Wat betekent Schrems 2 voor cloudcomputing?

Inhoudsopgave:

Wat betekent Schrems 2 voor cloudcomputing?
Wat betekent Schrems 2 voor cloudcomputing?
Anonim

Het bereik van de AVG stopt niet bij de grenzen van Europa. Het gebruik van niet-Europese cloudplatforms en Software-as-a-Service vanuit Europa is nu een stuk ingewikkelder geworden.

Gegevensbescherming en cyberbeveiliging

Gegevensbescherming en cyberbeveiliging zijn verschillende, maar verwante onderwerpen. Cyberbeveiliging is de verzameling technologieën, controlemechanismen en gedragingen die samen de reactie van een organisatie vormen op het risico van cyberdreigingen. Cyberbeveiliging betekent de slechteriken buiten houden en de gegevens binnen.

Gegevensbescherming is het geheel van governance en controles, voornamelijk beleidslijnen en procedures, ontworpen om persoonlijke gegevens te beschermen en ervoor te zorgen dat deze volgens de letter van de wet worden gebruikt.

Een deel van de beveiligingsvereisten wordt vervuld door uw cyberbeveiligingsmaatregelen, en dat is het punt waar gegevensbescherming en cyberbeveiliging elkaar kruisen. Beveiliging betekent ook dat uw personeel geen gegevens lekt door simpele fouten, zoals het verzenden van een spreadsheet naar de verkeerde ontvanger. En dat is waar uw beleid en procedures voor gegevensbeheer een rol spelen.

Hoe die documenten zijn gestructureerd en welke maatregelen ze moeten afdwingen, wordt bepaald door de wet- en regelgeving waaraan u zich moet houden. Dat wordt bepaald door de lokale wetgeving, die op zijn beurt een functie is van geografie en politiek.

Bedrijven die gebruikmaken van cloudcomputing, kunnen duizenden kilometers verwijderd zijn van hun bedrijfsapplicaties, gegevens en servers. Een bedrijf dat in Europa is gevestigd, kan bijvoorbeeld gebruik maken van een dienst die zich fysiek in een datacenter in de Verenigde Staten bevindt.

Het overdragen van persoonsgegevens naar niet-Europese landen is ingewikkeld. En het werd alleen maar ingewikkelder.

GDPR

De Algemene Verordening Gegevensbescherming 2016 is in 2018 van kracht geworden.

Wat de AVG betreft, is de verwerking, opslag en verzending van persoonlijke gegevens of persoonlijk identificeerbare informatie (PII). Verwerken betekent het uitvoeren van elke handeling op of met persoonsgegevens. Het uitvoeren van een gecompliceerde SQL-query om records te extraheren die overeenkomen met een bepaalde demografie, of het verzenden van een enkele e-mail naar een enkele ontvanger zijn beide voorbeelden van verwerking.

Er is een wettelijke vereiste voor organisaties die persoonlijke gegevens verwerken, opslaan of verzenden om bevredigende governance en waarborgen op de gegevens toe te passen. Het doel van die vereiste is het beschermen en handhaven van de rechten en vrijheden van de betrokkenen, de mensen aan wie de gegevens toebehoren.

Dat is een zeer snelle doorloop - de AVG is 88 pagina's beknopte bureaucratie. Er is veel, veel, en de duivel zit in de details.

Persoonlijke gegevens

Persoonlijke gegevens zijn alle informatie met betrekking tot een persoon, of het nu gaat om zijn of haar privé-, professionele of openbare leven. Dat is een enorm bereik. Het kan van alles zijn, van een naam, een huisadres, een foto, een e-mailadres, bankgegevens, berichten op sociale netwerksites, medische informatie, het IP-adres van een computer, enzovoort.

En je hoeft niet genoeg informatie te hebben om een persoon te identificeren om te worden geclassificeerd als persoonlijke gegevens. Het is als een digitale puzzel. Als je een enkel stukje van de puzzel vasthoudt dat kan worden gebruikt met de andere stukjes - zelfs als ze ergens anders vandaan moeten komen - om een persoon te identificeren, wordt jouw enkele stukje informatie geclassificeerd als persoonlijke gegevens en moet het worden behandeld in overeenstemming met de AVG.

