image

De AVG stelt eisen aan doorgifte van gegevens buiten de EU. Is een EU region van een Amerikaanse cloudprovider acceptabel?

woensdag 15 januari 2025, 16:51 door Arnoud Engelfriet, 18 reacties
Laatst bijgewerkt: 16-01-2025, 10:53

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: De AVG zegt dat persoonsgegevens niet zonder aanvullende waarborgen naar een niet-Europese partij mogen worden doorgegeven. Als ik bij een cloudprovider zoals bijvoorbeeld Amazon AWS of Microsoft Azure gebruik maak van 'region in Europe', wat betekent dat de servers fysiek in Europa staan, voldoe ik dan gewoon aan deze regel?

Antwoord: De AVG stelt inderdaad strenge eisen aan 'doorgifte', iedere handeling met persoonsgegevens waardoor ze buiten een EU/EER land komen. Het maakt daarbij niet uit of je doorgeeft aan een verwerker of een verwerkingsverantwoordelijke.

Overigens is de AVG niet de enige: ook bij niet-persoonsgegevens gelden er vanaf 12 september regels over doorgifte van data naar buiten de EU, wanneer dat in strijd is met andere EU regels. Dit volgt uit de Data Act (Verordening 2023/2854) die vanaf die datum van kracht wordt.

Aan dergelijke doorgifte kleven twee kanten, de praktische en de formele. Het makkelijkst te regelen is de formele. Je spreekt af dat de data niet buiten de EU/EER mag komen, en dat de ontvanger de Europese wet- en regelgeving zal respecteren. Dit is bijvoorbeeld de EU Data Boundary (https://www.microsoft.com/nl-nl/trust-center/privacy/european-data-boundary-eudb) van Microsoft, het contractuele raamwerk waarmee Microsoft garandeert dat EU data binnen de grenzen van de Unie blijven.

Wie de juiste set papieren doorloopt, de afspraken reviewt en de juiste kruisjes bij de juiste opties zet, heeft formeel de doorgifte goed afgeschermd.

De praktische kant is iets ingewikkelder, en dat zie je al meteen aan termen als "behoudens bijzondere gevallen" in die MS belofte. (Andere aanbieders hebben dit net zo goed.) Soms moet data toch naar de VS, denk aan klantenservice of incidentanalyse na een cyberaanval. Of omdat de Amerikaanse justitie dit eist.

Of en in hoeverre die laatste eis mag, is nog steeds onderwerp van héél veel discussie. De Amerikaanse CLOUD Act staat daarbij centraal. Al in 2022 stelde ons NCSC dat "data en (persoons)gegevens die in Europa worden verwerkt en opgeslagen, en dus in beginsel in Europa zijn en blijven, [soms vallen] onder Amerikaanse wetgeving en kunnen door de Amerikaanse overheid worden opgevraagd op basis van de CLOUD-Act."

Het lastige aan deze discussie is wanneer sprake is van 'soms', met name als het gaat om een Europees dochterbedrijf dat zich nadrukkelijk niet op de Amerikaanse markt richt en organisatorisch onafhankelijk binnen het concern opereert. Die dochter is dan niet aan Amerikaanse jurisdictie onderworpen, en bovendien onder de AVG verboden om mee te werken aan Amerikaanse bevelen (art. 48 AVG). Maar de moeder (Microsoft Inc in Seattle, Washington) is dat natuurlijk wel - en die zou druk op de dochter kunnen uitoefenen, of de directie ontslaan en een gewilliger setje installeren.

Daar staat dan weer tegenover dat het de core business van het bedrijf is om EU compliant te opereren. Dus er is dan ruimte voor tegendruk, zeker omdat die Europese directeuren geen zin hebben in claims van Europese toezichthouders. En de directie vervangen gaat hoe dan ook flink opvallen.

Natuurlijk, technische trucs kunnen altijd. Men kan een achterdeur in de onderliggende software hebben gebouwd, zo subtiel dat de ISO auditor het niet gezien heeft. Men kan dataleidingen voorzien hebben van een aftakking naar de VS, om zo stiekeme kopietjes te trekken. En ook organisatorisch: men zou een Amerikaanse expat-systeembeheerder persoonlijk onder druk kunnen zetten om die kopie te trekken.

