• Home
  • Over
  • Waarom YourAlly
  • Diensten
    • Consultancy Advies en ondersteuning bij het inrichten van de beginselen van informatiebeveiliging, normen zoals de ISO 27001 of specifieke beveiligingsmaatregelen?
      •  
    • Detachering Flexibel en op maat behoefte aan informatiebeveiliging- en privacy expertise? 
      •  
    • Interim Op tijdelijke basis een security of privacy interim professional nodig uit een groot netwerk?
      •  
  • Blog
  • Contact

Gratis intakegesprek

Blog

25-11-2022

Is het Executive Order van Joe Biden de doorbraak voor het gebruik van de Amerikaanse cloud en de GDPR?

Na de aankondiging van bilaterale gesprekken over de privacyverordening  "General Data Protection Regulation" (GDPR) doorbroken.

De president van de Verenigde Staten (VS), Joe Biden, ondertekende een Executive Order met als doelstelling dit keer wel te kunnen voldoen aan de eisen die de privacyverordening stelt bij de verwerking van de persoonsgegevens van burgers uit de Europees Economische Ruimte (EER) – Alle landen uit de Europese Unie (EU) en Liechtenstein, Noorwegen en IJsland.

Is dit nu eindelijk een knappe oplossing voor een complex en slepend probleem? Of is dit een rookgordijn en wordt er om de hete brij heen gedraaid

Wat was het probleem precies?

De GDPR reguleert als verordening de wijze waarop er binnen de EU met persoonsgegevens wordt omgegaan. Persoonsgegevens zijn alles wat herleidbaar is naar een levend natuurlijk persoon (bijv. naam, woonadres, politieke voorkeur). De bijkomende privacyrechten van EU-burgers, zoals het recht om in te zien welke data wordt verzameld, vormen een mijlpaal in het temmen van de hedendaagse dataverzamelwoede.

Voor organisaties bracht deze privacyverordening voornamelijk nieuwe verantwoordelijkheden en plichten. Van het beschikken over een geldige grondslag bij de verzameling en het gebruik van persoonsgegevens, tot het waken voor onrechtmatig gebruik en het voorzien in de privacyrechten van EU-burgers. Tot slot is er in iedere lidstaat een nationale toezichthouder die toetst op de naleving van de GDPR en onder meer bevoegd is boetes uit te delen.

Binnen de EU dient iedereen zich te houden aan de privacyverordening en is het beschermingsniveau van persoonsgegevens gelijk. Echter zijn in de EU veel mensen en organisaties afhankelijk van clouddiensten uit de VS. Denk aan alledaagse kantoorsoftware (Microsoft 365, Google Workspace, Dropbox), servers in de cloud (Amazon AWS, Microsoft Azure, Google Cloud) of oplossingen voor tracking en marketing (Google Analytics, MailChimp).

De doorgifte van persoonsgegevens naar de Verenigde Staten

Wanneer de persoonsgegevens van Europeanen via een bovenstaand voorbeeld worden verstrekt aan een Amerikaanse partij, spreekt men over de doorgifte van data tussen de EU en de VS. Doordat de VS geen deel uitmaakt van de EU, kwalificeert de VS als 'een derde land' volgens de GDPR. Een derde land is een land dat buiten de reikwijdte van de GDPR valt. 

Elk land dat buiten de dekking van de verordening valt, dient voor de verwerking van EU-persoonsgegevens, te beschikken over een 'vastgesteld vergelijkbaar en passend beschermingsniveau'. Om dit te kunnen realiseren oordeelt de Europese Commissie in een procedure over de totstandkoming van een adequaatheidsbesluit. Een adequaatheidsbesluit is in feite een soort vergunningsprocedure, waarin wordt geoordeeld over of een derde land het vereiste beschermingsniveau biedt.

Voldoende privacyzekerheden, of toch niet?

Het standpunt van Europese en Amerikaanse organisaties kwam neer op dat onderling er een afdoende geregeld was voor de GDPR. Afspraken in de contracten tussen Amerikaanse en Europese partijen, zouden bij de doorgifte van data naar de Verenigde Staten voldoende zekerheid moeten bieden om de privacyregels na te leven.

