De Rijksoverheid heeft op 22 april 2026 een DPIA gepubliceerd naar het gebruik van STACKIT cloudservices. Dit rapport geeft inzicht in de verwerking van persoonsgegevens in deze relatief nieuwe Europese cloudomgeving en is relevant voor CIOPN‑leden die kijken naar alternatieven voor de grote Amerikaanse aanbieders.

In de DPIA zijn drie kernservices onderzocht, namelijk compute, database en object storage, in een representatieve cloudopzet. Daarbij is gekeken naar verschillende categorieën persoonsgegevens zoals content, accountgegevens, logdata en supportinformatie. De analyse laat zien dat risico’s met name samenhangen met transparantie, logging en de rolverdeling tussen leverancier en afnemer.

De eindconclusie van het rapport is dat er geen hoge privacyrisico’s resteren, zolang organisaties de aanbevolen maatregelen toepassen. Waar eerder meerdere hoge risico’s werden vastgesteld, zijn deze na aanpassingen in techniek en contracten teruggebracht tot een set van lage restrisico’s. Een belangrijk element daarin is de aangepaste Data Processing Agreement, waarin duidelijker is vastgelegd voor welke doelen persoonsgegevens mogen worden verwerkt en onder welke rol.

Een opvallend punt in de DPIA is de nadruk op Europese datalocatie. De onderzochte diensten verwerken gegevens uitsluitend binnen de EU, met name in Duitsland, en maken geen gebruik van niet‑EU subprocessors binnen de scope van het onderzoek. Dit raakt aan bredere discussies rond digitale autonomie en afhankelijkheid van internationale cloudproviders.

Tegelijk laat het rapport zien dat een belangrijk deel van de verantwoordelijkheid bij de afnemende organisatie blijft liggen. Het gaat dan om keuzes in inrichting, logging, gebruik van data en aanvullende risicoanalyses. De DPIA is nadrukkelijk opgezet als een generiek kader en moet door individuele organisaties worden aangevuld met een eigen beoordeling.

De DPIA schetst daarmee een beeld van een cloudomgeving die, binnen duidelijke randvoorwaarden, toepasbaar is vanuit privacy‑oogpunt. Tegelijk maakt het rapport duidelijk dat de uiteindelijke risico’s sterk afhankelijk blijven van het concrete gebruik en de inrichting. Voor CIOPN‑leden biedt het document vooral een referentie om cloudkeuzes en governance verder te onderbouwen, zonder die beoordeling over te nemen.

Het volledige rapport is te raadplegen via de Rijksoverheid: https://www.rijksoverheid.nl/documenten/2026/04/22/dpiaontheuseofstackitcloudservices