Maar dan komen we buiten het juridisch kader waar je redelijkerwijs over na moet denken, en meer in de sfeer van cybercriminaliteit binnen de organisatie. Want laten we wel wezen: wat is dan nog het verschil met een systeembeheerder die van een Colombiaans kartel die kopie moet trekken of een achterdeur gebouwd door Cozy Bear? Tegen beiden moet je je wapenen, en dat lost dan meteen dat (in de EU écht illegale) gedrag van de moedermaatschappij op.

Wat mij betreft is het antwoord dus: als jij zaken doet met een Europees bedrijf - dochter van een Amerikaans concern of niet - en de data blijft fysiek in de EU met waarborgen tegen aftappen en stiekeme kopietjes, dan zit je van de Europese regelgeving goed.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (18)
15-01-2025, 19:24 door Anoniem
Alsof claims van de eu ooit zijn blijven plakken op de nederlandse en ierse teflon coating die amerikaanse bedrijven krijgen vanuit die landen.
15-01-2025, 19:57 door Anoniem
Alsof ze binnen de EUSSR niet in verkeerde handen kunnen zijn. Pffffff....
15-01-2025, 20:34 door Anoniem
Dan hebben we nog de FISA 702. Met die combinatie FISA 702 en de cloud-act is elke Amerikaanse staatsburger een mogelijke spion die niet mag mededelen dat deze in opdracht data beschikbaar moet stellen aan de Amerikaanse overheid onder het mom van terrorismebestrijding.

Fijn dat in een ander artikel vandaag op security.nl de rekenkamer juist waarschuwt tegen cloud gebruik: https://www.security.nl/posting/872528/Rekenkamer%3A+rijksoverheid+denkt+onvoldoende+na+over+risico%27s+cloudgebruik
15-01-2025, 21:05 door Anoniem
Ah, afspraken, regelgeving, daar hebben we in het Westen veel ervaring mee. Papieren tijgers zijn het. Onze eigen overheid heeft afspraken en regelgeving met ons burgers, daar wordt echter toch regelmatig een loopje mee genomen. Toeslagenaffaire, Verdrag van Dublin, Patriot Act, NSA (hoe groot is hun datacenter ook al weer?) gag orders, het vroegere Echelon II, noem maar op.

Geen enkel Amerikaans bedrijf met grote belangen in Amerika gaat dwars liggen als er Amerikaans op de deur geklopt wordt. Kijk naar wat, bijvoorbeeld, Facebook en het voormalige Twitter op hun geweten hebben. Microsoft, Amazon, zullen niet anders zijn.

Better safe then sorry, dan middels een papieren wereld de weerbarstige werkelijkheid daarmee te ontkennen. Vergeet daarbij niet het blijven zeuren door allerlei inlichtingendiensten om backend backdoors en decryptie mogelijkheden te willen hebben in allerlei datasets. Liefst zonder medeweten van de betrokkenen.

Kan mij nog herinneren, een (destijds) welbekende MSP in Nederland had een superveilige mailomgeving voor advocaten. Je mail kon je super versleuteld afleveren aan een server in Amerika, en je kon je mail super versleuteld ophalen van een andere server in Amerika honderden kilometers verderop. Rara, wat kan er allemaal gebeuren tussen die twee servers in? Bedenk daarbij dat een dergelijke versleuteling enkel een transportbeveiliging is, het zegt niets over de versleuteling zodra de mail op bestemming is. Hetzelfde geldt voor een third-party omgeving die je in staat stelt om de daar opgeslagen data te versleutelen middels een zelf verzonnen encryption key die je onversleuteld invoert in diezelfde third-party omgeving (want ja, anders kunnen de applicaties in die third-party omgeving niet met de versleutelde data omgaan). Met andere woorden niet alles altijd versleuteld totdat het je eigen systemen in je eigen omgeving bereikt, en geen nanoseconde eerder. Zou ook onwerkbaar zijn, want dan dien je een database van zeg tig terrabytes in z'n geheel naar iedere werkplek moeten halen om zelfs een simpele query te kunnen uitvoeren, maar toch, echt beschermd tegen eventuele ongewenste meeglurende derden is het dan niet.

En als je daar al achter komt (stel, een onbekende confronteert je met informatie die enkel en alleen in die versleutelde omgeving staat), wat ga je ertegen doen? Voor hetzelfde geld zit een of andere hacker op één van je eigen systemen mee te gluren, maar ook voor hetzelfde geld werkt die third-party omgeving mee aan de verzoeken van een state actor.

