Is de AVG ook van toepassing op volledig versleutelde persoonsgegevens die buiten de EU zijn opgeslagen?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Pas heb ik ‘Advanced Data Protection’ van Apple op mijn iCloud-account geactiveerd. Toen kwam bij mij de volgende gedachte op: Als mijn data volledig versleuteld is, en ik ben de enige die sleutels heeft, maakt het dan (voor AVG/GDPR) uit waar die data opgeslagen is?
Antwoord: Wanneer persoonsgegevens buiten de EU (eigenlijk de Economische Ruimte) opgeslagen worden, gelden daar allerlei eisen voor die kort gezegd neerkomen op het tegenhouden van buitenlandse datagraaiers. De ideale oplossing is als het land erkend is als adequaat, zoals is gebeurd bij Zuid-Korea of het Verenigd Koninkrijk, maar je kunt ook goochelen met dingen als bindende bedrijfsvoorschriften of de model contractuele clausules.
Als het niet gaat om persoonsgegevens, dan gelden al die regels niet. En daar zit hem de kneep: is een encrypted blob nu wel of niet een (set) persoonsgegeven(s)? Het antwoord daarop beantwoordt meteen de vraag of de AVG van toepassing is. Er is niet zoiets als "een beetje van toepassing", je valt onder de AVG en de héle berg eisen, of je valt er volledig buiten.
Het onleesbaar maken van persoonsgegevens is in de terminologie van de AVG een vorm van pseudonimiseren, de herleidbaarheid onmogelijk maken tenzij je beschikt over extra informatie. Een decryptiesleutel is daarvan een voorbeeld. Dus wie de definities letterlijk leest, ontkomt niet aan de conclusie dat dit gewoon onder de AVG valt - die blob bevat persoonsgegevens, ze zijn heel goed beveiligd maar ze zitten er toch echt in.
Sinds het Breyer-arrest weten we dat herleidbaarheid (identificeerbaarheid) onder de AVG behoorlijk ver gaat. In die zaak was de vraag of een IP-adres voor een website-aanbieder telt als persoonsgegeven. Dat IP-adres is immers te herleiden tot een persoon, maar je hebt de hulp van de internetprovider nodig, en die krijg je niet zomaar (hoi DFW). Toch is het dan een persoonsgegeven, aldus het Hof van Justitie:
"[De term persoonsgegeven] moet aldus worden uitgelegd dat een dynamisch internetprotocoladres dat door een aanbieder van onlinemediadiensten wordt geregistreerd telkens als een persoon een website bezoekt die door deze aanbieder toegankelijk wordt gemaakt voor het publiek, ten aanzien van die aanbieder een persoonsgegeven in de zin van voormelde bepaling vormt, wanneer hij beschikt over wettige middelen waarmee hij de betrokken persoon kan identificeren aan de hand van extra informatie die bij de internetprovider van deze persoon berust."
Die “wettige middelen” moet je breed lezen: als de website-eigenaar via een juridische procedure de gegevens kan opeisen, dan is er een redelijkerwijs beschikbaar en wettig middel en daarmee zijn de IP-adressen dus nu al persoonsgegevens. Oké.
In een nieuwe uitspraak (zaak T-557/20) werkt het Hof dit nu nader uit: je moet deze analyse doen vanuit het perspectief van de ontvanger van de gegevens. Dat het in abstracto voor iemand mogelijk is om de identificatie te doen (de decryptie) is niet genoeg, kon specifiek die ontvanger dit doen met redelijke en wettige middelen?
Vertaald naar deze casus is dan dus goed verdedigbaar dat die buitenlandse partij zich niet aan de AVG hoeft te houden. Die mag dus alles doen dat hij wil (binnen het contract) met die blob. Niet erg, want het is een encrypted blob dus wat gaat hij doen?
Maar voor de _klant_ van die hostingpartij blijft de blob gewoon persoonsgegevens bevatten. Hij kan immers de encryptie triviaal ongedaan maken, hij heeft namelijk de sleutel. En dat betekent ook dat hij de data niet op een buitenlandse server mag zetten, tenzij het land waar hij dat doet adequaat is, er BCR of MCC zijn of een van de andere uitzonderingen van toepassing zijn. De regels zijn dus precies hetzelfde als wanneer je plaintext gegevens ergens wilt parkeren.