Deze afspraken borduurde voort op bilaterale overeenkomsten (EU-VS Safe Harbour, EU-VS Privacy Shield) waarmee in juridische constructies tussen de Europees Commissie en de Verenigde Staten werd getracht vergelijkbare privacy- en rechtsbescherming te realiseren. De Europese Commissie was van mening dat er op deze manier, bij de doorgifte van data naar de Verenigde Staten, voldoende privacyzekerheden aanwezig waren en kende dan ook een adequaatheidsbesluit toe.

Van adequaat naar inadequaat

Het tegenovergestelde bleek het geval. In een reeks van meerdere opeenvolgende rechtszaken bij het Europese Hof van Justitie (HJEU), is dit standpunt keer op keer van tafel geveegd. Het adequaatheidsbesluit voor de VS bleek uiteindelijk geen stand te houden. Dit adequaatheidsbesluit, met als meest recente variant het EU-VS Privacy Shield, was onderdeel in het Schrems II arrest van het HJEU.

Het Schrems II arrest leidde onder meer tot de conclusie dat, de contracten die middels afspraken de spelregels van de privacyverordening in de VS zou afdwingen, geen juridische basis hadden. Met andere woorden, Amerikaanse organisaties kunnen, ondanks contractuele beloften naar Europese organisaties, de afspraken over de verwerking van EU-persoonsgegevens vanuit juridische verplichtingen niet nakomen.  

Afspraak is afspraak…?

De Amerikaanse federale wet (federal law) staat voor Amerikaanse rechtspersonen boven de contracten en overeenkomsten die zij sluiten (contract law). Afspraken uit overeenkomsten die kruisen met het Amerikaanse beleid voor nationale veiligheid, zoals voor de GDPR, kunnen niet worden gerespecteerd en delven het onderspit. Daarbij geldt er in de VS een andere visie ten aanzien van VS-burgers en niet VS-burgers.

In de praktijk betekent dit dat Amerikaanse veiligheidsdiensten, op grond van de federale wetten en verordeningen, op grote schaal en ongericht data van EU-burgers verzamelen. Amerikaanse organisaties zijn bij wet verplicht medewerking te verlenen. Voor een uitzondering lijkt het Amerikaanse stelsel momenteel geen geitenpaadje te bieden.

(Lees hierover meer in ons eerdere dossier….)

Data Transfer Impact Assessment

Een ander gevolg van het Schrems II arrest, was dat Europese organisaties een Data Transfer Impact Assessment (DTIA/TIA) voor elke doorgifte van persoonsgegevens naar een land buiten de EER zonder adequaatheidsbesluit, zoals de VS, dienen uit te voeren. Bovendien moeten op uiterlijk 27 december 2022 alle modelcontracten worden bijgewerkt. Veel cloudleveranciers, zoals Microsoft, volgen al de nieuwe opzet. Het Nederlandse SURF,een coöperatieve vereniging van Nederlandse onderwijs- en onderzoeksinstellingen voor ICT, bracht in samenwerking met Zoom een privacy-stappenplan op voor deze dienst.

Hoewel de ernst van dit onderwerp door sommigen lijkt te worden onderschat, zijn tegelijkertijd voor beide partijen de belangen uiterst groot. 

Voor de aanvullende maatregelen adviseerde de European Data Protection Board (EPDB), bestaande uit alle voorzitters van de privacytoezichthouders, om maatregelen zoals zero-knowledge encryptie en pseudonimisering toe te passen. Desalniettemin kun je vraagtekens plaatsen dit advies, aangezien de afnemer vaak afhankelijk is van de aanbieder en de implementatie ten koste kan gaan van functionaliteit.

De vraag die dit oproept is: kunnen de Europese Commissie en de Verenigde Staten überhaupt wel een oplossing vinden? 

Het antwoord op Schrems-II: Joe Biden's Executive Order - Water bij de wijn of woordkunstenaars?

Met het Executive Order van Joe Biden zijn het Europees Parlement en de Amerikaanse overheid van mening een stap naar de oplossing te zetten. Wat gaat er veranderen?

In vergelijking met de eerdere situatie aan de zijde van de Verenigde Staten zijn er er van alle wijzigingen op twee hoofdlijnen wijzigingen doorgevoerd:

    1. Wijziging van definities

    2. Introductie van een rechtbank

1. Definities - Gelijkstelling met de EU?

De dataverzameling door Amerikaanse veiligheidsdiensten zal plaatsvinden in lijn met de definities “noodzakelijkheid” en “proportionaliteit". Dit vervangt een ouder Executive Order van de Amerikaanse president Barack Obama, waarin de definitie “naar haalbaarheid op maat” werd gehanteerd.

