Privacy Shield ongeldig verklaard

De AVG en privacywetgeving. We hebben deze termen de afgelopen jaren veel voorbij horen komen. Zo mogen persoonsgegevens die verwerkt worden door organisaties in de EU in principe alleen nog binnen de EU verwerkt worden. Een uitzondering hierop werd gevormd door partijen die hiervoor gecertificeerd waren onder het EU-US Privacy Shield. Maar op 16 juli heeft het Hof van Justitie van de EU deze ongeldig verklaard. Wat betekent dat voor de applicaties die jij hebt ondergebracht in bijvoorbeeld de Google Cloud, Microsoft Azure of bij Amazon AWS? Onze Security Officer Timo legt in deze blog uit waarom je beter kan kiezen voor een hosting provider binnen Europa.

Timo Feenstra

Information Security Officer

De AVG en het Privacy Shield

In mei 2018 werd de nieuwe Europese privacywetgeving van kracht, de Algemene Verordening Gegevensbescherming, ofwel de AVG. Deze privacywetgeving stelt een aantal strenge regels omtrent de verwerking van persoonsgegevens van Europese burgers door (Europese) organisaties. De AVG stelt onder andere dat deze persoonsgegevens alleen binnen de EU verwerkt mogen worden. Hierop zijn een aantal uitzondering gemaakt. Voor gegevensoverdracht naar de VS was er bijvoorbeeld het EU-US Privacy Shield; een soort certificering waarmee aangetoond zou zijn dat de persoonsgegevens toch goed beschermd waren. Onder andere partijen als Google, Amazon en Microsoft vallen hier onder. Europese organisaties die gebruik maken van Amerikaanse cloudoplossingen om gegevens te verwerken, beroepen zich dan ook vaak op het Privacy Shield om deze gegevens naar de VS te mogen sturen. 

Het EU-US Privacy Shield ongeldig verklaard

Op 16 juli 2020 besloot het Hof van Justitie van de EU echter om deze regeling ongeldig te verklaren, omdat Europese persoonsgegevens onvoldoende beschermd zouden zijn in de VS. De reden hiervoor is dat de Amerikaanse overheid de bevoegdheid zou hebben om gegevens in de VS toch in te kunnen zien en te kunnen verwerken. Door deze uitspraak van het Hof is gegevensoverdracht naar de VS onder het Privacy Shield kort gezegd per direct niet meer toegestaan. De lidstaten van de EU en de handhavende autoriteiten (in Nederland de Autoriteit Persoonsgegevens) kunnen dit dan ook direct gaan handhaven. Op dit moment beraden zij zich over hoe hiermee om te gaan. 

Wat betekent dit voor organisaties?

Veel organisaties maken in meer of mindere mate gebruik van Amerikaanse cloudoplossingen of tooling. In veel gevallen wordt hierbij een beroep gedaan op het Privacy Shield om gegevensoverdracht te rechtvaardigen. Nu het Privacy Shield ongeldig is verklaard, is het belangrijk voor bedrijven om te kijken of deze gegevensoverdracht wel echt nodig is en of hiervoor nog wel een goede juridische basis is. In sommige gevallen kunnen er zogenaamde “Standard Contractual Clauses (SCC’s)” van toepassing zijn die de gegevensoverdracht rechtvaardigen. Deze voldoen echter niet in alle gevallen. Zo vallen bijvoorbeeld niet altijd alle diensten van een partij hieronder, dus blijft het een risico om gegevens te verwerken in de VS. Mochten bedrijven dit toch willen doen, dan moeten zij een stevige juridische basis hebben en dit goed kunnen onderbouwen. 

Waarom hosting binnen de EU?

Iedere organisatie die op dit moment gebruik maakt van een Amerikaanse partij om gegevens te verwerken doet er dus goed aan om zich af te vragen of hiervoor wellicht goede Europese alternatieven zijn. Om de risico’s omtrent de privacywetgeving en gegevensoverdracht naar de VS te beperken is het wellicht verstandig om op zoek te gaan naar een goede Europese hostingpartij en er zeker van te zijn dat alle gegevens binnen de EU worden verwerkt. Zo voorkom je eventuele toekomstige problemen, zoals hoge boetes. 

Veilige en AVG compliant hosting bij Shock Media

Shock Media is een Nederlandse Managed Hosting Specialist met een enorme focus op IT security en privacy. Dit laten wij onder andere zien door zowel ISO 27001 als NEN 7510 gecertificeerd te zijn. Onze klanten zijn ervan verzekerd dat hun gegevens geografisch gescheiden, maar binnen de Europese Economische Ruimte (EER), worden verwerkt. Wij doen er daarnaast alles aan om deze gegevens optimaal te beschermen, bijvoorbeeld door onze geavanceerde security monitoring. 

Meer weten over hoe wij je kunnen helpen bij het beschermen van persoonsgegevens en AVG compliance? Neem contact met ons op en we vertellen je graag meer over de mogelijkheden!

Hulp nodig, vragen of opmerkingen?

+31 (0) 546 - 714360

Meer actueel

Kubernetes meetup #2

Na het succes van onze vorige meetup was het afgelopen week weer tijd om samen te komen en de Kubernetes-community in het oosten van het land verder te versterken. Ook deze keer stond onze bijeenkomst in het teken van kennisdeling. Wederom openden we onze deuren voor iedereen die interesse heeft in Kubernetes!

Maak kennis met... Bouke!

Of je nu een potje darts wil spelen, je voetbalvaardigheden wil testen in speedsoccer of samen wil proosten tijdens de vrijdagmiddagborrel: deze vrolijke salestopper is altijd van de partij. Grote kans dat je hem via een van onze kanalen al wel eens hebt gesproken. In deze blog stel ik jullie graag voor aan: Bouke!

Shock Media Kerstfeest 2023

Het kerstfeest van Shock Media is altijd één van de hoogtepunten van het jaar. Ook afgelopen kerstborrel was het niet anders. Met een sfeervolle locatie, heerlijk eten en de nodige dansmoves. Het was weer een avond om niet te vergeten!