Dat een MKB'r geen verregaande maatregelen neemt en meer naar kosten/baten kijkt is te begrijpen, maar van overheden en andere organisaties die met zeer gevoelige data van miljoenen personen (een goudmijn voor allerlei organisaties) werken mag je verwachten dat ze stevig rekening houden met kosten/risico's. Zeker als ze zelf getekend hebben voor de AVG en het door hunzelf uitgesproken cruciale belang daarvan.

Ervaring hebben ze al met ongewenst (wat ook wil zeggen: opgemerkt door anderen) lekken van allerlei gevoelige informatie. Ambtenaren die stevig hun boekje te buiten gingen (SyRI, politiedossiers, geheime notulen wethouders, noem maar op), en in het begin hadden die niet eens een fatsoenlijk auditing systeem, want was al procedureel afgedekt (als er al daadwerkelijk stevig opgetreden werd als het enkel intern bekend werd). Wat zou een third-party (state actor) allemaal kunnen met een air gapped kopietje van je omgeving en de daarbij behorende decryptie sleutel (ga je niets over terugvinden in je audit logs, en ping backs krijg je ook niet dan)?

Vergezocht? Wet van Murphy + belangen + onder de radar + wie doet me wat. Da's amper een moeilijk te overstappen drempel voor sommige machtigen.

Maar goed, Nederland, met onder andere haar Sleepwet, is onderdeel van de Nine Eyes, wie weet wat er allemaal al uitgewisseld wordt.
16-01-2025, 07:58 door Anoniem
Maar dan komen we buiten het juridisch kader waar je redelijkerwijs over na moet denken, en meer in de sfeer van cybercriminaliteit binnen de organisatie. Want laten we wel wezen: wat is dan nog het verschil met een systeembeheerder die van een Colombiaans kartel die kopie moet trekken of een achterdeur gebouwd door Cozy Bear? Tegen beiden moet je je wapenen, en dat lost dan meteen dat (in de EU écht illegale) gedrag van de moedermaatschappij op.

Dit lijken me heel verschillende dingen. Een Amerikaan of Amerikaans bedrijf kan via de Amerikaans wet gedwongen worden. Allemaal keurig binnen het juridische en dus geen cybercriminaliteit. Het Columbiaanse kartel is wel crimineel.

Dat je je tegen Amerika moet wapenen zal voor sommigen een verrassing of teleurstelling zijn. Bij een Columbiaans kartel waarschijnlijk niet.
16-01-2025, 08:57 door Anoniem
Ja, pas uitspraak over geweest op europeesch niveau, al is bijv CNIL het daar niet mee eens…
16-01-2025, 11:30 door Anoniem
Door Anoniem:
Maar dan komen we buiten het juridisch kader waar je redelijkerwijs over na moet denken, en meer in de sfeer van cybercriminaliteit binnen de organisatie. Want laten we wel wezen: wat is dan nog het verschil met een systeembeheerder die van een Colombiaans kartel die kopie moet trekken of een achterdeur gebouwd door Cozy Bear? Tegen beiden moet je je wapenen, en dat lost dan meteen dat (in de EU écht illegale) gedrag van de moedermaatschappij op.

Dit lijken me heel verschillende dingen. Een Amerikaan of Amerikaans bedrijf kan via de Amerikaans wet gedwongen worden. Allemaal keurig binnen het juridische en dus geen cybercriminaliteit. Het Columbiaanse kartel is wel crimineel.

Dat je je tegen Amerika moet wapenen zal voor sommigen een verrassing of teleurstelling zijn. Bij een Columbiaans kartel waarschijnlijk niet.

Mee eens. Trouwens, de zin "Maar dan komen we buiten het juridisch kader waar je redelijkerwijs over na moet denken" is een prachtig zinnetje dat alles zegt over de gehoorzaamheid van degene die het opschrijft aan de ongeschreven wet om weg te kijken en te zwijgen. De aanname is dat alleen wat op papier staat, telt voor een juridische beoordeling van zaken. Duidelijke aanwijzingen dat de werkelijkheid anders is dan wat er al op papier staat, tellen niet. Als het niet op papier staat, dan bestaat het zogenaamd niet.

