Het Google-logo op de gevel van een bedrijfsgebouw
Nieuws3 juli · 16:114 min leestijd

Rijk geeft Google Cloud groen licht na privacytoets, maar de Amerikaanse databodem wankelt

De Rijksoverheid mag Google Cloud officieel gebruiken na een DPIA van SLM Rijk, mits organisaties de aanbevolen maatregelen doorvoeren. Toch is het geen onvoorwaardelijk groen licht: de goedkeuring leunt op een EU-VS data-afspraak die juridisch wankelt.

De Nederlandse centrale overheid mag Google Cloud officieel gaan gebruiken. Een privacytoets in de vorm van een DPIA (Data Protection Impact Assessment), uitgevoerd in opdracht van SLM Rijk, het strategisch leveranciersmanagement van de Rijksoverheid, concludeert dat er geen bekende hoge privacyrisico's meer overblijven zolang overheidsorganisaties de aanbevolen maatregelen doorvoeren. Daarmee valt een formele blokkade weg die overheidsdiensten lang tegenhield. Toch is dit geen onvoorwaardelijk groen licht: de goedkeuring leunt op een Europees-Amerikaanse data-afspraak die juist nu juridisch wankelt.

Het woordmerk van Google Cloud, de clouddienst die na de DPIA is goedgekeurd voor de Nederlandse centrale overheid. Bron: Verdel / Wikimedia Commons (publiek domein)
Het woordmerk van Google Cloud, de clouddienst die na de DPIA is goedgekeurd voor de Nederlandse centrale overheid. Bron: Verdel / Wikimedia Commons (publiek domein)

Wat het Rijk precies heeft goedgekeurd

Deze DPIA gaat over Google Cloud Platform, de infrastructuur waarop organisaties hun applicaties en data draaien. Dat is een aanvulling op een eerder positief oordeel over Google Workspace, de kantoorsuite met onder meer Gmail, Docs en Drive. Daarmee zijn nu beide hoofdonderdelen van Google's zakelijke aanbod door de privacytoets van het Rijk heen. Google bevestigde de uitkomst zelf via een blogpost van Marc Crandall (Global Head of Privacy) en Joost Smit (Country Lead BeNeLux), die schrijven dat de Nederlandse centrale publieke sector nu officieel Google Cloud kan gebruiken met een helder, goedgekeurd privacy-perspectief. Volgens SLM Rijk zijn alle belangrijke aandachtspunten uit de toets in overleg met Google opgelost.

Groen licht met voorwaarden, niet met een druk op de knop

Belangrijk om vast te stellen: dit betekent niet dat een overheidsorganisatie Google Cloud zomaar in de standaardstand kan aanzetten. De conclusie geldt uitdrukkelijk mits de aanbevolen maatregelen worden doorgevoerd. Beheerders moeten specifieke instellingen kiezen die niet standaard aan staan, er zijn afspraken over ruimere controle- en auditrechten voor de overheid, en Google neemt de rol van verwerker op zich in plaats van die van verwerkingsverantwoordelijke. Ook na die maatregelen blijven er nog enkele midden- en laaggeschaalde risico's over, vergelijkbaar met wat eerder naar boven kwam bij de DPIA over Microsoft Copilot, de tool waarmee het UWV wel proefdraaide maar bewust geen persoonsgegevens invoerde en nog geen besluit nam over structureel gebruik.

Het echte voorbehoud: de Amerikaanse databodem

Het grootste vraagteken staat niet in de DPIA zelf, maar eronder. De goedkeuring gaat ervan uit dat gegevensverkeer naar Amerikaanse servers legaal is via het EU-VS Data Privacy Framework. En precies dat fundament staat op losse schroeven, omdat een uitspraak van het Amerikaanse Hooggerechtshof over de onafhankelijkheid van toezichthouders de EU-VS dataovereenkomst ondergraaft waarop je cloudgrondslag rust. Privacyorganisatie noyb stelt dat het framework daarmee feitelijk is ingestort en dat de Europese Commissie de geldigheid opnieuw moet beoordelen. Valt die afspraak weg, dan verdwijnt de juridische bodem onder deze goedkeuring, en onder die van vrijwel elke andere Amerikaanse clouddienst.

