Kan een modelcontractbepaling met een cloudprovider het Data Privacy Framework tussen de VS en EU wel vervangen?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Mocht het Data Privacy Framework (DPF) komen te vervallen, dan schrijft het kabinet dat we kunnen terugvallen op de modelcontractbepalingen (SCC's) in onze contracten met cloudproviders om de privacy te waarborgen. Echter, hoe kan een contract met een cloudprovider nu zaken opvangen als het inperken van de toegang tot EU- gegevens door Amerikaanse inlichtingendiensten, zoals nu door DPF wordt gedaan?
Antwoord: Het Data Privacy Framework of DPF is een set afspraken tussen de VS en de EU, waarmee een zogeheten "adequaat niveau" van omvang met persoonsgegevens in de VS wordt vastgelegd. Op grond van het DPF is vervolgens door de Europese Commissie gesteld dat de VS een adequaat land is om persoonsgegevens heen te brengen, mits je dat doet binnen de kaders van het DPF.
Recent heeft president Trump leden van het voor het DPF essentieel orgaan, de Privacy and Civil liberties Oversight Board (PCLOB), ontslagen. Hierdoor is er geen quorum meer voor deze board om beslissingen te nemen, zodat ze effectief machteloos is geworden. Daarmee lijkt het DPF niet meer te voldoen aan de afspraken en is de kans groot dat het adequaatheidsbesluit moet worden ingetrokken.
Als dat gebeurt, kun je dus geen persoonsgegevens meer overbrengen naar de VS. Oftewel: geen US clouddiensten gebruiken voor opslag of verwerking daarvan. (Bij Europese dochterbedrijven met datacenters alhier is een ander verhaal.)
Naast dat adequaatheidsbesluit zijn er ook de zogeheten modelcontractbepalingen (SCC’s). Hiermee regel je het zelf: je spreekt met je Amerikaanse wederpartij regels af waarmee zij zich conformeren aan de AVG, kort gezegd. Daaronder valt ook het nemen van maatregelen die AVG overtredingen borgen, zoals het in strijd met de AVG afgeven van persoonsgegevens aan Amerikaanse justitie.
Een terecht punt is hoe je dat doet als de lokale wetgeving je daartoe juist verplicht. Dat punt was even minder relevant, omdat de redenering was dat dóórdat het DPF en het adequaatheidsbesluit er waren je mocht aannemen dat dit niet zomaar zou gebeuren. Een adequaat land mág haar justitie dingen laten vorderen, die kaders zijn gewoon AVG-conform - dat is het punt van het land adequaat achten. Het zit wel goed daar.
Dat argument staat natuurlijk op losse schroeven als dat adequaatheidsbesluit nu ingetrokken wordt door het wegvallen van het DPF. Wat heb je dan nog om te zeggen, mijn Amerikaanse wederpartij kan zich gewoon aan de SCC afspraken houden?
In een recente kamerbrief zegt onze staatssecretaris Digitalisering en Koninkrijksrelaties daarover dat "Mocht het DPF komen te vervallen, dan zal mogelijk middels een DTIA gekeken moeten worden naar de vraag of er (en zo ja welke) aanvullende waarborgen of maatregelen moeten worden genomen om de in de AVG vereiste rechtsbescherming voor natuurlijke personen te waarborgen." Dat schuift dus het probleem voor ons uit.
Terzijde: Of Amerikaanse inlichtingendiensten stiekem bij data kunnen is volledig irrelevant voor deze discussie. Dat is een beveiligingskwestie, maar staat los van de vraag of je van de AVG je data mág opslaan daar. Die vraag gaat pas spelen als overheidsinstellingen op grond van de wet vorderen dat ze data mogen hebben, dus juridisch in plaats van gewoon praktisch er bij willen. De NSA is hetzelfde als iedere willekeurige indringer van buitenaf.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Een Nederlandse leverancier kan een verzoek van Amerikaanse justitie via MLAT niet negeren, ook niet als er AVG-afspraken met Europese klanten zijn.
;)
Verschil is natuurlijk dat het dan bij een Europese rechtbank wordt voorgelegd.