Zolang de EU haar eigen inwoners alleen op papier beschermt tegen Amerika, beschermt de EU ons niet.

De enige oplossing is om data van EU-inwoners die niet vrijwillig zijn afgestaan, alleen nog te laten bewaren door bedrijven die in de realiteit niet onder de macht van de VS vallen. Dus geen dochterbedrijven van Amerikaanse bedrijven.

De EU doet ondertussen het omgekeerde en maakt telkens onderhandse dealtjes met de VS waarbij de privacy van de Europese burgers voor de bus wordt gegooid. Bijvoorbeeld Safe Harbor, Privacy Shield en nu het "EU-VS Data Privacy Framework" (DPF) of "Trans-Atlantic Data Privacy Framework" (TADPF).

https://nl.wikipedia.org/wiki/EU-VS_Data_Privacy_Framework
Het EU-VS Data Privacy Framework (DPF, of soms TADPF voor “Trans-Atlantic Data Privacy Framework”) is een beleidskader voor gegevensoverdracht tussen de Europese Unie en de Verenigde Staten. Eerdere regelingen - de internationale Safe Harbor Privacy Principles (2000-2015) en het EU-VS-privacyschild (2016-2020) zijn door het Europees Hof van Justitie ongeldig verklaard, op aansturen van privacy-activist Max Schrems, vanwege de vrees dat persoonsgegevens die de EU-grenzen verlaten, onderhevig zijn aan grootschalig Amerikaans overheidstoezicht.

Over het kader werd in maart 2022 in principe een overeenstemming bereikt. Op 8 oktober 2022 tekende president Joe Biden een uitvoeringsbesluit om het aangekondigd kader te implementeren,[1] en op 10 juli 2023 heeft de Europese Commissie een adequaatheidsbesluit voor het ‘EU-US Data Privacy Framework’ aangenomen.[2][3]

Toch blijven de Europese privacytoezichthouders bezorgd,[4] evenals privacy-organisaties, die geen wezenlijk verschil zien tussen het Framework en vorige, ongeldig verklaarde regelingen.[5]
16-01-2025, 11:49 door Anoniem
Het ontbreekt de Amerikaanse cultuur aan respect voor de vele Europese culturen. Ze kunnen dat gewoon niet snappen. Van hun kant ook weer te begrijpen. Want ik weet zelf ook niet goed wat ik met valentijn, thanksgiving en black friday moet. Het motief van datagraaien is commercieel. Waardoor halen en brengen niet in balans zijn. Het gaat daar enkel over halen en make America great again. Vind ik ook leuk voor ze als dat lukt, daar niet van. Maar niet onder mijn nest komen liggen om wat lulligs te verkopen. Dat kun je ook gewoon zeggen. Als ik tijd heb. Een beetje overal privedatagraaien, hoe lekker great ben je dan nog. Het is laflullerij. Dus vandaag spreken we helaas geen Engels. Ga maar bij de buren bellen. Misschien stinken die erin.

Voor Amerikaanse wetten, stuur de sherriff maar op zijn paard.Iemand die op John Wayne lijkt want die is al dood.

In Brussel heb je ook wel wat flipperkasten. Maar de Europese vrijheid dat moet je zijn. Dat kun je niet leren met een abonnement op Readers Digest!
16-01-2025, 12:02 door AX0 bv
Wat maar niet door wil dringen bij Aleid Wolfsen, die zelf overigens weinig tot geen enkelke ervaring in en met IT bezit, is het volgende;

"Alle denkbare aspecten en facetten, in en met digitale automatisering, zijn 100% Voorspelbaar/manipuleerbaar, voor iedere betrokkene..."

Deze onvervreembare en onveranderbare essentie van automatiseren, toont dat er daar waar men denkt een 'secure' wal te hebben opgeworpen, commercie een steeds groter gewicht krijgt en kwaliteit, door tal van redenen, steeds verder afkalft. De gevolgen zien wij aan de lopende band. Toenemende inbraken en cybercrime events, steeds grotere schade en steeds meer inboeten van de privacy.