Ik geef toe, dat doet vreemd aan want juist als je gegevens sterk versleutelt dan zou er niets mee moeten kunnen gebeuren. En dan zijn er ook geen risico's voor betrokkenen. Maar bekijk het eens zo: als de sleutel toch ooit uitlekt, en die blob staat in een land waar persoonsgegevens vogelvrij zijn, dan zou de hostingpartij die lekker kunnen ontsleutelen en met de gegevens aan de haal gaan - waar mensen dan niets tegen kunnen doen. En ook dat is niet de bedoeling.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Als klant kies ik een hostingpartij in de EU, want voor mij geldt de AVG wel omdat ik de decryptiesleutel heb.
Voor de ontvanger is te beargumenteren dat de blob niet onder de AVG valt, want de ontvanger heeft geen decryptiesleutel. De ontvangende hosting partij kan de blob in een niet adeqaat land onderbrengen of backuppen.
Ik kan nog steeds te decryptiesleutel kwijtraken.
Wat is dan het verschil tussen dat ik zelf de blob buiten EU zet of de hostingpartij?
Wat gebeurt er als je de encrypted data publiek opslaat, maar de encryptiesleutel privé op een buitenlandse server?
De data staat op Europese servers EN is goed beveiligd, dus AVG proof.
Maar de sleutel daartoe is nu wel in handen van USA/China/Rusland/Noord Korea.
Wat doet de AVG in deze situatie? :-)
Bijvoorbeeld:
Het kwijt raken van de gegevens wordt ook gezien als schade voor de gebruiker (de persoon). Ook dan spreek je ihkv AVG van een inbreuk op de AVG. Toch meen ik dat ook hier nuances spelen. Zoals:
- de persoon heeft de gegevens echt zelf nog wel
- of zou mogen verwachten dat de dienstverlener de gegevens niet meer beschikbaar kan stellen (bijv door faillissement; beëindigen dienstverlening, oid).
- In ieder geval kan een kwaadwillende geen gebruik maken van encrypted data (mits goed encrypted en geen sleutel hebbend)
Keep on dreaming ...
Keep on dreaming ...
Nu ben ik heel benieuwd. Waar is het 'A.D.P.' dan voor bedoeld? Kun/wil je dat uitleggen?
Gewoon een kwestie van netjes omgaan met mensen.
Kijk en hier zit dus een aanname in die niet altijd 100% zo hoeft te zijn... Al is het maar omdat de data in de toekomst wel decrypted kan gaan worden.
Gewoon een kwestie van netjes omgaan met mensen.
Het ligt al lastiger om netjes om te gaan.
Je kunt namelijk niet zeggen dat je de avg toepast op iemand buiten de EU zonder die AVG clausules te vertalen. Voor die buitenlander zou je dus ook hun persoonlijke gegevens binnen hun eigen land, en dus niet binnen de EU moeten opslaan, en zo kan je doorgaan. Dat is voor een groot multinational met veel inzet misschien nog te programmeren en verdelen. Maar de gemiddelde bedrojfeigenaar zou dat niet kunnen financeren.
Dit is ook de reden dat de AVG stelt dat het in de EU bewaard moet blijven en niet specifiek nederland. Om het minder lastig te maken om er aan te kunnen voldoen.
Gewoon een kwestie van netjes omgaan met mensen.
Het ligt al lastiger om netjes om te gaan.
Je kunt namelijk niet zeggen dat je de avg toepast op iemand buiten de EU zonder die AVG clausules te vertalen. Voor die buitenlander zou je dus ook hun persoonlijke gegevens binnen hun eigen land, en dus niet binnen de EU moeten opslaan, en zo kan je doorgaan. Dat is voor een groot multinational met veel inzet misschien nog te programmeren en verdelen. Maar de gemiddelde bedrojfeigenaar zou dat niet kunnen financeren.
