Privacy Shield

Waar staat jouw bedrijfsdata opgeslagen? En welke wetgeving beschermt jouw data? Onlangs besloot het Europees Hof van Justitie dat de Amerikaanse wetgeving de data van EU burgers onvoldoende beschermt. Een goed moment om hier eens kritisch naar te kijken.

De diensten van Google, Microsoft en Apple, maar ook Facebook, Dropbox en nog veel meer andere Amerikaanse techreuzen zijn bijna niet weg te denken uit het bedrijf van 2020. Het zijn ook in Nederland de absolute marktleiders op het gebied van clouddiensten. Maar waar staat jouw privacygevoelige informatie? En voldoe je nog wel aan de wet wanneer dit op een Amerikaanse server staat?

Op 16 juli verklaarde het Europees Hof van Justitie het Privacy Shield ongeldig. Dit Privacy Shield was een adequaatheidsbeslissing die inhield dat Europa van mening was dat Amerika voldoende zorgvuldig met de informatie van Europese burgers om zou gaan. Hiermee was de weg vrij voor het in Amerika analyseren van privégegevens van Europese gebruikers. Onder de GDPR, en haar Nederlandse evenknie AVG, mag dat alleen wanneer in het ontvangende land net zo zorgvuldig met deze informatie om wordt gegaan als in Europa. De privacy van de Europese burger moet worden beschermd. Maar mag je daar, in het geval van de Verenigde Staten, eigenlijk wel van uitgaan?


MAXIMILLIAN SCHREMS

De zaak kwam aan het rollen toen Oostenrijks staatsburger Maximilian Schrems vraagtekens zette bij het doorgeven van zijn privé-informatie via de Ierse tak van Facebook. Deze informatie werd onder het Privacy Shield in Amerika opgeslagen en daar bestudeerd. Volgens Schrems kon helemaal niet worden aangenomen dat er in de Verenigde Staten zorgvuldig genoeg met deze informatie werd omgegaan.

Onder de Amerikaanse wetgeving vindt men de nationale veiligheid, het algemeen belang en de naleving van de wet belangrijker. Dit standpunt is zelfs formeel vastgelegd in de CLOUD Act (Clarifying Legal Overseas Use of Data Act)  die in 2018 door de Senaat is aangenomen.

 Waar binnen de AVG is besloten dat alleen de hoogst noodzakelijke informatie mag worden verzameld, geldt dit helemaal niet in de VS. Ook hebben EU-burgers in Amerika geen mogelijkheid om hun rechten voor de rechter af te dwingen. Uiteindelijk stelde het Europees Hof van Justitie Schrems in het gelijk en verklaarde het Privacy Shield en het hieraan gelieerde veiligehavenverdrag ongeldig.


GEVOLGEN

“Als gevolg van deze beslissing zouden bedrijven die privacygevoelige informatie op een Amerikaanse server hebben staan dus eigenlijk eens kritisch moeten kijken naar hun clouddiensten en hosting,” merkt Serge, CEO en eigenaar van Ultraware, op.

De Amerikaanse overheden zijn niet bij de pakken neer gaan zitten. Er wordt inmiddels al weer druk onderhandeld over een nieuwe versie van het Privacy Shield. Zolang in de Verenigde Staten de CLOUD act geldt, is het maar de vraag of de informatie van EU burgers daar echt veilig is.

“Ultraware heeft van begin af aan gekozen voor, waar mogelijk, Nederlandse oplossingen. Zo staat onze gehoste software veilig op de servers van TransIP, onze samenwerkingspartner op het gebied van hosting en virtualisatie. Dit Nederlandse bedrijf heeft haar servers binnen de landsgrenzen staan. Daarnaast vinden zij veiligheid net zo belangrijk als wij .” Een verstandige keuze, blijkt nu.

Bouwko is Security Officer bij Ultraware. “Alle door Ultraware gerealiseerde software die op deze servers draait, wordt steeds in de gaten gehouden en regelmatig onderworpen aan strenge testen,” voegt hij toe. “Het is voor ons heel belangrijk dat onze klanten weten dat hun informatie bij ons veilig is. Nu, maar ook wanneer in de toekomst misschien een Privacy Shield 2.0 wordt aangenomen.”

Ben jij nieuwsgierig of jouw bedrijfsinformatie veilig is? Wil je eens vrijblijvend met een van onze experts hierover van gedachten wisselen?  Bel of mail gerust voor een afspraak op ons kantoor in Assen.