Denken dat je de big techs kunt vertrouwen, hun m.o. is het verzamelen van data, is een fata morgana. Overigens is het niet alleen de cybercrimineel of big tech, we hebben het ook over 'overheden zelf' die zeer druk zijn begaan, de privacy van de burger, steeds verder in te perken, onder druk te zetten. Wat dit betreft is ook de Nederlandse overheid allang niet meer een 'betrouwbare partner'.
16-01-2025, 12:04 door Anoniem
Natuurlijk, technische trucs kunnen altijd. Men kan een achterdeur in de onderliggende software hebben gebouwd, zo subtiel dat de ISO auditor het niet gezien heeft. Men kan dataleidingen voorzien hebben van een aftakking naar de VS, om zo stiekeme kopietjes te trekken.

Oh hier bespeur ik totale onwetenheid, er is geen ISO auditor die de gehele code en infrastructuur gaat doorlopen of uberhaubt mag inkijken. ISO gaat in principe alleen over de documentatie en procedures.

En dat de dataleidingen voorzien van aftakkingen is gegarandeerd, de snowden docs hebben dat toch wel vrij duidelijk gemaakt. Sterker nog tussenliggende landen als het VK maar ook NL en DE leveren zelf ongefilterde data aan aan de amerikanen.
16-01-2025, 13:30 door Anoniem
Door Anoniem: Het ontbreekt de Amerikaanse cultuur aan respect voor de vele Europese culturen. Ze kunnen dat gewoon niet snappen. Van hun kant ook weer te begrijpen. Want ik weet zelf ook niet goed wat ik met valentijn, thanksgiving en black friday moet. Het motief van datagraaien is commercieel. Waardoor halen en brengen niet in balans zijn. Het gaat daar enkel over halen en make America great again. Vind ik ook leuk voor ze als dat lukt, daar niet van.

Het is voor de Amerikaanse wet heel simpel: alleen Amerikaanse burgers (citizens) hebben mensenrechten volgens hun wetgeving. De rest van de wereld niet. Daarom doet usa ook niet mee aan het internationale gerechtshof en de opsporingsdiensten ervan. Dit is ook de grond waarom Safe Harbor, Privacy Shield en nu het "EU-VS Data Privacy Framework" (DPF) slechts een pleister op de wonde zijn. Zolang mensenrechten van eu burgers niet gewaarborgd zijn in de usa, zal privacywetgeving een wassen neus blijven.
16-01-2025, 17:04 door Anoniem
Door Anoniem:
Natuurlijk, technische trucs kunnen altijd. Men kan een achterdeur in de onderliggende software hebben gebouwd, zo subtiel dat de ISO auditor het niet gezien heeft. Men kan dataleidingen voorzien hebben van een aftakking naar de VS, om zo stiekeme kopietjes te trekken.

Oh hier bespeur ik totale onwetenheid, er is geen ISO auditor die de gehele code en infrastructuur gaat doorlopen of uberhaubt mag inkijken. ISO gaat in principe alleen over de documentatie en procedures.
Precies dat. En al was de auditeur wel een techneut: De meesten gebruiken volgens mij custom hardware met zelf ontworpen moederborden, enz. Dan moet je van goede huize komen wil je iets kunnen zeggen over backdoors op dat niveau.
17-01-2025, 08:26 door Anoniem
Door Anoniem: Oh hier bespeur ik totale onwetenheid, er is geen ISO auditor die de gehele code en infrastructuur gaat doorlopen of uberhaubt mag inkijken. ISO gaat in principe alleen over de documentatie en procedures.
Nee, maar het is ook niet zo dat elke organisatie tot in de haarvaten van elke medewerker corrupt is. Dit soort controles brengen dingen aan het licht omdat er in elke organisatie die niet piepklein is mensen zullen rondlopen die niet van leugens houden en er ook niet goed in zijn.

Onder IT'ers zitten relatief veel autisten. Het is niet zo dat autisten nooit liegen, maar er is wel geconstateerd dat snel liegen iets is dat autisten niet makkelijk doen, omdat het een grote cognitieve inspanning vereist en autisten juist vaak een lagere verwerkingssnelheid in dat soort dingen hebben: ze kunnen dan simpelweg niet goed al improviserend liegen. Zet die mensen tegenover interviewers die in dat soort dingen getraind zijn en ze vallen makkelijk door de mand als ze het proberen. En bedenk ook dat ontwikkelaars en andere IT'ers goed kunnen zijn in hun werk door sterk gericht te zijn op hoe dingen werkelijk gaan en niet door gericht te zijn op wat beter uitkomt voor waar aanzien. Met die laatste mentaliteit kan je namelijk geen fouten uit algoritmes en configuraties halen en de oorzaak van storingen niet opsporen.