Dit is ook de reden dat de AVG stelt dat het in de EU bewaard moet blijven en niet specifiek nederland. Om het minder lastig te maken om er aan te kunnen voldoen.
Ja leuk. Soms gaat het helemaal niet over wat je zegt. Of opschrijft. Of wat er geschreven staat.
Soms gaat het gewoon over wat je doet. En nalaat.
Het is niet zo moeilijk om te leren ook. Gewoon even denken alsof het over jezelf ging. Of over je moeder. Even nadenken kost niks en is voor multinationals veel moeilijker dan voor fijn en klein ondernemerschap. Alleen al omdat dat door veel minder meetings moet. Veel papier is nuttiger om je kont mee... Het is echt ongelofelijk onmoeilijk om te weten wat niet netjes of fris is. Of om het zelfs nog mooier te doen dan die AVG van je eist.
Gezien je hele OS aan de Apple cloud is verbonden is een van de standaard trucje, specifiek dat ene device een update te sturen die een backdoor heeft. Ook als je bijv. een yubikey gebruikt dan kan Apple als ze willen die gewoon uitlezen op jouw telefoon en dan is je key alsnog compromised.
Deze problematiek is een aantal jaren uitgebreid in het nieuws geweest na een artikel in het AD over medische gegevens in de cloud. Het ging dan om medische gegevens die MRDM in het kader van kwaliteitsregistraties in de zorg bij (professionele diensten van) Google had ondergebracht. Dit was ook voor de Autoriteit Persoonsgegevens aanvaardbaar omdat MRDM de gegevens versleutelde voordat ze bij Google werden opgeslagen én zelf het sleutelbeheer uitvoerde. Overigens werden de gegevens bij Google dan ook nog eens encrypt.
Zijn buitenlandse overheden ook gebonden aan de AVG? Daarop volgend hoe gaan zijn om met alle data die ze bij een visum aanvraag op hun form hebben staan die je moet invullen? En hoe zit dat met VFS (bedrijf van Indiase oorsprong) waarbij iedere aanvrager zijn persoonlijk data met alle persoonlijke data van de sponsors in Schengen moet invullen die dan vervolgens op servers buiten de EU komen te staan; (VFS global: With 3371 application centres and operations in 145 countries across 5 continents, VFS Global serves the interests of 67 client governments. The company has successfully processed over 259 million applications since its inception in 2001, and over 117.95 million biometric enrolments since 2007. Ref: https://www.vfsglobal.com/en/general/about.html?from_section=0)
Dit bedrijf heeft een bepaalde reputatie: https://iasservices.org.uk/vfs-global-receives-criticism-after-string-of-severe-issues/ en toch gaat wij als Europa met deze partij in zee zelfs zonder echte alternatieven voor burgers. Het uitbesteden van de consulaire zaak als visum aanvraag aan een derde partij is een beetje hyprocriet lijkt mij in relatie tot AVG en GDPR en zo.
2cent
Na 5 seconden google:
De Europese privacywet geldt voor alle bedrijven en organisaties die persoonsgegevens verwerken van klanten, personeel of andere personen uit de EU. Vrijwel alle ondernemers hebben te maken met privacygevoelige informatie, ook zzp'ers en kleine mkb’ers. De wet geldt ook voor de overheid, scholen, zorginstanties, verenigingen en stichtingen. Internationale bedrijven die zakendoen met de EU moeten zich eveneens houden aan de AVG.
Begrijp ik dan goed dat ook een buiten Europese overheid die persoonsgegevens van Europeanen verzamelt met visum applicaties, (en ook de visum service dienst die daarvoor eventueel wordt gebruikt) dat deze buiten europese overheid deze persoons gegevens van Europeanen (af te splitsen van de visum applicatie) in Europa moet opslaan?
Ik vraag me dan af of dit daadwerkelijk gebeurd. (e.g. https://www.visaforchina.cn) (...of dat je een waiver geeft om jouw gegevens en de persoons gegevens van je familie en van je werk referenties in China te mogen opslaan,...)
2cent
Keymanagement en update/application management is key.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.