Nieuwe DPIA en DTIA op AWS voor de Rijksoverheid: alle hoge risico's opgelost
In opdracht van strategisch leveranciersmanagement voor Microsoft, Google en Amazon Web Services van de Rijksoverheid (SLM Rijk) heeft Privacy Company onderzoek gedaan naar de privacyrisico's van het gebruik van drie belangrijke clouddiensten van Amazon Web Services Inc. De uitkomst van deze Data Protection Impact Assessment (DPIA) is dat er geen bekende hoge risico's meer zijn als Nederlandse overheidsorganisaties de aanbevolen mitigerende maatregelen in deze DPIA volgen.
Als gevolg van de onderhandelingen tussen SLM Rijk en AWS heeft AWS organisatorische en contractuele maatregelen genomen om 7 eerder geïdentificeerde hoge risico's voor gegevensbescherming te beperken.
Om de hoge risico's van doorgifte van gegevens naar de Verenigde Staten te beperken, kunnen overheidsorganisaties speciale of zeer gevoelige persoonsgegevens versleutelen met een zelfbeheerde sleutel en de accountgegevens van de beheerder pseudonimiseren. De doorgifterisico's worden apart beschreven in een Data Transfer Impact Assessment (DTIA).
Overheidsorganisaties kunnen ook de 9 resterende lage risico's, die zijn opgenomen in de tabel onderaan deze blog, beperken of accepteren.
Met toestemming van SLM Microsoft, Google en Amazon Web Services Rijk publiceren we deze blog over onze bevindingen. Voor vragen over het onderzoek kunt u contact opnemen met de perswoordvoerder van het Ministerie van Justitie en Veiligheid, +31 (0)70 370 73 45.
Wat is een DPIA en een DTIA?
Wanneer organisaties een nieuwe verwerkingsactiviteit plannen die waarschijnlijk een hoog risico inhoudt voor personen, zoals het inhuren van een cloud provider voor grootschalige gegevensverwerking, moeten ze een Data Protection Impact Assessment, of DPIA, uitvoeren. Er zijn extra risico's voor de gegevensbescherming als de persoonsgegevens worden doorgegeven aan landen buiten de EU die niet dezelfde wettelijke bescherming voor persoonsgegevens bieden, zoals de Verenigde Staten. Als een Amerikaanse inlichtingendienst een cloudprovider zou dwingen om persoonsgegevens van Nederlandse burgers te verstrekken, worden deze mensen niet geïnformeerd, hebben ze geen recht op een eerlijk proces en geen toegang tot een onafhankelijke toezichthoudende autoriteit. Organisaties moeten daarom ook de risico's inschatten dat de doorgegeven persoonsgegevens op een onrechtmatige manier worden gebruikt. Dit wordt een Data Transfer Impact Assessment of DTIA genoemd.
AWS diensten
AWS biedt veel verschillende clouddiensten, als infrastructuur, als platform en als software. De DPIA beoordeelt de risico's van het gebruik van Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) en Amazon Relational Database Service (Amazon RDS, in dit geval met een MySQL database).
Het rapport maakt onderscheid tussen 5 categorieën persoonsgegevens die AWS verwerkt:
- Inhoudelijke gegevens (door de klant geüploade inhoudelijke gegevens in de VM's en opslagruimten, Content Data)
- Accountgegevens (inclusief contactgegevens)
- Diagnostische gegevens (inclusief configuratie- en beveiligingsgegevens)
- Helpdeskgegevens (Support Data)
- Websitegegevens (de beheerconsole en het support centrum die alleen toegankelijk zijn voor beheerders, na inloggen)
AWS verwerker voor de meeste persoonsgegevens
AWS kwalificeert contractueel als gegevensverwerker voor de persoonsgegevens in de Content Data, Account, Diagnostische, Support en Websitegegevens met beperkte toegang.
Het contract met de Nederlandse overheid bevat een limitatieve lijst van 3 doelen, met beschreven subdoelen, waarvoor AWS als verwerker persoonsgegevens mag verwerken. De 3 hoofddoelen zijn:
- Het leveren en onderhouden van de diensten die door de klant en zijn geautoriseerde gebruikers worden gebruikt, onder meer door het gebruik door de klant van instellingen, beheerderscontrole of andere functionaliteit van de dienst (zoals de AWS-beheerconsole en API's die AWS beschikbaar stelt voor de diensten).
- Het beveiligen van de diensten en het AWS Netwerk, onder andere door het leveren van beveiligingsfuncties en -diensten.
- Het bieden van ondersteuning op verzoek van de klant en het oplossen van basisproblemen.
De Nederlandse overheid geeft AWS specifiek toestemming om beperkte persoonsgegevens verder te verwerken als een onafhankelijke verwerkingsverantwoordelijke voor een limitatieve lijst van verenigbare doeleinden, mits de verwerking strikt noodzakelijk en proportioneel is. Deze doelen variëren van facturering en het berekenen van vergoedingen voor werknemers tot fraudebestrijding, en van het reageren op verzoeken van betrokkenen om inzage in persoonsgegevens in de rol van verantwoordelijke van AWS tot het verbeteren van de prestaties en kernfunctionaliteit van de diensten. Waar mogelijk zal AWS voor deze doelen gepseudonimiseerde gegevens gebruiken.