Ik ben zelf, weet ik sinds een aantal jaar, autistisch, en ik heb in het verleden enkele tientallen jaren als ontwikkelaar voor een bank gewerkt (niet een van de reuzen). Ik ben heel vaak door interne en wat minder vaak door externe auditors geïnterviewd. Dat ze me gingen interviewen hoorde ik steeds pas als het zover was, zodat ik geen voorbereidingstijd had. Bij de interne auditors zaten voormalige ontwikkelaars die niet alleen leestoegang hadden tot alle broncode maar ook goed snapten wat ze zagen. Ik heb nooit instructies meegekregen om dingen te verzwijgen en heb dat ook niet gedaan. Wel heb ik, slechts één keer in tientallen jaren, meegemaakt dat een hoge IT-manager in een grote bijeenkomst frustratie uitsprak over hoe openhartig we allemaal waren tegen auditors, omdat het zijn vermogen om kosten te besparen op dingen die je niet kan overslaan dwarsboomde. Ik heb me daar werkelijk geen ruk van aangetrokken, ik heb die audits altijd beschouwd als deel van de kwaliteitscontrole en omdat ik op kwaliteit gericht ben waren ze wat mij betreft welkom. Voor zover ik er een indruk van heb meegekregen van mijn collega's was ik lang niet de enige die zich niets van die opmerking aantrok.

Auditors kunnen inderdaad niet de volledige code van een organisatie van begin tot eind doorspitten. Ze interviewen wel mensen uit allerlei geledingen van de organisatie die wel van alles weten, en die mensen zijn lang niet allemaal goed in liegen, zijn ook lang niet allemaal bereid tot liegen, en als het gaat zoals ik het heb meegemaakt werken ze zo dat je niet goed voorbereid in zo'n interview belandt. Ze kunnen ongetwijfeld niet alles achterhalen, maar ik denk dat goede auditors een heel eind weten te komen.
17-01-2025, 12:46 door Arnoud Engelfriet
Door Anoniem:
Maar dan komen we buiten het juridisch kader waar je redelijkerwijs over na moet denken, en meer in de sfeer van cybercriminaliteit binnen de organisatie. Want laten we wel wezen: wat is dan nog het verschil met een systeembeheerder die van een Colombiaans kartel die kopie moet trekken of een achterdeur gebouwd door Cozy Bear? Tegen beiden moet je je wapenen, en dat lost dan meteen dat (in de EU écht illegale) gedrag van de moedermaatschappij op.

Dit lijken me heel verschillende dingen. Een Amerikaan of Amerikaans bedrijf kan via de Amerikaans wet gedwongen worden. Allemaal keurig binnen het juridische en dus geen cybercriminaliteit. Het Columbiaanse kartel is wel crimineel.
Een Amerikaans bedrijf dat krachtens Amerikaanse wetgeving persoonsgegevens uit Europa weghaalt is wel degelijk crimineel want dat overtreedt de AVG. Eens met dat dit verrassend is.

Ik denk dat ik niet snap waarom "het moet van Amerikaans recht dus iedereen doet dat" vanzelfsprekend is, terwijl "het mag niet van Europees recht dus dat gebeurt niet zomaar" een heel raar standpunt is.
18-01-2025, 10:22 door Anoniem
Door AX0 bv: Wat maar niet door wil dringen bij Aleid Wolfsen, die zelf overigens weinig tot geen enkelke ervaring in en met IT bezit, is het volgende;

"Alle denkbare aspecten en facetten, in en met digitale automatisering, zijn 100% Voorspelbaar/manipuleerbaar, voor iedere betrokkene..."
Ik vroeg me ten eerste af wie je hier citeert, want dat vermeld je niet, en een zoekactie op die zin doet me belanden op een website die aan de naam te zien van jou is. Citeer je jezelf? Dat komt een beetje vreemd over, weet je? Alsof je de uitspraak meer gewicht probeert te geven door de indruk te wekken dat hij niet door jezelf is gedaan maar door iemand met meer autoriteit dan jijzelf.

