Clouds die office-functionaliteit bieden voldoen volgens een Zweedse studie niet aan de AVG (GDPR).

Zweedse overheidsinstanties kunnen juridisch gezien geen gebruik maken van web-based office-diensten, zoals online-tekstverwerkers maar ook webmail en chatsystemen via tekstberichten of video. Zogeheten office-clouds voldoen namelijk niet aan de Europese privacyrichtlijn AVG (GDPR in het Engels), zo blijkt uit een studie door de National Procurement Services van Zweden.

Het struikelpunt voor de Zweedse publieke sector is Amerikaanse wetgeving die bedrijven verplicht om data af te staan in het geval van vorderingen door opsporingsdiensten. Deze zogeheten CLOUD Act (Clarifying Lawful Overseas Use of Data) is krap een jaar jaar geleden vrij stilletjes aangenomen. Die wet is eerder al onderwerp van controverse geweest, onder meer vanwege een hoog opgelopen rechtszaak tussen Microsoft en Justitie in de VS over data die opgeslagen stond in Ierland.

Microsoft en Google dwingen

In Zweden wordt nu in een voorstudie naar web-gebaseerde kantoorpakketten gesteld dat AVG-vereiste waarborgen voor dataprotectie worden ondermijnd door de CLOUD Act, maar ook door andere Amerikaanse regelgeving. De office-cloudoplossingen van de huidige marktleiders kunnen geen adequate bescherming onder de AVG bieden, luidt de conclusie.

De mogelijkheid bestaat namelijk dat de CLOUD-wet, of Executive Order 12333 of anders sectie 702 van de FISA (Foreign Intelligence Surveillance Act), door de regering van de Verenigde Staten worden gebruikt om Zweedse data in te zien. Amerikaanse cloudaanbieders als Microsoft en Google zouden daarmee gedwongen kunnen worden om geheime gegevens van Zweedse gebruikers over te dragen. Microsofts rechtszaak over Ierse gebruikersdata ging juist daarover, en stamde van vóór het aannemen van de CLOUD Act.

Archivering en geheimhouding

Het rapport naar aanleiding van de studie is afgelopen vrijdag gepubliceerd en online beschikbaar als PDF. “De beste optie zou een web-based office suite zijn die voldoet aan de GDPR en aan Zweedse regels voor lange-termijn archivering en geheimhouding”, citeert EU-nieuwssite OSOR de projectleider van deze Zweedse studie. Momenteel is die gewenste optie er echter niet. Hierdoor is er vooralsnog geen framework in Zweden voor overheidsgebruik van office-functionaliteit op cloud-basis.

De verkenning door de aankoopdienst, onderdeel van de Zweedse overheidsinstantie Kammarkollegiet, heeft geen aanbieders op de markt gevonden die op dit moment een office-cloud kunnen bieden voor de Zweedse publieke sector die voldoet aan de vereisten. Overigens is hiermee niet gelijk gesteld dat cloudoplossingen voor kantoorproductiviteit over de hele linie niet voldoen aan de AVG. Zweden heeft van oudsher al eigen wetgeving rondom databescherming, privacy en vrije meningsuiting. Hierdoor heeft het land dan ook aanpassingen voor de AVG moeten doen.


Deze bijdrage werd geschreven door Jasper Bakker, Techjournalist, ICT-kenner en contentproducent bij AG Connect en verscheen eerder op: https://www.agconnect.nl/artikel/office-clouds-schenden-avg-aldus-zweden.