Eigenlijk is het wereldwijd

De grootste mythe met GDPR is dat het alleen van toepassing is op de lidstaten van de Europese Unie en dat het iets is waar alleen Europese organisaties mee te maken hebben.

De realiteit is dat als je Europeanen in dienst hebt, een pand in Europa hebt, handelt met Europese bedrijven of burgers, de AVG op jou van toepassing is. De AVG is een verordening die Europese burgers en hun persoonlijke gegevens beschermt en is van toepassing op elke organisatie die persoonlijke gegevens van Europeanen verwerkt. Zo kreeg Google een boete van meer dan USD 50 miljoen.

Er zijn een paar uitzonderingen. Niet-Europese bedrijven met minder dan 250 werknemers moeten de gegevens nog steeds beveiligen en gebruiken in overeenstemming met de AVG, maar ze worden een beetje van het papierwerk en de administratie bespaard.

En het woord erbij horen is in deze context interessant.

We zijn gewend te denken in de trant van mijn database, mijn spreadsheet, mijn mailinglijst, enzovoort. En dat klopt, ze zijn van jou. Maar als mijn gegevens zich in een van uw digitale systemen bevinden, zijn het wettelijk mijn gegevens en hebt u er een kopie van. Het zijn niet uw gegevens. Het is van mij. En ik heb de rechten van betrokkenen die dicteren wat u wel en niet met die gegevens kunt doen.

De dagen zijn voorbij dat je zorgeloos data kon verzamelen, ermee kon doen wat je wilde en het kon delen met wie je het goed vond. Nu heb je een wettelijke basis nodig, zelfs om de gegevens te verzamelen, en een wettelijke basis om ze te verwerken.

Grenzen overschrijden

De AVG zegt dat je alleen persoonlijke gegevens naar andere landen mag verzenden als ze:

  • In de Europese Unie
  • In de Europese Economische Ruimte
  • Hebben hun eigen wetgeving inzake gegevensbescherming die de Europese Commissie, rekening houdend met de bevindingen van het Europees Comité voor gegevensbescherming, adequaat heeft beoordeeld. Deze uitspraken worden adequaatheidsbesluiten genoemd.

Als u zich niet in de Europese Unie bevindt, noch in de Europese Economische Ruimte, wordt u geclassificeerd als een derde land.

Tot nu toe zijn Andorra, Argentinië, Canada, de Faeröer, Guernsey, Israël, het eiland Man, Japan, Jersey, Nieuw-Zeeland, Zwitserland en Uruguay derde landen met adequaatheidsbesluiten.

Persoonlijke gegevens kunnen worden verzonden naar elk van deze derde landen, waar ze worden verwerkt, opgeslagen en verzonden met dezelfde mate van beveiliging en bestuur alsof ze worden verwerkt in een regio die onder de AVG v alt.

Er ontbreken twee namen in die lijst. Opvallend door hun afwezigheid zijn de Verenigde Staten en het Verenigd Koninkrijk.

Het VK en Brexit

Het Verenigd Koninkrijk is bezig met de overgang uit de Europese Unie. Als het Verenigd Koninkrijk de Europese Unie verlaat zonder een handelsovereenkomst waardoor het een functionerend lid van de Economische Europese Ruimte kan blijven, wordt het een derde land en moet er een adequaatheidsbesluit worden genomen over een geschikt kader en wetgeving voor gegevensbescherming.

Het Verenigd Koninkrijk heeft hier wel wetgeving voor klaarliggen. Hoofdstuk twee van de Data Protection Act 2018 van het Verenigd Koninkrijk bevat (min of meer) de gehele AVG. Dus de wetgeving is klaar, het is al verankerd in de Britse wet, en het moet zeker adequaat zijn, want het is de AVG.

Het probleem is dat het besluitvormingsproces over de geschiktheid erg traag is.

De VS en het privacyschild

De Verenigde Staten hebben een gedeeltelijk adequaatheidsbesluit genomen. De EU-VS en Zwitsers-VS Privacy Shield Frameworks zijn ontworpen door het Amerikaanse ministerie van Handel, de Europese Commissie en de Zwitserse overheid om een acceptabel mechanisme te bieden voor de overdracht van persoonlijke gegevens tussen de Europese Unie, Zwitserland en de Verenigde Staten.