Ten tweede ben ik het er niet mee eens. In geautomatiseerde systemen mag typisch niet elke betrokkene alles, daar worden dingen als functiescheiding en het vierogenprincipe toegepast. 100% manipuleerbaarheid voor iedere betrokkene komt erop neer dat de rechten van betrokkenen niet worden beperkt tot wat ze voor hun taken nodig hebben maar dat je ze geen enkele beperking oplegt. Dat zou een beveiligingslek van formaat zijn, je haalt de 100% voorspelbaarheid die je voorstaat grondig onderuit als iedere betrokkene het systeem dingen kan laten doen die de andere betrokkenen niet verwachten.

Ik vermoed dat dat iets is dat, ook zonder IT-achtergrond, tot Aleid Wolfsen is doorgedrongen.
19-01-2025, 13:38 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 19-01-2025, 13:53
Door Arnoud Engelfriet op 17-01-2025 om 12:46 uur:
Door Anoniem:
Door Arnoud Engelfriet (in het artikel): Maar dan komen we buiten het juridisch kader waar je redelijkerwijs over na moet denken, en meer in de sfeer van cybercriminaliteit binnen de organisatie. Want laten we wel wezen: wat is dan nog het verschil met een systeembeheerder die van een Colombiaans kartel die kopie moet trekken of een achterdeur gebouwd door Cozy Bear? Tegen beiden moet je je wapenen, en dat lost dan meteen dat (in de EU écht illegale) gedrag van de moedermaatschappij op.

Dit lijken me heel verschillende dingen. Een Amerikaan of Amerikaans bedrijf kan via de Amerikaans wet gedwongen worden. Allemaal keurig binnen het juridische en dus geen cybercriminaliteit. Het Columbiaanse kartel is wel crimineel.
Een Amerikaans bedrijf dat krachtens Amerikaanse wetgeving persoonsgegevens uit Europa weghaalt is wel degelijk crimineel want dat overtreedt de AVG. Eens met dat dit verrassend is.

Het is niet verrassend en ook niet crimineel in juridische zin. Dit wordt namelijk sinds jaar en dag door de EU impliciet toegestaan, d.m.v. de hierboven (16-01-2025 om 11:30 uur) al genoemde regelingen: Safe Harbor, Privacy Shield en EU-VS Data Privacy Framework. Daarin stelt de EU namelijk dat als het feitelijke gedrag van de Amerikaanse overheid Europese burgers niet bevalt, deze Europese burgers voldoende rechtsbescherming in de VS hebben om hun privacy via aldaar gevoerde procedures effectief te kunnen beschermen.

Als de EU het zelf keer op keer opnieuw op deze manier semi-legaliseert, is het juridisch gezien niet crimineel. Feitelijk is het natuurlijk wel crimineel, want er worden hier mensenrechten geschonden. En iedereen weet dat het voor 99,99% van de Europese burgers niet mogelijk is om hun privacy-rechten in de VS effectief te beschermen.

Bij de resterende 0,01% gaat het om zeer rijke Europese burgers, die zich ten eerste een Amerikaans advocaten-team kunnen veroorloven dat ze vanuit Europa kunnen aansturen, en die bovendien ook beschikken over andere, niet-juridische middelen om hun privacy voorzover nodig in de VS te beschermen. Zulke rijke EU-burgers zal het overigens niet uitmaken als ze bekend zijn bij allerlei Amerikaanse diensten zoals NSA, CIA, FBI en dergelijke, omdat ze tot de elite behoren die door deze diensten daadwerkelijk wordt beschermd. Zij hebben een heel ander soort sociaal contract met de Amerikaanse overheid dan gewone Amerikaanse burgers, laat staan gewone Europese burgers.

Door Arnoud Engelfriet: Ik denk dat ik niet snap waarom "het moet van Amerikaans recht dus iedereen doet dat" vanzelfsprekend is, terwijl "het mag niet van Europees recht dus dat gebeurt niet zomaar" een heel raar standpunt is.
Als je met "iedereen" ook de EU bedoelt, en met name de EC - Europese Commissie, dan ben ik het op dit punt met je eens. Het is een "heel raar standpunt" van de EC, die de Amerikaanse praktijken telkens opnieuw legaliseert (met Safe Harbor, Privacy Shield en nu DPF).

