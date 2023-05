Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Pas heb ik ‘Advanced Data Protection’ van Apple op mijn iCloud-account geactiveerd. Toen kwam bij mij de volgende gedachte op: Als mijn data volledig versleuteld is, en ik ben de enige die sleutels heeft, maakt het dan (voor AVG/GDPR) uit waar die data opgeslagen is?

Antwoord: Wanneer persoonsgegevens buiten de EU (eigenlijk de Economische Ruimte) opgeslagen worden, gelden daar allerlei eisen voor die kort gezegd neerkomen op het tegenhouden van buitenlandse datagraaiers. De ideale oplossing is als het land erkend is als adequaat, zoals is gebeurd bij Zuid-Korea of het Verenigd Koninkrijk, maar je kunt ook goochelen met dingen als bindende bedrijfsvoorschriften of de model contractuele clausules.

Als het niet gaat om persoonsgegevens, dan gelden al die regels niet. En daar zit hem de kneep: is een encrypted blob nu wel of niet een (set) persoonsgegeven(s)? Het antwoord daarop beantwoordt meteen de vraag of de AVG van toepassing is. Er is niet zoiets als "een beetje van toepassing", je valt onder de AVG en de héle berg eisen, of je valt er volledig buiten.

Het onleesbaar maken van persoonsgegevens is in de terminologie van de AVG een vorm van pseudonimiseren, de herleidbaarheid onmogelijk maken tenzij je beschikt over extra informatie. Een decryptiesleutel is daarvan een voorbeeld. Dus wie de definities letterlijk leest, ontkomt niet aan de conclusie dat dit gewoon onder de AVG valt - die blob bevat persoonsgegevens, ze zijn heel goed beveiligd maar ze zitten er toch echt in.

Sinds het Breyer-arrest weten we dat herleidbaarheid (identificeerbaarheid) onder de AVG behoorlijk ver gaat. In die zaak was de vraag of een IP-adres voor een website-aanbieder telt als persoonsgegeven. Dat IP-adres is immers te herleiden tot een persoon, maar je hebt de hulp van de internetprovider nodig, en die krijg je niet zomaar (hoi DFW). Toch is het dan een persoonsgegeven, aldus het Hof van Justitie:

"[De term persoonsgegeven] moet aldus worden uitgelegd dat een dynamisch internetprotocoladres dat door een aanbieder van onlinemediadiensten wordt geregistreerd telkens als een persoon een website bezoekt die door deze aanbieder toegankelijk wordt gemaakt voor het publiek, ten aanzien van die aanbieder een persoonsgegeven in de zin van voormelde bepaling vormt, wanneer hij beschikt over wettige middelen waarmee hij de betrokken persoon kan identificeren aan de hand van extra informatie die bij de internetprovider van deze persoon berust."

Die “wettige middelen” moet je breed lezen: als de website-eigenaar via een juridische procedure de gegevens kan opeisen, dan is er een redelijkerwijs beschikbaar en wettig middel en daarmee zijn de IP-adressen dus nu al persoonsgegevens. Oké.

In een nieuwe uitspraak (zaak T-557/20) werkt het Hof dit nu nader uit: je moet deze analyse doen vanuit het perspectief van de ontvanger van de gegevens. Dat het in abstracto voor iemand mogelijk is om de identificatie te doen (de decryptie) is niet genoeg, kon specifiek die ontvanger dit doen met redelijke en wettige middelen?

Vertaald naar deze casus is dan dus goed verdedigbaar dat die buitenlandse partij zich niet aan de AVG hoeft te houden. Die mag dus alles doen dat hij wil (binnen het contract) met die blob. Niet erg, want het is een encrypted blob dus wat gaat hij doen?

Maar voor de _klant_ van die hostingpartij blijft de blob gewoon persoonsgegevens bevatten. Hij kan immers de encryptie triviaal ongedaan maken, hij heeft namelijk de sleutel. En dat betekent ook dat hij de data niet op een buitenlandse server mag zetten, tenzij het land waar hij dat doet adequaat is, er BCR of MCC zijn of een van de andere uitzonderingen van toepassing zijn. De regels zijn dus precies hetzelfde als wanneer je plaintext gegevens ergens wilt parkeren.

Ik geef toe, dat doet vreemd aan want juist als je gegevens sterk versleutelt dan zou er niets mee moeten kunnen gebeuren. En dan zijn er ook geen risico's voor betrokkenen. Maar bekijk het eens zo: als de sleutel toch ooit uitlekt, en die blob staat in een land waar persoonsgegevens vogelvrij zijn, dan zou de hostingpartij die lekker kunnen ontsleutelen en met de gegevens aan de haal gaan - waar mensen dan niets tegen kunnen doen. En ook dat is niet de bedoeling.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.