De Verenigde Staten hebben een gedeeltelijk adequaatheidsbesluit gekregen omdat Privacy Shield geen landelijke wetgeving is en het niet verplicht is. Organisaties beslissen zelf of ze mee willen doen of niet. Het is opt-in.

Eigenlijk is het juister om te zeggen dat de Verenigde Staten een gedeeltelijk adequaatheidsbesluit hebben genomen.

Schrems 2

Het privacyschildkader werkte goed. Het stelde Amerikaanse cloudplatformproviders en Software-as-a-Service-bedrijven in staat om in Europa handel te drijven en Europese klanten te bedienen, ook al waren hun datacenters mogelijk in de Verenigde Staten gevestigd.

Het werkte goed, totdat Maximillian Schrems, een Oostenrijkse activist voor gegevensbescherming, een zaak voor het Hof van Justitie van de Europese Unie (HvJ-EU) aanspande. Hij won de zaak en op 16 juli 2020 deed het HvJ-EU uitspraak. Dit werd gevolgd door een standpuntbepaling van de Zwitserse federale commissaris voor gegevensbescherming en informatie.

De zaak kwam erop neer of het privacyschildkader voldoende robuust was om zelfs maar een gedeeltelijk adequaatheidsbesluit te rechtvaardigen. Door de zaak te winnen, werd het Privacy Shield ongeldig verklaard.

Een deel van de zaak hing af van de massale dataverzamelings- en surveillance-initiatieven van de Verenigde Staten, zoals PRISM en UPSTREAM, en het vermogen van de National Security Agency en andere soortgelijke instanties om persoonlijke gegevens van klanten op te vragen bij Amerikaanse bedrijven.

Wat nu?

Afbeelding
Afbeelding

Grote organisaties zoals Google en Microsoft hebben datacenters strategisch gepositioneerd in verschillende regio's, zoals Europa, Afrika, het Midden-Oosten en Azië. Dit wordt specifiek gedaan om die regio's vanuit die regio's te bedienen. Maar het hebben van datacenters in Europa lost het probleem niet op. De NSA kan hen nog steeds dwingen de gegevens te overhandigen, ongeacht de locatie van het datacenter. Het hebben van een datacenter in Europa lost niets op.

Samenvattend: de Verenigde Staten zijn een derde land zonder een adequaatheidsbesluit en het lijkt zeer waarschijnlijk dat het Verenigd Koninkrijk zich binnenkort in precies dezelfde positie zal bevinden.

Er zal geen eenvoudig middel zijn voor de overdracht van persoonlijke gegevens tussen Europese bedrijven en Britse of Amerikaanse bedrijven. Zelfs binnen een internationale onderneming of groep van bedrijven zal het ingewikkeld zijn om gegevens van een kantoor in Europa naar een filiaal in Londen of New York te verplaatsen.

Maar er moet een manier zijn voor een Europees bedrijf om gegevens naar een derde land te kunnen sturen zonder een adequaatheidsbesluit. De Europese Raad voor gegevensbescherming kon toch niet verwachten dat de AVG als een guillotine zou vallen om bestaande zakelijke banden met bijvoorbeeld het Midden-Oosten te verbreken?

In feite bestaan er voorzieningen voor die onvoorziene situatie. Ze zijn:

  • Afwijkingen
  • Gedragscodes en certificeringsmechanismen
  • Bindende bedrijfsregels
  • Standaard contractbepalingen

Dat is iets. Maar toch, het zal niet van een leien dakje gaan.

Afwijkingen

Afwijkingen zijn landspecifieke afwijkingen van de letter van de AVG die zijn goedgekeurd door de Europese Commissie en de toezichthoudende autoriteit van het land in Europa. Elk bedrijf moet zijn eigen zaak doorsturen.

