    X
    (tenzij specifieke wetgeving)

    Beveiliging + externe controle

    Beveiliging + externe controle

    Gegevens die een zware negatieve impact kunnen hebben

    X

    Encryptie of vergelijkbare maatregel

    + externe controle

    Beveiliging + externe controle

    Beveiliging + externe controle

    Gevoelige gegevens sensu lato

    - niet grootschalig en

    - tijdelijk

    Encryptie of vergelijkbare maatregel

    + externe controle

    Encryptie of vergelijkbare maatregel

    + externe controle

    Beveiliging + externe controle

    Beveiliging + interne controle

    Unieke identificatoren

    X

    Encryptie of vergelijkbare maatregel

    + externe controle

    Beveiliging + externe controle

    Beveiliging + interne controle

    Andere personen/persoonsgegevens

    Encryptie of vergelijkbare maatregel

    + externe controle

    Beveiliging

    + externe controle

    Beveiliging + interne controle

    Beveiliging + interne controle

    *            - ongeacht locatie data/servers
                 - bedoeld worden: landen die niet voldoen aan de Europese beschermingsstandaarden
    - om het eenvoudig te houden, te lezen als noch bedrijf, noch moederbedrijf is Europees.

    **en locatie data/servers in Europa