VTC: nieuwe richtlijnen over gebruik kantoortoepassingen in de cloud door lokale besturen


De Vlaamse Toezichtcommissie (VTC), die toeziet op de toepassing van de GDPR door de Vlaamse bestuursinstanties, heeft nieuwe richtlijnen gepubliceerd inzake het gebruik van kantoortoepassingen in de cloud bij lokale besturen.

Hierin neemt de VTC het standpunt in dat het gebruik van algemene kantoortoepassingen in de publieke cloud niet aanvaardbaar is voor structureel dossierbeheer, noch voor het uitwisselen van gevoelige persoonsgegevens zoals vaccinatiestatussen of als platform voor burgerparticipatie. In die zin wijst zij er ook op dat cloudgebruik niet de standaard mag zijn en steeds het voorwerp moet uitmaken van een concrete afweging met oog voor alternatieve oplossingen.

De VTC wijst ook op te treffen maatregelen door Vlaamse bestuursinstanties wanneer zij gebruik wensen te maken van publieke cloudtoepassingen, waaronder:

  • het steeds sluiten van een verwerkersovereenkomst en niet zomaar inschrijven op een dienst op basis van standaardvoorwaarden met mogelijke niet-conformiteit onder de GDPR tot gevolg, en met oog voor de verschillende licentiemogelijkheden en hun beveiligingsniveau

  • uitsluitend gebruik van datacenters/servers in Europa

  • 2- of meerfactorauthenticatie voor toegang tot accounts

  • een adequaat rollenbeheer

  • gebruik van een erkend encryptiealgoritme

  • het privacyvriendelijk instellen van de gebruikte toepassingen.