Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Is data opslaan in VS wel zo verstandig?

 

Computable Expert

CISSP Michael Waterman
Cybersecurity Consultant, ACA IT-Solutions. Expert van Computable voor het topic Security.

Hoewel de Autoriteit Persoonsgegevens sinds 1984 in ons land actief is, zijn veel ondernemers pas enkele jaren bewust gaan nadenken over de verantwoordelijkheid inzake opslag van persoonsgebonden data. Dit inzicht heeft te maken met de toenemende verspreiding van data via grensoverstijgende computernetwerken (bijvoorbeeld cloud-applicaties) en de controle daarop vanuit overheidsinstellingen.

Binnen de EU gelden de regels van de GDPR (AVG), de Europese wetgeving die moet waarborgen dat de persoonsgegevens van EU-ingezetenen op ordelijke wijze wordt verwerkt met onder meer het recht op inzage en eventueel verwijdering. Kort door de bocht kan je stellen dat de Autoriteit Persoonsgegevens (AP) gemachtigd is om bij elke onderneming te controleren of die zich aan de GDPR-richtlijnen houdt en zo niet om sancties op te leggen in de vorm van boetes.

Cloudmigraties

"Over de manier waarop we met persoonsgebonden data moeten omgaan, wordt in Europa en de VS verschillend gedacht"

Nu zal menig mkb’er denken: die AP heeft voor het uitvoeren van haar controlerende taak veel te weinig capaciteit, dus kijkt ze alleen naar de grote organisaties. Die redenering houdt geen stand. Juist de grote organisaties steken veel tijd en middelen in het afdoende beveiligen van hun persoonsgebonden data overal op de wereld.

Daarnaast zien we dat met de automatiseringsslag die momenteel binnen het mkb-segment gaande is, veel kleinere bedrijven hun it-voorzieningen naar de cloud migreren en daar veelal door Amerikaanse dienstverleners en softwarepartijen worden bediend. Over de manier waarop we met persoonsgebonden data moeten omgaan, wordt in Europa en de VS verschillend gedacht. De overheid in de VS heeft veel meer bevoegdheid om in de persoonsgebonden gegevens rond te neuzen. Dus is het toch raadzaam om als Nederlandse mkb-ondernemer eens stil te staan op welke locatie jouw bedrijfsdata wordt bewaard.

Veilige haven

Ooit konden de EU en de VS elkaar vinden in het zogeheten Safe Harbour-verdrag, waarbij beide machtsblokken gezamenlijke regels hanteerden voor het bewaren van persoonsgebonden data. De Oostenrijkse advocaat Max Schrems toonde als individueel burger feilloos aan dat het verdrag geen enkele garantie bood dat de data van EU-ingezetenen, opgeslagen in de VS, niet onder ogen van derden zou kunnen komen. Spoedig volgde er een reparatie in de vorm van het zogeheten Privacy Shield, een zelfcertificerend systeem dat een Amerikaans bedrijf in staat stelt een certificaat op te stellen. Het certificaat vormde het bewijs dat de persoonsgebonden data conform de GDPR-regels was opgeslagen. Ook van dit systeem maakte Schrems gehakt.

Juridische weg

"Er bestaat op dit moment geen formele afspraak tussen de EU en de VS over de opslag van persoonsgebonden data"

Er bestaat op dit moment dus geen formele afspraak tussen de EU en de VS over de opslag van persoonsgebonden data. Er is wel weer één in de maak, maar er is nog geen zicht op wanneer die in werking gaat treden. Het mkb-bedrijf, dat zakendoet met onder meer bedrijven in de VS of een Nederlandse vestiging van een Amerikaanse onderneming, die van hieruit afnemers in de EU bedient, kan besluiten helemaal niets te doen tot op het moment dat het nieuwe verdrag er is. Of kan proactief aan de gang gaan met een juridisch instrument aangeduid als Standard Contractual Clausus, een lappendeken van contracten plus aanvullende maatregelen voor het waarborgen van de dataopslag. Dit scenario vereist veel juridische expertise en is daardoor zeer kostbaar.

Eigen dossier aanleggen

Ik adviseer een proactieve houding, maar dan goedkoper. Als eerste zorg ervoor (waar mogelijk) dat de bedrijfsdata worden opgeslagen binnen de EU (inclusief het Verenigd Koninkrijk, Zwitserland en Noorwegen). Ga in gesprek met de cloudpartner over de omgang met (privacy)gevoelige data en persoonsgegevens. Leg die afspraken vast in een dossier, benoem de risico’s en de genomen maatregelen om die te minimaliseren. Daarmee breng je de problematiek in kaart. Je kunt jezelf verantwoorden naar je klanten en de AP.

Voor de verdere verantwoording naar de AP is het bovendien van belang dat het privacydossier op orde is. Denk aan het hebben van een register, beleid en verwerkersovereenkomsten. Dit is de basis die voor elke organisatie. Tot slot is het belangrijk om dit niet slechts eenmalig ‘af te vinken’ (it staat nooit stil), maar op te nemen in procedures/werkwijzen en medewerkers bewust te maken op dit vlak. Alleen dan ben je als organisatie structureel bezig om compliant te zijn en te blijven.

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/7438080). © Jaarbeurs IT Media.

?

 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste resellernieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in
Vacatures Datacenters

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×


Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.