Op deze pagina vindt u adviezen en richtlijnen van de Vlaamse Toezichtcommissie over het verwerken van persoonsgegevens in eigen datacenters of die van al dan niet Europese verwerkers. Het betreft ook de (on)mogelijkheden en voorwaarden voor het gebruik van de publieke cloud.
Actueel
augustus 2024
Beslissing inzake Digitaal Sociaal Dossier
De VTC heeft op haar zitting van 19 juni 2024 een beslissing(PDF bestand opent in nieuw venster) genomen in een lang lopend dossier over het project voor de aanpassing van het Digitaal Sociaal Dossier van een specifiek OCMW. Het betreft de verwerking van gevoelige persoonsgegevens in de publieke cloud. Het OCMW dat betrokken is bij het dossier heeft bevestigd deze verwerking zelf niet te hebben aangevat.
De VTC is er zich van bewust dat andere OCMW’s al lang wachten op deze uitspraak om te weten hoe ze verder moeten. Daarom publiceert de VTC deze uitspraak.
Adviezen en aanbevelingen
BASISADVIES
10 november 2022 - update mei 2024
Advies en waarschuwing 8 september 2020 dataplatformen in publieke cloud: VTC/A/2020/05
Het advies 2020/05 in het kort.
De adviezen 2020/05 en 2022/02 bevatten de criteria waaraan een geplande verwerking eerst getoetst moet worden om na te gaan of een publieke cloudoplossing aanvaardbaar is. Dat blijft bijvoorbeeld niet het geval wanneer het om grootschalige verwerkingen van kinderen gaat of andere kwetsbare groepen of wanneer het heel gevoelige gegevens betreft. Dit ongeacht de maatregelen.
De vermelde adviezen vermelden ook basisbeschermingsmaatregelen als pseudonimisering, exitstrategie,...Die mogen niet zomaar achterwege worden gelaten bij de toepassing van confidential computing of vergelijkbare technieken.
Na de aftoetsing aan de twee adviezen en indien toepasselijk ook de andere VTC-adviezen over cloudverwerkingen, beveelt de VTC aan om de goede praktijken volgens het IVC bij gebruik van publieke cloud (door organisaties en instellingen van sociale zekerheid) toe te passen:
Beraadslaging nr. 24/044 van 5 maart 2024(PDF bestand opent in nieuw venster)
Aanvullende adviezen
Advies uit eigen beweging VTC nr. 2022/02 van 11 oktober 2022 betreffende hosting van persoonsgegevens. Dit is een technische aanvulling bij het advies VTC/A/2020/05.
Het advies 2022/02 in het kort.
Advies VTC nr. 12/2021 van 15 februari 2022 m.b.t richtlijnen voor verwerking van persoonsgegevens met algemene kantoortoepassingen in de cloud bij lokale besturen (en andere kleinere Vlaamse bestuursinstanties). Dit is een specifieke toepassing en aanvulling van het advies VTC/A/2020/05.
SPECIFIEKE CLOUD/DATACENTER-ADVIEZEN
- Advies algemene kantoortoepassingen in de cloud bij lokale besturen (en andere kleinere Vlaamse bestuursinstanties). Dit is een specifieke toepassing en aanvulling van het advies VTC/A/2020/05. VTC/A/2021/12
- Advies inzake veiligheidsmaatregelen Microsoft Azure en Microsoft Power Apps. VTC/A/2019/04 en VTC/A/2019/05
- Advies inzake encryptie voor Amazon Web Services (AWS). VTC/A/2018/02
- Aanvulling advies(PDF bestand opent in nieuw venster) hosting LED bij AWS.
- Advies inzake de hosting van de Leer- en Ervaringsbewijzendatabank (LED) bij AWS. VTC/A/2018/01
- Aanbeveling aan alle leidend ambtenaren over outsourcing datacenter. VTC/AB/2016/01
- Aanvullend advies aan de betrokken leidend ambtenaren VTC/A/2016/03/02(PDF bestand opent in nieuw venster)
- Antwoord van de VTC op de reacties op de brief van de VTC aan de gemeenten inzake aanbiedingen van cloudleveranciers aan gemeenten. Antwoord_VTC_reacties_nav_brief_aan_gemeenten_aanbiedingen_cloudleveranciers_.pdf(PDF bestand opent in nieuw venster)
- Brief van de VTC aan de gemeenten inzake aanbiedingen van cloudleveranciers aan gemeenten.
- Antwoord VTC op een vraag van een lokale overheid n.a.v. een debat over CLOUD. Antwoord VTC nav CLOUDdebat VICTOR(PDF bestand opent in nieuw venster)
Evaluatiehulpmiddelen
DPIA
Als de verwerking voldoet aan criterium 18) van de lijst van de Vlaamse Toezichtcommissie van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling verplicht is voor de Vlaamse bestuursinstanties (of een ander criterium) is het opstellen van een DPIA/GEB verplicht:
“18) wanneer voor grootschalige verwerkingen van gegevens als vermeld onder punt 3) of van personen vermeld in 7), 8), 9) en 10) beroep gedaan wordt op niet-Europese leveranciers en niet uitgesloten is dat die toegang hebben tot de persoonsgegevens; LEVERANCIERS”
Meer informatie over het DPIA-model van de VTC.
Smals heeft een Cloud Security model ontwikkeld om het beveiligingsniveau van een clouddienst te kunnen evalueren. Hier vindt u de link naar het model(opent in nieuw venster) en een begeleidende presentatie (in het Engels)(PDF bestand opent in nieuw venster) (pdf 3MB). (Deze presentatie is in Engels en bestaat ook in het Frans. Als er voldoende vraag naar is, wordt er een Nederlands vertaling gevraagd. Mail hiervoor naar de VTC.)