Afwijkingen bieden onder bepaalde voorwaarden een zekere mate van flexibiliteit en zijn een gedoogde en gerechtvaardigde afwijking van de gebruikelijke vereisten. Helaas moeten ze restrictief worden toegepast en mogen ze niet de norm worden. Zij zijn per definitie de uitzondering op de regel. Bovendien hebben ze betrekking op “verwerkingsactiviteiten die incidenteel en niet-repetitief zijn.”

Afwijkingen zijn dus onpraktisch voor regelmatige zakelijke overdrachten van persoonlijke gegevens.

Gedragscodes en certificeringsmechanismen

De Europese Raad voor gegevensbescherming zegt dat gedragscodes en certificeringsmechanismen passende waarborgen kunnen bieden voor de overdracht van persoonsgegevens naar derde landen als er bindende en afdwingbare verplichtingen zijn voor het bedrijf in het derde land.

Verenigingen en beroepsorganisaties kunnen codes opstellen voor goedkeuring en registratie. Artikel 42 van de AVG stelt dat "certificeringsmechanismen voor gegevensbescherming, zegels of merktekens … kunnen worden ingesteld om het bestaan van passende waarborgen aan te tonen die worden geboden door verwerkingsverantwoordelijken of verwerkers die niet onder deze verordening vallen."

Er zou enorm veel werk in zo'n plan zitten.

  • Er zou een geschikte gedragscode en certificeringsmechanisme moeten worden ontwikkeld door handelsverenigingen of beroepsorganisaties in het derde land.
  • De code moet worden beoordeeld en goedgekeurd door het Europees Comité voor gegevensbescherming.
  • Bedrijven die worden vertegenwoordigd door de handelsvereniging of -organisatie in het derde land, moeten de code overnemen en moeten kunnen aantonen dat ze zich hieraan houden.
  • De deelnemende bedrijven moeten worden onderzocht en, als ze slagen, worden gecertificeerd. Dat vereist de oprichting van een certificatie-instelling.
  • De deelnemende bedrijven moeten dan worden gecontroleerd om te zorgen voor voortdurende naleving van de code.

Er zijn geen goedgekeurde gedragscodes in de Verenigde Staten noch in het Verenigd Koninkrijk, hoewel het Information Commissioners' Office van het Verenigd Koninkrijk zegt dat ze processen hebben om sollicitaties te accepteren. Verwacht geen snelle doorlooptijd.

Bindende bedrijfsregels

Binding Corporate Rules zijn interne regels die het internationale beleid bepalen in multinationale groepen van bedrijven en internationale organisaties met betrekking tot grensoverschrijdende, maar nog steeds binnen dezelfde organisatie-overdrachten van persoonsgegevens.

Bindende bedrijfsregels zijn gedetailleerd en uitgebreid en lijken erg op contracten. Er is een standaard set van informatie en onderwerpen die verplicht zijn voor opname. Bindende bedrijfsregels moeten ter beoordeling en autorisatie worden voorgelegd aan de toezichthoudende autoriteit van het Europese land.

Binding Corporate Rules zijn complex en tijdrovend om te maken, maar voor een multinationale of grote internationale organisatie zullen ze de gegevensoverdracht aanzienlijk vereenvoudigen als ze eenmaal zijn geïmplementeerd.

Standaard contractbepalingen

Zowel het Europese bedrijf als het bedrijf in het derde land moeten akkoord gaan met het gebruik van een contract met modelcontractbepalingen dat is goedgekeurd door de Europese Commissie. Deze contracten bieden aanvullende gegevensbeschermingswaarborgen die vereist zijn in het geval van een overdracht van persoonsgegevens naar een derde land.

De modelcontractbepalingen moeten door beide partijen worden ondertekend. Als ze niet zijn ondertekend, worden ze niet als aanwezig beschouwd.

Standaard contractuele clausules kunnen worden opgenomen in een breder contract en er kunnen aanvullende clausules worden toegevoegd, zolang deze niet direct of indirect in tegenspraak zijn met de standaard contractuele clausules. U kunt geen clausules aan het contract toevoegen om te proberen de vereisten van de standaard contractuele clausules die u niet leuk vindt, te negeren.

