Persoonsgegevens verwerken in de Cloud
Persoonsgegevens verwerken in de Cloud. Waar staat je data?
Persoonsgegevens verwerken in de cloud. Waar staat je data?
Het werken in “de cloud” wordt steeds populairder. Er zijn tal van “cloud” diensten waarbij het in volstrekt onduidelijk is waar je data door de hostingpartij wordt opgeslagen. Laat je data in Nederland, in Europa of daarbuiten? In andere gevallen is het duidelijk dat je data op bijvoorbeeld Amerikaanse servers is opgeslagen. Wat zijn hiervan de consequenties bezien in het licht van de bescherming van persoonsgegevens?
Sinds de inwerkingtreding van de Europese privacyrichtlijn is het verboden om persoonsgegevens van Nederlandse burgers uit te voeren naar een land buiten de EU, tenzij dat land een passend beschermingsniveau biedt. Met passend wordt bedoeld dat het niveau van beveiliging van dat land ten minste gelijkwaardig moet zijn aan het beveiligingsniveau dat in de Europese wetgeving wordt voorgeschreven. Buiten die gevallen is doorgifte slechts toegestaan op basis van een wettelijke uitzondering of met een vergunning van de minister van Veiligheid en Justitie.
Privacy Shield
Er is door de Europese Commissie een aantal landen benoemd die een voldoende passend beschermingsniveau bieden. Dit overzicht is vastgelegd in “Commission decisions on the adequacy of the protection of personal data in third countries”. Met de totstandkoming van het “EU-US Privacy Shield” zijn de Verenigde Staten aan deze lijst toegevoegd.
Het Privacy Shield is een nieuw dataverdrag tussen de EU en de VS. In juli 2016 is het Privacy Shield aangenomen, sinds 1 augustus kunnen bedrijven zich certificeren. Dit verdrag is de vervanger van het Safe Harbour verdrag. Het Privacy Shield heeft tot doel om de bescherming van persoonsgegevens te waarborgen waardoor de Amerikaanse overheid en Amerikaanse bedrijven zich moeten gaan houden aan de Europese regels voor gegevensbescherming.
Amerikaanse organisaties die persoonsgegevens van Europese burgers willen verwerken, zoals Amerikaanse hostingpartijen, zullen zich moeten aanmelden voor het Privacy Shield programma. Deze organisaties dienen zich te certificeren door aan te tonen dat zij een passend beveiligingsniveau garanderen. Organisaties die dit certificaat hebben verkregen gelden als veilig. De persoonsgegevens van Europese burgers mogen hiermee naar deze organisaties worden doorgegeven.
Juridische uitdaging
Het Privacy Shield verdrag staat binnenkort voor een eerste juridische uitdaging. De Ierse privacyorganisatie “Digital Rights Ireland” heeft een klacht tegen het Privacy Shield ingediend, omdat zij van mening zijn dat hiermee onvoldoende privacy waarborgen geboden worden. Ik houd de voortgang van deze zaak met belangstelling in de gaten.