Wat dit betekent voor jouw organisatie

De timing is veelzeggend. Vrijwel op hetzelfde moment dat Google zijn goedkeuring vierde, werd bekend dat de Rijksoverheid doorpakt op een eigen soevereine overheidscloud, met de eerste applicaties mogelijk eind 2026 in overheidsdatacenters. De overheid zegt dus twee dingen tegelijk: we mogen de Amerikaanse cloud gebruiken, en we bouwen ondertussen aan een uitweg. Dat is geen tegenstrijdigheid, het is risicobeheer.

Voor jou als ondernemer of bestuurder is dat de bruikbare les. Een goedkeuring met voorwaarden en een wankele juridische basis is geen vrijbrief, maar een momentopname. Waar je data staat en van wie je software is, is geen politieke keuze maar een bedrijfsrisico dat op dezelfde plank hoort als een te grote klant of een leverancier waar je niet omheen kunt. De vraag die het Rijk nu hardop stelt, hoort ook op jouw directietafel: als deze leverancier morgen onder een ander rechtsregime valt, kan ik dan door?

De DPIA haalt vandaag een blokkade weg. Maar wat hij vooral blootlegt, is hoe smal de juridische bodem onder de Amerikaanse cloud is geworden. De organisaties die daar nu al een plan B voor klaar hebben liggen, kopen de rust die een goedkeuring op zichzelf niet biedt.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Grip op je cloudkeuze

Ik help je in kaart brengen waar je data en software vastzitten, en bouw waar het kan een uitweg. Van meedenken en ontwerp tot realiseren en automatiseren, self-hosted waar dat verstandig is.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Kamer zet druk op EU-VS datadeal na hofuitspraak: jouw cloudgrondslag onder de loep
Nieuws
4 min

4 jul 04:11

Kamer zet druk op EU-VS datadeal na hofuitspraak: jouw cloudgrondslag onder de loep

PRO-Kamerlid Kathmann stelt staatssecretaris Aerdts kritische vragen over de EU-VS datadeal na de Amerikaanse hofuitspraak. De kern: is minder afhankelijkheid van Amerikaanse techbedrijven de enige zekere route?

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden
Signaal
6 min

5 jul 14:54

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden

In zes weken blokkeerde de staat een Amerikaanse overname, trok DigiD naar een eigen cloud en koos Europees voor zijn supercomputer. Los is het beleid, samen laat het zien dat soevereiniteit van ambitie een instrument werd.

Google's Gemini Spark landt op de Mac en mag nu aan je lokale bestanden
Nieuws
6 min

2 jul 18:09

Google's Gemini Spark landt op de Mac en mag nu aan je lokale bestanden

Google brengt zijn autonome AI-agent Gemini Spark naar macOS, waar hij voor het eerst lokale bestanden mag lezen en ordenen. Met MCP-ondersteuning, real-time tracking en een prijskaartje van 99 dollar per maand.

Hooggerechtshof VS ondergraaft EU-VS dataovereenkomst: je cloudgrondslag wankelt
Nieuws
6 min

30 jun 10:28

Hooggerechtshof VS ondergraaft EU-VS dataovereenkomst: je cloudgrondslag wankelt

Het Amerikaanse hooggerechtshof maakte onafhankelijke toezichthouders ondergeschikt aan de president. NOYB stelt dat daarmee het fundament onder het EU-VS Data Privacy Framework wegvalt, de grondslag voor data naar AWS, Azure en Microsoft 365.

UWV test Microsoft Copilot, maar zonder persoonsgegevens en zonder besluit over structureel gebruik
Nieuws
5 min

29 jun 16:23

UWV test Microsoft Copilot, maar zonder persoonsgegevens en zonder besluit over structureel gebruik

Minister Vijlbrief neemt nog geen besluit over structureel gebruik van Microsoft Copilot bij UWV. In de proef mag de AI niet op bestanden of persoonsgegevens, en het kabinet onderzoekt parallel soevereine alternatieven.

NYT scherpt zaak aan: Microsoft bouwde supercomputer om auteursrecht te schenden
Nieuws
6 min

27 jun 00:46

NYT scherpt zaak aan: Microsoft bouwde supercomputer om auteursrecht te schenden

The New York Times wil zijn rechtszaak tegen OpenAI en Microsoft aanpassen na een uitspraak van het Hooggerechtshof. De nieuwe aanklacht: Microsoft bouwde een supercomputer met als doel auteursrechtelijk werk te stelen.