Staatssecretaris Szabó: 'Doorgifte van EU-data naar VS kan vooralsnog doorgaan'
Het recente ontslag van bepaalde leden van de Amerikaanse Privacy and Civil liberties Oversight Board (PCLOB), die toezicht houdt op de inlichtingendiensten, doet geen afbreuk aan het functioneren aan het adequaatheidsbesluit voor de Verenigde Staten (VS). Vooralsnog kan de doorgifte van EU-gegevens naar het land dan ook doorgaan. Dit meldt staatssecretaris Szabó van Digitalisering en Koninkrijksrelaties in een kabinetsreactie op de houdbaarheid van de EU-VS afspraken over privacy en mogelijke impact voor de doorgifte van persoonsgegevens naar de Amerikaanse diensten. De staatssecretaris reageert hiermee op onrust die is ontstaan door het ontslag van leden van de PCLOB.
Strenge eisen
De AVG vereist dat de verwerking en opslag van persoonsgegevens aan strenge eisen voldoet. Doorgifte van data aan derde landen waaronder de VS is alleen toegestaan onder bepaalde voorwaarden. Dit moet ervoor zorgen dat het land een vergelijkbaar beschermingsniveau biedt voor gegevens.Sinds juli 2023 is een adequaatheidsbesluit van kracht voor de VS. Dit betekent in de praktijk dat de VS een adequaat niveau van gegevensbescherming biedt voor de doorgifte van EU-gegevens, op voorwaarde dat dit in lijn is met het Data Privacy Framework (DPF). Dit raamwerk omvat maatregelen die de toegang tot EU-gegevens door Amerikaanse inlichtingendiensten beperken. Ook is een verhaalmechanisme ingericht. Dit voorziet onder meer in een Data Protection Review Court (DPRC), dat klachten van EU-burgers onafhankelijk behandelt.
Doorlopend toezicht
"De EC houdt doorlopend toezicht op ontwikkelingen in derde landen die mogelijk gevolgen hebben voor het functioneren van adequaatheidsbesluiten. Zo heeft in juli 2024 de eerste evaluatie van het DPF plaatsgevonden. De EC stelde daarin vast dat de Amerikaanse overheid de voor het adequaatheidsbesluit en decreet 14086 noodzakelijke structuren, processen en procedures heeft ingericht", aldus Szabó.
De staatssecretaris: "De recente ontwikkelingen met betrekking tot het ontslaan van bepaalde leden van de toezichthouder op de inlichtingendiensten, de Privacy and Civil liberties Oversight Board (PCLOB), doen daaraan niet noodzakelijk afbreuk." Ook meldt de staatssecretaris dat indien blijkt dat de VS niet langer een adequaat beschermingsniveau biedt, de Europese Commissie het adequaatheidsbesluit kan intrekken, wijzigen of tijdelijk schorsen. Dit zou betekenen dat doorgifte van gegevens naar de VS niet langer op basis van het DPF kan plaatsvinden.
Het DPF werd al aangevochten door NOYB vanwege niet voldoende waarborgen van de GDPR (een langlopende rechtszaak die zeer waarschijnlijk gewonnen gaat worden door NOYB op dezelfde gronden als het stoppen van privacy shield en safe harbor) en het ontbreken van efficiënte controles zal dit alleen maar verder uithollen.
Maar wat gaan we doen met de Amerikaanse clouddiensten wanneer ze geen persoonsgegevens meer uit de EER mogen verwerken? Toch maar de rijkscloud zoals de tweede kamer gisteren van het kabinet verlangde?
"De third-party doctrine is een Amerikaanse juridische doctrine die stelt dat mensen die vrijwillig informatie aan derden verstrekken, zoals banken, telefoonbedrijven, internet service providers (ISP's) en e-mailservers, "geen redelijke verwachting van privacy" hebben in die informatie. Een gebrek aan privacybescherming stelt de Amerikaanse overheid in staat om informatie van derden te verkrijgen zonder een wettelijk bevel en zonder anderszins te voldoen aan het verbod van het Vierde Amendement op huiszoeking en inbeslagname zonder waarschijnlijke reden en een gerechtelijk huiszoekingsbevel."
Bron:
https://en.m.wikipedia.org/wiki/Third-party_doctrine
De staatssecretaris: "De recente ontwikkelingen met betrekking tot het ontslaan van bepaalde leden van de toezichthouder op de inlichtingendiensten, de Privacy and Civil liberties Oversight Board (PCLOB), doen daaraan niet noodzakelijk afbreuk."
Dat vind ik nogal een uitspraak. Hij zegt eigenlijk: "het zou best kunnen dat het nog mag". Ik had liever gezien dat hij -met mij- zou concluderen "het is niet meer gegarandeerd, dus we mogen onze gegevens niet meer in de VS opslaan".
En misschien nog wat dreigementen van sancties vanuit Amerika.
Des te meer reden voor een autonoom en zelfstandig Nederland.
De staatssecretaris: "De recente ontwikkelingen met betrekking tot het ontslaan van bepaalde leden van de toezichthouder op de inlichtingendiensten, de Privacy and Civil liberties Oversight Board (PCLOB), doen daaraan niet noodzakelijk afbreuk."
Dat vind ik nogal een uitspraak. Hij zegt eigenlijk: "het zou best kunnen dat het nog mag". Ik had liever gezien dat hij -met mij- zou concluderen "het is niet meer gegarandeerd, dus we mogen onze gegevens niet meer in de VS opslaan".
Dat komt vanwege politiek. Als de staatssecretaris dat zou zeggen krijgen we ruzie met Amerika, zo'n uitspraak zou goed en heel dapper zijn maar ook carrière zelfmoord. En daarbij kun je het niet eens waarmaken. Hoe stop je dit gedrag, wat is het alternatief. Het echte, bewezen, goed werkende alternatief dat aan de wensen en eisen voldoet. Ik weet hem zo niet.
Dat het alternatief er moet komen is denk ik wel duidelijk...
De staatssecretaris: "De recente ontwikkelingen met betrekking tot het ontslaan van bepaalde leden van de toezichthouder op de inlichtingendiensten, de Privacy and Civil liberties Oversight Board (PCLOB), doen daaraan niet noodzakelijk afbreuk."
Dat vind ik nogal een uitspraak. Hij zegt eigenlijk: "het zou best kunnen dat het nog mag". Ik had liever gezien dat hij -met mij- zou concluderen "het is niet meer gegarandeerd, dus we mogen onze gegevens niet meer in de VS opslaan".
Dat komt vanwege politiek. Als de staatssecretaris dat zou zeggen krijgen we ruzie met Amerika, zo'n uitspraak zou goed en heel dapper zijn maar ook carrière zelfmoord. En daarbij kun je het niet eens waarmaken. Hoe stop je dit gedrag, wat is het alternatief. Het echte, bewezen, goed werkende alternatief dat aan de wensen en eisen voldoet. Ik weet hem zo niet.
Dat het alternatief er moet komen is denk ik wel duidelijk...
Je wordt er naar van, maar dat helpt geen zier.
En dat is ook wat ik steeds hoor: "de alternatieven zijn er al jaren" maar ze worden nooit genoemd. Wat zijn dan de alternatieven die dezelfde functionaliteit bieden die M365 nu doet? Waar moet ik mijn organisatie naartoe sturen?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?