U kunt de standaard contractbepalingen wijzigen om rekening te houden met een specifieke of specifieke situatie. Als ze eenmaal zijn gewijzigd, zijn het natuurlijk geen standaardcontractbepalingen meer. Het worden ad-hoccontractbepalingen en voordat ze kunnen worden gebruikt, moeten ze worden geautoriseerd door de toezichthoudende autoriteit voor gegevensbescherming van het Europese bedrijf.

De Europese Commissie heeft sets van standaard contractuele clausules opgesteld, en van de vier beschikbare opties lijken ze de beste algemene oplossing te zijn.

Is dat de oplossing?

Mogelijk. Het is moeilijk voor te stellen hoe bedrijven als Microsoft, Amazon en Google het eens kunnen worden en een kopie van standaardcontractbepalingen kunnen ondertekenen voor elk Europees bedrijf dat met hen wil samenwerken.

Sommige Software-as-a-Service-aanbieders hebben standaard contractuele clausules opgenomen in hun algemene voorwaarden. Maar zal hun formulering voldoen aan de eisen van de Europese Commissie? Een ander probleem is de handtekening. De dienstverleners hopen dat uw akkoord met hun algemene voorwaarden zal gelden in plaats van een handtekening.

Er is wellicht een testcase nodig om een precedent te scheppen voordat dit duidelijk wordt.

Populair onderwerp

Aanbevolen

Hoe Cryptocurrency-mijnwerkers in uw webbrowser te blokkeren
2023

Hoe Cryptocurrency-mijnwerkers in uw webbrowser te blokkeren

Hoe drieweglichtschakelaars werken
2023

Hoe drieweglichtschakelaars werken

Hoe u de eenvoudige, lichtgewicht YouTube Go-app in elk land kunt krijgen
2023

Hoe u de eenvoudige, lichtgewicht YouTube Go-app in elk land kunt krijgen

Hoe groepsgesprekken op Facebook te dempen (tijdelijk of permanent)
2023

Hoe groepsgesprekken op Facebook te dempen (tijdelijk of permanent)

Handtekeningen maken en wijzigen in Apple Mail op macOS
2023

Handtekeningen maken en wijzigen in Apple Mail op macOS

Hoe u het Dock van uw Mac kunt aanpassen en aanpassen
2023

Hoe u het Dock van uw Mac kunt aanpassen en aanpassen

Hoe u uw mobiele telefoonsignaal gemakkelijk thuis kunt versterken
2023

Hoe u uw mobiele telefoonsignaal gemakkelijk thuis kunt versterken

Hoe je bijna alles bij Amazon kunt bestellen met behulp van de Amazon Echo
2023

Hoe je bijna alles bij Amazon kunt bestellen met behulp van de Amazon Echo

Hoe u meer opslagruimte kunt toevoegen aan uw Android TV voor apps en games
2023

Hoe u meer opslagruimte kunt toevoegen aan uw Android TV voor apps en games

Hoe contacten over te zetten tussen Google-accounts
2023

Hoe contacten over te zetten tussen Google-accounts

Hoe u uw iOS-apparaat kunt wissen na te veel mislukte toegangscodepogingen
2023

Hoe u uw iOS-apparaat kunt wissen na te veel mislukte toegangscodepogingen

Zoeken en spelen van terabytes aan retro-games vanaf je bank met Kodi
2023

Zoeken en spelen van terabytes aan retro-games vanaf je bank met Kodi

Automatisch beginnen met opnemen met veel wanneer een deur of raam opengaat
2023

Automatisch beginnen met opnemen met veel wanneer een deur of raam opengaat

Hoe u tijdbesparende "Hot Corner" -snelkoppelingen op uw Mac kunt maken
2023

Hoe u tijdbesparende "Hot Corner" -snelkoppelingen op uw Mac kunt maken

Download.com is eindelijk gestopt met het bundelen van crapware
2023

Download.com is eindelijk gestopt met het bundelen van crapware

Een Google-agenda delen met andere mensen
2023

Een Google-agenda delen met andere mensen

Hoe u uw bestanden kunt herstellen van een met BitLocker versleutelde schijf
2023

Hoe u uw bestanden kunt herstellen van een met BitLocker versleutelde schijf

Hoe offline browsen in Firefox in te schakelen
2023

Hoe offline browsen in Firefox in te schakelen