Deze wijziging lijkt in te spelen op de arresten en definities van het HJEU. Een gelijkstelling zou op papier moeten leiden tot een meer gelijke handelswijze en tegemoetkoming aan het arrest. 

Echter, enkele blijvende onduidelijkheden moeten echter niet worden onderbelicht. Het rechtssysteem van Europese landen zoals Nederland verschilt veel van de Verenigde Staten; continentaal recht versus common law. 

Bovendien staat vast dat het HJEU de Amerikaanse veiligheidsprogramma’s in beginsel niet proportioneel acht. Welke waarde deze gelijkstelling daadwerkelijk heeft is dan ook diffuus. 

2. De Rechtbank - Data Protection Review Court

De introductie van deze rechtbank heeft als doelstelling om, geheel onafhankelijk, de dataverzameling van EU-burgers door Amerikaanse veiligheidsdiensten te toetsen.

EU-burgers zouden naar de rechter kunnen stappen op het moment dat zij vermoeden dat de wijze waarop persoonsgegevens verzameld of behandeld zijn, niet rechtmatig is.

Deze beroepsprocedure bestaat uit twee beoordelingsinstanties.

  1. Beoordeling door de Director of National Intelligence

  2. Beoordeling door het Data Protection Review Court

Scheiding der machten

Normaliter werkt een staat met drie gescheiden machten, de Trias Politica van Montesquieu: Een wetgevende macht (Regering en Tweede Kamer) uitvoerende macht (Regering) en de rechtsprekende macht (Rechters). Echter valt deze rechtbank onder de uitvoerende macht en is dus een deel van de Amerikaanse overheid. In hoeverre het Data Protection Review Court echt aan de eisen van een rechtbank voldoet valt daardoor ook te betwisten.

Wie toch beroep zou willen aantekenen, zal eerst naar de nationale databeschermingsautoriteit moeten stappen; in Nederland de Autoriteit Persoonsgegevens. Daarna wordt het beroep overgedragen aan de Amerikaanse overheid zodat het inhoudelijk kan worden behandeld.

De VS zal in de beantwoording van het beroep niet bevestigen of er daadwerkelijk sprake is geweest van dataverzameling door veiligheidsdiensten, maar zal enkel antwoorden of de mogelijke inbreuk op rechten gemitigeerd is, of dat er überhaupt geen inbreuk was. Additionele context wordt niet verstrekt.

De appellant wordt niet veel wijzer van een dergelijke “rechtsgang” en van een inbreuk op rechten zal ook niet snel sprake zijn, aangezien de veiligheidsprogramma’s met dataverzameling op niet-VS burgers legaal is.

Voorspelling

Een Europese nieuwe poging kan beginnen om de Verenigde Staten weer te erkennen als land dat uiteindelijk zal voldoen. Concreet zal de Europese Commissie met het Executive Order in de hand, wederom een nieuwe procedure starten voor een adequaatheidsbesluit voor de VS. 

Het EPDB zal in deze procedure haar bevindingen over dit besluit delen. Belangrijk is dat er voor deze bevindingen niet een verplichting geldt om deze op te lossen. Een negatief oordeel is niet bindend voor de Europese Commissie en vormt geen spelbreker voor het vaststellen van het adequaatheidsbesluit. 

Zodra het besluit definitief is zullen burgers en organisaties uit de EU opnieuw de rechtmatigheid van het adequaatsheidsbesluit kunnen aanvechten. Het HJEU zal uiteindelijk weer het beslissende oordeel kunnen geven, of en in hoeverre, het nieuwe adequaatheidsbesluit wel of niet voldoet aan de GPDR.

De huidige berichten geven weinig aanleiding voor vertrouwen in de houdbaarheid van het adequaatheidsbesluit. Deze verwoede poging om, zonder aanzienlijke veranderingen, tot een oplossing te komen lijkt meer een juridisch spel en het kopen van tijd, dan een daadwerkelijke doorbraak.

Categorieën: Privacy GDPR

Laatste artikelen

logo yourally