Voor instanties die overwegen voor de verwerking van persoonsgegevens (verder) beroep te doen op een cloudleverancier, heeft de Vlaamse Toezichtcommissie al verschillende aanbevelingen en adviezen gegeven.

In haar advies nr. 2020/05 van 8 september 2020 zet de VTC de principes nog eens op een rij en legt ook uit waarom deze zo belangrijk zijn voor de entiteiten van de Vlaamse Overheid. Het advies houdt rekening met het arrest van het Hof van Justitie, genaamd Schrems II.

De tekst houdt ook een waarschuwing in die gericht is aan alle entiteiten van de Vlaamse Overheid:

“Overeenkomstig artikel 58, a), AVG, spreekt de VTC een waarschuwing uit tegenover de verwerkingsverantwoordelijken van de Vlaamse instanties:
Het overdragen van veel persoonsgegevens van veel personen (ook over projecten heen) aan eenzelfde niet-Europese cloudprovider, terwijl niet bewezen is dat de gegevensbescherming van het land van de ontvanger van de gegevens vergelijkbaar is met de Europese, is niet conform de principes en bepalingen van de AVG, in het bijzonder het proportionaliteits- en vertrouwelijkheidsbeginsel en dus verboden.”

U leest best het hele advies, maar hier vindt u al de matrix die er in opgenomen is en die het kader vormt om uw bestaande en geplande toepassingen aan te toetsen (uitleg en kleurcodes in advies):

*
- ongeacht locatie data/servers
- bedoeld worden: landen die niet voldoen aan de Europese beschermingsstandaarden
- om het eenvoudig te houden, te lezen als noch bedrijf, noch moederbedrijf is Europees

** en locatie data/servers in Europa