De AVG en privacywetgeving. We hebben deze termen de afgelopen jaren veel voorbij horen komen. Zo mogen persoonsgegevens die verwerkt worden door organisaties in de EU in principe alleen nog binnen de EU verwerkt worden. Een uitzondering hierop werd gevormd door partijen die hiervoor gecertificeerd waren onder het EU-US Privacy Shield. Maar op 16 juli heeft het Hof van Justitie van de EU deze ongeldig verklaard. Wat betekent dat voor de applicaties die jij hebt ondergebracht in bijvoorbeeld de Google Cloud, Microsoft Azure of bij Amazon AWS? Onze Security Officer Timo legt in deze blog uit waarom je beter kan kiezen voor een hosting provider binnen Europa.
Information Security Officer
In mei 2018 werd de nieuwe Europese privacywetgeving van kracht, de Algemene Verordening Gegevensbescherming, ofwel de AVG. Deze privacywetgeving stelt een aantal strenge regels omtrent de verwerking van persoonsgegevens van Europese burgers door (Europese) organisaties. De AVG stelt onder andere dat deze persoonsgegevens alleen binnen de EU verwerkt mogen worden. Hierop zijn een aantal uitzondering gemaakt. Voor gegevensoverdracht naar de VS was er bijvoorbeeld het EU-US Privacy Shield; een soort certificering waarmee aangetoond zou zijn dat de persoonsgegevens toch goed beschermd waren. Onder andere partijen als Google, Amazon en Microsoft vallen hier onder. Europese organisaties die gebruik maken van Amerikaanse cloudoplossingen om gegevens te verwerken, beroepen zich dan ook vaak op het Privacy Shield om deze gegevens naar de VS te mogen sturen.
Op 16 juli 2020 besloot het Hof van Justitie van de EU echter om deze regeling ongeldig te verklaren, omdat Europese persoonsgegevens onvoldoende beschermd zouden zijn in de VS. De reden hiervoor is dat de Amerikaanse overheid de bevoegdheid zou hebben om gegevens in de VS toch in te kunnen zien en te kunnen verwerken. Door deze uitspraak van het Hof is gegevensoverdracht naar de VS onder het Privacy Shield kort gezegd per direct niet meer toegestaan. De lidstaten van de EU en de handhavende autoriteiten (in Nederland de Autoriteit Persoonsgegevens) kunnen dit dan ook direct gaan handhaven. Op dit moment beraden zij zich over hoe hiermee om te gaan.
Veel organisaties maken in meer of mindere mate gebruik van Amerikaanse cloudoplossingen of tooling. In veel gevallen wordt hierbij een beroep gedaan op het Privacy Shield om gegevensoverdracht te rechtvaardigen. Nu het Privacy Shield ongeldig is verklaard, is het belangrijk voor bedrijven om te kijken of deze gegevensoverdracht wel echt nodig is en of hiervoor nog wel een goede juridische basis is. In sommige gevallen kunnen er zogenaamde “Standard Contractual Clauses (SCC’s)” van toepassing zijn die de gegevensoverdracht rechtvaardigen. Deze voldoen echter niet in alle gevallen. Zo vallen bijvoorbeeld niet altijd alle diensten van een partij hieronder, dus blijft het een risico om gegevens te verwerken in de VS. Mochten bedrijven dit toch willen doen, dan moeten zij een stevige juridische basis hebben en dit goed kunnen onderbouwen.
Iedere organisatie die op dit moment gebruik maakt van een Amerikaanse partij om gegevens te verwerken doet er dus goed aan om zich af te vragen of hiervoor wellicht goede Europese alternatieven zijn. Om de risico’s omtrent de privacywetgeving en gegevensoverdracht naar de VS te beperken is het wellicht verstandig om op zoek te gaan naar een goede Europese hostingpartij en er zeker van te zijn dat alle gegevens binnen de EU worden verwerkt. Zo voorkom je eventuele toekomstige problemen, zoals hoge boetes.
Shock Media is een Nederlandse Managed Hosting Specialist met een enorme focus op IT security en privacy. Dit laten wij onder andere zien door zowel ISO 27001 als NEN 7510 gecertificeerd te zijn. Onze klanten zijn ervan verzekerd dat hun gegevens geografisch gescheiden, maar binnen de Europese Economische Ruimte (EER), worden verwerkt. Wij doen er daarnaast alles aan om deze gegevens optimaal te beschermen, bijvoorbeeld door onze geavanceerde security monitoring.
Meer weten over hoe wij je kunnen helpen bij het beschermen van persoonsgegevens en AVG compliance? Neem contact met ons op en we vertellen je graag meer over de mogelijkheden!
Afgelopen vrijdag was het weer zover: de Shock Media LAN-party De personeelsvereniging van Shock is altijd in voor het organiseren van een feestje. Een LAN-party is zonder twijfel het ultieme feestje voor IT’ers. En een feestje dat was het zeker! Zoals altijd waren er 3 competities waarin gestreden werd voor die felbegeerde wisselbekers!
Afgelopen donderdag hebben wij onze eerste meet-up georganiseerd om de Kubernetes community in het oosten van ons land te boosten. Deze meet-up stond in het teken van kennisdelen en connecties maken. Of je nu een doorgewinterde Kubernetes Engineer bent, overweegt om met Kubernetes aan de slag te gaan of de techniek gewoon heel interessant vindt, bij ons was je welkom.
Vandaag is bekend geworden dat Shock Media voor de 11e maal winnaar is van de FD Gazelle in de categorie middelgrote bedrijven, de prestigieuze prijs van het Financiële Dagblad voor de snelst groeiende bedrijven in Nederland. Sinds 2012 is Shock Media onafgebroken FD Gazelle winnaar, hetgeen een extreem unieke prestatie is. Shock Media heeft hiermee langer dan een decennium van onafgebroken hoge groei waar gemaakt.