Mee eens, Engelfriet beantwood de vraag niet. Maar dat komt ook doordat de vraag zoals hij die opschrijft, vaag gesteld is. Wat zou er precies (moeten) worden "vervangen" als het DPF wegvalt?
a) de juridische aanname (van Europese verwerkingsverantwoordelijken, toezichthouders en rechters) dat het zonder toestemming van betrokkenen delen van hun persoonsgegevens met Amerikaanse bedrijven in overeenstemming is met de AVG, omdat de VS in een adequaatheidsbesluit van de EU aangemerkt zijn als "veilig land" v.w.b. gegevensverwerking?
b) de reële verwachting van EU-burgers en verwerkingsverantwoordelijken) dat het mogelijk is persoonsgegevens van EU-burgers met Amerikaanse bedrijven te delen zonder de privacy van de Europese betrokkenen daarmee te schaden?
c) de feitelijke mogelijkheid van Europese of internationale verwerkingsverantwoordelijken om zonder de (vrijwillige, ondubbelzinnige) instemming van EU-burgers de persoonsgegevens van die burgers met Amerikaanse organisaties te delen zonder dat die verwerkingsverantwoordelijken dan in de praktijk door EU-instanties bestraft of effectief gecorrigeerd kunnen worden?
Zolang die drie zaken niet goed van elkaar worden onderscheiden, is het in ieder geval onmogelijk om de consequenties van een eventueel einde van het DPF adequaat te analyseren. Mijn eigen eerste reactie:
Ad a). De onderbouwing van die juridische aanname valt na beëindiging van het DPF niet te goeder trouw te vervangen door middel van modelcontractbepalingen (SSC's). Wel kunnen modelcontractbepalingen (SSC's) gebruikt worden als de volgende fictieve schaamlap, puur op grond van opportunistische fantasie (waar het Nederlandse kabinet kennelijk een voorstander van is).
Ad b). Er was mèt het DPF al geen reële verwachting mogelijk dat de data van EU-burgers in de VS adequaat beschermd zouden worden. Een beëindiging van het DPF zou daar niets aan veranderen.
Ad c). De feitelijke mogelijkheid om verwerkingsverantwoordelijken effectief te bestraffen of te corrigeren m.b.t. het delen van data met Amerikaanse bedrijven en organsisaties is mèt het DPF al zeer klein. Dit heeft deels te maken met de manier waarop EU-instanties (rechters, toezichthouders) zelf de AVG interpreteren en artikel 8 EVRM negeren. Als gevolg daarvan "kunnen" (zogenaamd) alleen de grofste, meest zichtbare uitwassen worden aangepakt. In feite gaat het hier echter om een wens van EU-instanties om allerlei andere overtredingen juist niet aan te pakken.
Het probleem voor EU-burgers is daarom in de kern niet het wangedrag van Amerikaanse organisaties, maar het wangedrag van Europese rechters en toezichthouders, die zich in de meeste gevallen opstellen als handlangers en goedpraters van Amerikaanse privacy-schenders, niet als beschermers van EU-burgers.
-- Conclusie --
De beëindiging van DPF zou niets wezenlijks veranderen aan het gebrek aan privacy-bescherming van EU-burgers, tenzij deze beëindiging gepaard zou gaan met een verandering van de feitelijke attitude van Europese rechters en toezichthouders.
Het hele idee dat de beëindiging van het DPF een "verlies" zou inhouden waardoor er een behoefte aan "vervanging" zou ontstaan, is geredeneerd vanuit de wensen van bedrijven en organisaties die zonder toestemming van EU-burgers hun data met Amerikaanse bedrijven en organisaties willen delen.
Als je echter het belang van EU-burgers als uitgangspunt neemt (of is dat een al te exotisch idee?), dan is de beëindiging van het DPF niet meer dan de beëindiging van één van de manieren waarop feitelijke wetteloosheid door EU-instanties wordt vermomd en verhuld, om EU-burgers voor de gek te houden, te sussen en in slaap te houden.
De beëindiging van een leugen levert in mijn ogen helemaal geen noodzaak op voor de vervanging daarvan.
Maar reken maar dat er in de EU en de VS allerlei partijen zullen zijn die meteen ijverig op zoek zullen gaan naar vervangende leugens. Het Nederlandse kabinet is daar "pro-actief" alvast mee begonnen, met die verwijzing naar "modelcontractbepalingen".
M.J.
Een Nederlandse leverancier kan een verzoek van Amerikaanse justitie via MLAT niet negeren, ook niet als er AVG-afspraken met Europese klanten zijn.
;)
Verschil is natuurlijk dat het dan bij een Europese rechtbank wordt voorgelegd.
Met het verschil dat het Nederlandse openbaar ministerie, rechter en Europese rechter ook de AvG moet afwegen in de beslissing om bijvoorbeeld persoonsgegevens te betrekken bij een onderzoek en strafoplegging. Onze voormalige Amerikaanse bondgenoten hebben met privacyshield, safe harbor en nu DPF een rookgordijn opgetuigd waarbij de Europese burger kan proberen zijn recht te (ver)halen mocht deze ooit op de hoogte komen van de schending van zijn privacyrechten door Amerikaanse geheime diensten. Daarbij loopt deze burger natuurlijk wel het risico om zonder opgaaf van redenen geweigerd of zelfs opgepakt te worden aan de Amerikaanse grens mocht hij/zij/het zijn/haar/hen rechten willen verdedigen.