Maar die Europese Commissie wordt op dit punt ook niet teruggefloten door ons "democratische" Europarlement. Eén reden daarvoor is dat het Europarlement te weinig bevoegdheden heeft. Want dat parlement moet (even grof samengevat) kiezen tussen een extreme maatregel (bijv. motie van wantrouwen tegen de hele EC aannemen) of niets doen. En dan valt de keuze al snel op nietsdoen.

Daar komt bij dat de overgrote meerderheid in het Europarlement ver afstaat van Europese burgers. Het is een eigen, technocratisch wereldje in Brussel, met meer dan tienduizend lobbyisten van bedrijven met grote financiële belangen.

Hoewel het niet zo zou moeten zijn, is deze politieke constellatie in de praktijk wel degelijk juridisch relevant. Daarom vind ik het een goede zaak dat jij er aandacht aan besteedt in jouw rubriek. Maar ik ben het niet eens met jouw conclusie in jouw artikel:

Door Arnoud Engelfriet: Wat mij betreft is het antwoord dus: als jij zaken doet met een Europees bedrijf - dochter van een Amerikaans concern of niet - en de data blijft fysiek in de EU met waarborgen tegen aftappen en stiekeme kopietjes, dan zit je van de Europese regelgeving goed.
Het is een onrealistische conclusie, waarin je ten onrechte voorbij gaat aan:
-- het feit dat er veel te weinig reële(!) waarborgen zijn tegen aftappen en stiekeme kopietjes richting VS;
-- het feit dat Europese toezichthouders weigeren dit te onderkennen als het gaat om Europese dochterbedrijven van Amerikaanse bedrijven, maar net doen alsof hun neus bloedt en wegkijken;
-- het feit dat opeenvolgende EC's het voor de Europese toezichthouders extra moeilijk hebben gemaakt en nog steeds maken om niet weg te kijken, door telkens weer de VS te bestempelen tot land waar de privacy van Europese burgers zogenaamd voldoende beschermd zou zijn (Safe Harbor, Privacy Shield, EU-VS DPF);
-- het feit dat het zogenaamd "democratische", maar zwaar gelobbyde Europarlement hier niets aan doet, en wellicht ook nauwelijks iets aan kan doen;
-- het feit dat "de Europese regelgeving" zoals jij die noemt, op dit moment schizofreen is en een aantal enorme zwarte gaten bevat. Enerzijds is er op papier een verbod op het verwerken van bepaalde data buiten de EU, maar anderzijds wordt een dergelijk verbod in de praktijk niet gehandhaafd en zijn er voor Europese burgers via regelgeving geen middelen gerealiseerd om via de (Europese en/of Amerikaanse) rechter adequate handhaving af te dwingen.

In je conclusie neem je een ideale situatie als uitgangspunt (de data blijft daadwerkelijk binnen de EU), waarvan je kunt weten of met grote waarschijnlijkheid vermoeden dat die niet in overeenstemming is met de werkelijkheid.

Dat zou een vorm van "in slaap sussen" zijn, als je door reageerders niet krachtig werd tegengesproken.

Op die manier nestel je je als privacy-jurist en vaste rubriekschrijver in een behaaglijke tussenpositie tussen het datagraai-establishment en (merendeels anonieme) reageerders aan wie jij het werk overlaat om de werkelijke problemen kritisch te benoemen - zonder dat dit evenveel impact heeft als wanneer jij zelf de moeite zou nemen en de moed zou opbrengen om die problemen te benoemen.

M.J.
21-01-2025, 15:21 door Anoniem
@Arnoud je slaat de plak behoorlijk mis. onderbouwing daarvan heeft Bert Hubert als eens beter opgeschreven dan ik het kan, dus hier de link: https://berthub.eu/articles/posts/servers-in-de-eu-eigen-sleutels-helpt-het/

Het enige waarin ik je wel gelijk kan geven is dat je er zeer waarschijnlijk juridisch gezien wel mee weg komt. Dat is echter heel wat anders dan dat het ook legaal is om persoonsgegevens door een Amerikaans bedrijf te laten verwerken.
21-01-2025, 21:37 door Anoniem
Ik zou geen risico nemen en nooit met een Amerikaans bedrijf in zee gaan. Ieder Amerikaans bedrijf kan op greond van welke act dan ook gegevens doorgeven aan de Amerikaanse overheid en haar instanties. Het geburd gewoon. Het woord soms is niet aan de orde. Je moet ervan uitgaan dat het gebeurd.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.