De Nederlandse Rijksoverheid mag Amazon Web Services blijven gebruiken voor bepaalde cloudtoepassingen. Amazon heeft een aantal aspecten van de dienst aangepast zodat die voldoen aan de AVG.
Er zitten 'geen bekende hoge risico's' meer aan het gebruik van AWS, stelt onderzoeksbureau Privacy Company na een data protection impact assessment. Privacy Company deed, in opdracht van het Strategisch Leveranciersmanagement Rijk, onderzoek naar het gebruik van Amazon Web Services bij de Nederlandse overheid. Dat onderzoek begon in februari 2021. Daaruit kwamen zeven risico's naar voren waarbij het gebruik van persoonsgegevens in gevaar zou kunnen komen. Die risico's staan niet beschreven in de dpia van SLM Rijk, maar volgens SLM en Privacy Company zijn die risico's inmiddels wel opgelost. Dat gebeurde na overleg tussen Amazon en de Nederlandse overheid.
Wel zijn er nog steeds negen andere risico's voor datagebruik, maar die schat Privacy Company in als laag. Zo kunnen betrokkenen geen inzage krijgen in bepaalde gegevens en is er een risico op het 'verlies van controle over cookies en websitetelemetrie bij AWS-websites met beperkte toegang'. Privacy Company en SLM stellen dat de overheid de dienst alsnog kan gebruiken, ondanks die risico's. Dat kan door ze deels te accepteren of door ze te beperken. Daarvoor noemt SLM verschillende mogelijkheden.
Privacy Company onderzocht specifiek drie diensten binnen AWS waar de Nederlandse overheid gebruik van maakt. Dat zijn Elastic Compute Cloud, S3 en Amazon Relational Database Service of RDS.
Er zijn daarnaast ook risico's voor het gebruik van AWS omdat data daarbij wordt doorgestuurd naar de Verenigde Staten. Daarvoor heeft Privacy Company een data transfer impact assessment gedaan. De risico's van die datadoorgifte kunnen worden vermeden door gevoelige persoonsgegevens te versleutelen en accountgegevens van beheerders te pseudonimiseren.
In theorie zouden de aanpassingen die Amazon heeft gedaan ook van toepassing moeten zijn op de rest van Europa. Omdat de AVG voor alle landen binnen de EU geldt, zouden de dpia en de aanpassingen in heel Europa van toepassing moeten zijn. Dat was ook het geval bij Google Workspace, waar SLM eerder al onderzoek naar liet doen en waarbij Google veel toezeggingen deed door Chrome en ChromeOS aan te passen. Eerder bleek echter dat Vlaanderen het gebruik van Google Workspace niet toestaat: scholen moeten eerst zelf een privacyonderzoek doen, hoewel de regels rondom Workspace voor zowel Nederland als België hetzelfde zouden moeten zijn.