De AVG en privacywetgeving. We hebben deze termen de afgelopen jaren veel voorbij horen komen. Zo mogen persoonsgegevens die verwerkt worden door organisaties in de EU in principe alleen nog binnen de EU verwerkt worden. Een uitzondering hierop werd gevormd door partijen die hiervoor gecertificeerd waren onder het EU-US Privacy Shield. Maar op 16 juli heeft het Hof van Justitie van de EU deze ongeldig verklaard. Wat betekent dat voor de applicaties die jij hebt ondergebracht in bijvoorbeeld de Google Cloud, Microsoft Azure of bij Amazon AWS? Onze Security Officer Timo legt in deze blog uit waarom je beter kan kiezen voor een hosting provider binnen Europa.
Information Security Officer
In mei 2018 werd de nieuwe Europese privacywetgeving van kracht, de Algemene Verordening Gegevensbescherming, ofwel de AVG. Deze privacywetgeving stelt een aantal strenge regels omtrent de verwerking van persoonsgegevens van Europese burgers door (Europese) organisaties. De AVG stelt onder andere dat deze persoonsgegevens alleen binnen de EU verwerkt mogen worden. Hierop zijn een aantal uitzondering gemaakt. Voor gegevensoverdracht naar de VS was er bijvoorbeeld het EU-US Privacy Shield; een soort certificering waarmee aangetoond zou zijn dat de persoonsgegevens toch goed beschermd waren. Onder andere partijen als Google, Amazon en Microsoft vallen hier onder. Europese organisaties die gebruik maken van Amerikaanse cloudoplossingen om gegevens te verwerken, beroepen zich dan ook vaak op het Privacy Shield om deze gegevens naar de VS te mogen sturen.
Op 16 juli 2020 besloot het Hof van Justitie van de EU echter om deze regeling ongeldig te verklaren, omdat Europese persoonsgegevens onvoldoende beschermd zouden zijn in de VS. De reden hiervoor is dat de Amerikaanse overheid de bevoegdheid zou hebben om gegevens in de VS toch in te kunnen zien en te kunnen verwerken. Door deze uitspraak van het Hof is gegevensoverdracht naar de VS onder het Privacy Shield kort gezegd per direct niet meer toegestaan. De lidstaten van de EU en de handhavende autoriteiten (in Nederland de Autoriteit Persoonsgegevens) kunnen dit dan ook direct gaan handhaven. Op dit moment beraden zij zich over hoe hiermee om te gaan.
Veel organisaties maken in meer of mindere mate gebruik van Amerikaanse cloudoplossingen of tooling. In veel gevallen wordt hierbij een beroep gedaan op het Privacy Shield om gegevensoverdracht te rechtvaardigen. Nu het Privacy Shield ongeldig is verklaard, is het belangrijk voor bedrijven om te kijken of deze gegevensoverdracht wel echt nodig is en of hiervoor nog wel een goede juridische basis is. In sommige gevallen kunnen er zogenaamde “Standard Contractual Clauses (SCC’s)” van toepassing zijn die de gegevensoverdracht rechtvaardigen. Deze voldoen echter niet in alle gevallen. Zo vallen bijvoorbeeld niet altijd alle diensten van een partij hieronder, dus blijft het een risico om gegevens te verwerken in de VS. Mochten bedrijven dit toch willen doen, dan moeten zij een stevige juridische basis hebben en dit goed kunnen onderbouwen.
Iedere organisatie die op dit moment gebruik maakt van een Amerikaanse partij om gegevens te verwerken doet er dus goed aan om zich af te vragen of hiervoor wellicht goede Europese alternatieven zijn. Om de risico’s omtrent de privacywetgeving en gegevensoverdracht naar de VS te beperken is het wellicht verstandig om op zoek te gaan naar een goede Europese hostingpartij en er zeker van te zijn dat alle gegevens binnen de EU worden verwerkt. Zo voorkom je eventuele toekomstige problemen, zoals hoge boetes.
Shock Media is een Nederlandse Managed Hosting Specialist met een enorme focus op IT security en privacy. Dit laten wij onder andere zien door zowel ISO 27001 als NEN 7510 gecertificeerd te zijn. Onze klanten zijn ervan verzekerd dat hun gegevens geografisch gescheiden, maar binnen de Europese Economische Ruimte (EER), worden verwerkt. Wij doen er daarnaast alles aan om deze gegevens optimaal te beschermen, bijvoorbeeld door onze geavanceerde security monitoring.
Meer weten over hoe wij je kunnen helpen bij het beschermen van persoonsgegevens en AVG compliance? Neem contact met ons op en we vertellen je graag meer over de mogelijkheden!
Hij is bijna 10 jaar geleden begonnen als student maar heeft zich ontwikkeld tot Head of Development. Hij is niet alleen een ervaren Developer met een talent voor analytisch programmeren, maar heeft ook bewezen handig te zijn in het compleet zelfstandig verbouwen van zijn eigen woning. Ik heb het natuurlijk over… Matthijs! In deze blog stel ik hem graag aan jullie voor.
Met zijn zeer brede kennis en expertise is onze Head of Support al ruim 9 jaar een zeer waardevol lid van ons team en staat hij altijd klaar om onze klanten en onze collega's te helpen bij het oplossen van hun problemen. Ik heb het natuurlijk over… Remon! In deze blog stel ik hem graag aan jullie voor.
Afgelopen vrijdag was het gelukkig weer zover, een nieuwe editie van onze zeer befaamde LAN-party! We hadden er allemaal enorm veel zin in en zijn dan ook druk bezig geweest met de voorbereidingen om er weer een onvergetelijke avond van te maken. En dat is zeker gelukt! Er is tot in de late uurtjes (of beter gezegd: vroege uurtjes) gegamed, gelachen, gegeten en genoten. Wie zal er deze keer vandoor zijn gegaan met de bekers?