Mee eens, Engelfriet beantwood de vraag niet. Maar dat komt ook doordat de vraag zoals hij die opschrijft, vaag gesteld is. Wat zou er precies (moeten) worden "vervangen" als het DPF wegvalt?
a) de juridische aanname (van Europese verwerkingsverantwoordelijken, toezichthouders en rechters) dat het zonder toestemming van betrokkenen delen van hun persoonsgegevens met Amerikaanse bedrijven in overeenstemming is met de AVG, omdat de VS in een adequaatheidsbesluit van de EU aangemerkt zijn als "veilig land" v.w.b. gegevensverwerking?
b) de reële verwachting van EU-burgers en verwerkingsverantwoordelijken) dat het mogelijk is persoonsgegevens van EU-burgers met Amerikaanse bedrijven te delen zonder de privacy van de Europese betrokkenen daarmee te schaden?
c) de feitelijke mogelijkheid van Europese of internationale verwerkingsverantwoordelijken om zonder de (vrijwillige, ondubbelzinnige) instemming van EU-burgers de persoonsgegevens van die burgers met Amerikaanse organisaties te delen zonder dat die verwerkingsverantwoordelijken dan in de praktijk door EU-instanties bestraft of effectief gecorrigeerd kunnen worden?
Zolang die drie zaken niet goed van elkaar worden onderscheiden, is het in ieder geval onmogelijk om de consequenties van een eventueel einde van het DPF adequaat te analyseren. Mijn eigen eerste reactie:
Ad a). De onderbouwing van die juridische aanname valt na beëindiging van het DPF niet te goeder trouw te vervangen door middel van modelcontractbepalingen (SSC's). Wel kunnen modelcontractbepalingen (SSC's) gebruikt worden als de volgende fictieve schaamlap, puur op grond van opportunistische fantasie (waar het Nederlandse kabinet kennelijk een voorstander van is).
Ad b). Er was mèt het DPF al geen reële verwachting mogelijk dat de data van EU-burgers in de VS adequaat beschermd zouden worden. Een beëindiging van het DPF zou daar niets aan veranderen.
Ad c). De feitelijke mogelijkheid om verwerkingsverantwoordelijken effectief te bestraffen of te corrigeren m.b.t. het delen van data met Amerikaanse bedrijven en organsisaties is mèt het DPF al zeer klein. Dit heeft deels te maken met de manier waarop EU-instanties (rechters, toezichthouders) zelf de AVG interpreteren en artikel 8 EVRM negeren. Als gevolg daarvan "kunnen" (zogenaamd) alleen de grofste, meest zichtbare uitwassen worden aangepakt. In feite gaat het hier echter om een wens van EU-instanties om allerlei andere overtredingen juist niet aan te pakken.
Het probleem voor EU-burgers is daarom in de kern niet het wangedrag van Amerikaanse organisaties, maar het wangedrag van Europese rechters en toezichthouders, die zich in de meeste gevallen opstellen als handlangers en goedpraters van Amerikaanse privacy-schenders, niet als beschermers van EU-burgers.
-- Conclusie --
De beëindiging van DPF zou niets wezenlijks veranderen aan het gebrek aan privacy-bescherming van EU-burgers, tenzij deze beëindiging gepaard zou gaan met een verandering van de feitelijke attitude van Europese rechters en toezichthouders.
Het hele idee dat de beëindiging van het DPF een "verlies" zou inhouden waardoor er een behoefte aan "vervanging" zou ontstaan, is geredeneerd vanuit de wensen van bedrijven en organisaties die zonder toestemming van EU-burgers hun data met Amerikaanse bedrijven en organisaties willen delen.
Als je echter het belang van EU-burgers als uitgangspunt neemt (of is dat een al te exotisch idee?), dan is de beëindiging van het DPF niet meer dan de beëindiging van één van de manieren waarop feitelijke wetteloosheid door EU-instanties wordt vermomd en verhuld, om EU-burgers voor de gek te houden, te sussen en in slaap te houden.
De beëindiging van een leugen levert in mijn ogen helemaal geen noodzaak op voor de vervanging daarvan.
Maar reken maar dat er in de EU en de VS allerlei partijen zullen zijn die meteen ijverig op zoek zullen gaan naar vervangende leugens. Het Nederlandse kabinet is daar "pro-actief" alvast mee begonnen, met die verwijzing naar "modelcontractbepalingen".
M.J.
*kuch* artikel 32 AVG *kuch* Beveiliging van de verwerking *kuch*
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
