Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 41 reacties

Onderhandelaars van de EU en de VS hadden tot eind januari de tijd om een akkoord te bereiken over nieuwe regels, die de ongeldig verklaarde Safe-Harbour-regeling moeten vervangen. Het overlegorgaan van de Europese privacytoezichthouders vergadert dinsdag over de gevolgen.

De afgelopen dagen leken onderhandelaars nog optimistisch over het bereiken van een akkoord, zo meldde Reuters. De deadline van 31 januari is echter verstreken, zonder dat een nieuwe regeling is overeengekomen. Onderhandelaars van de EU en de VS hadden drie maanden de tijd om een vervanger voor de Safe Harbour-regeling te vinden, die in oktober ongeldig werd verklaard door het Europese Hof van Justitie. De gevolgen van het verstrijken van de deadline zijn nog niet duidelijk, daarover heeft het overlegorgaan van de Europese privacytoezichthouders, de Artikel 29-werkgroep, dinsdag een overleg gepland.

Een mogelijk gevolg kan zijn dat de regelingen, waar organisaties op dit moment het exporteren van persoonsgegevens op baseren, niet meer gebruikt mogen worden. Details over een mogelijk akkoord waren de laatste tijd beperkt tot informatie over het feit dat de VS een privacy-ombudsman had voorgesteld, die klachten van Europeanen over de datacollectie door de VS zou gaan behandelen. Ook was een Amerikaanse wet uitgesteld, die Europeanen gelijke rechten als Amerikanen zou bieden onder de daar geldende privacywet. Het ontbreken van een juridisch kader voor het exporteren van persoonsgegevens kan grote gevolgen hebben voor Amerikaanse bedrijven.

Moderatie-faq Wijzig weergave

Reacties (41)

Een paar praktische vragen:
  • Mag ik nu nog wel gevoelige persoonsgegevens nog wel opslaan in Office 365 of Amazon Web Services met gebruik in de EU?
  • Mag ik mijn personeel deze diensten nog wel laten gebruiken voor werkdata (en gevoelige persoonsgegevens)?
  • Mag ik dit nog wel als service provider resellen?
Met Safe Harbour mocht dit wel, maar nu dus niet meer? Ik weet het niet. Ik lees vrij veel ruis over dit onderwerp, maar ik heb nog geen jurist gehoord die echt keihard zei 'ja dit mag' of 'nee dit mag niet' of 'nee, je zal moeten wachten tot er een nieuwe regeling is'.
  • Nee
  • Nee
  • Uiteraard, jij bent niet verantwoordelijk voor de data die jouw klant opslaat.
Zie deze blog voor wat meer achtergrond. Geen juridisch verhaal, maar meer praktisch gericht op afnemers van Amerikaanse clouddiensten (In dit geval Office 365, maar het geldt net zo goed voor AWS, Google Apps for Work etc).
  • Nee
  • Nee
  • Uiteraard, jij bent niet verantwoordelijk voor de data die jouw klant opslaat.
Zie deze blog voor wat meer achtergrond. Geen juridisch verhaal, maar meer praktisch gericht op afnemers van Amerikaanse clouddiensten (In dit geval Office 365, maar het geldt net zo goed voor AWS, Google Apps for Work etc).
Je bent volgens mij wel verantwoordelijk voor de diensten die je door verkoopt (reselled).
Je zult het waarschijnlijk wel mogen door verkopen maar je zult moeten aangeven waar de data opgeslagen wordt etc.
De kern van de juridische problemen rond Safe Harbor ligt hem in de export van persoonsgegevens naar de VS. Zolang je kunt garanderen dat er geen persoonsgegevens worden geexporteerd naar de VS, heb je dus vooralsnog geen probleem. De kans lijkt groot dat alternatieven voor Safe Harbor - Standard Contract Clauses en Binding Corporate Rules aan dezelfde mankementen leiden als Safe Harbor, dus daarop kun je binnenkort waarschijnlijk ook niet meer vertrouwen - de komende dagen zullen de nationale databeschermingsautoriteiten daarover vergaderen - wat wel of niet van belang kan zijn, want iedere nationale waakhond mag zelf beslissen wat ze gaan handhaven en wat niet, maar de uitspraken hebben wel invloed in de hele EU.

Vandaag zal er nog worden dooronderhandeld. De echte deadline - en zelfs die is tamelijk zacht - is vanavond, als Eurocommissaris Jourová het Europees Parlement toespreekt. Morgen begint dan de vergadering van de DPAs en gaat het feest pas echt beginnen.

Overigens ben ik er persoonlijk van overtuigd dat het eigenlijk nauwelijks uitmaakt of er een akkoord komt of niet. Zolang het PRISM-programma kan bestaan op basis van de Amerikaanse wet zal iedere nieuwe Safe Harbor opnieuw sneuvelen bij het Europese Hof.
Ga je huiswerk doen als Reseller ? Bel MS!
Resellen mag altijd, maar mag de eindgebruiker er nog wel alles mee doen? En in hoeverre zit je goed bij AWS?
Als je als eindgebruiker een dienst afneemt bij een provider die zijn gegevens verwerkt bij AWS in een EU region (EU Frankfurt of EU Ireland) čn die een 'AWS Data Processing Addendum' heeft afgesloten met AWS, dan voldoet alles wel aan de EU privacy richtlijn 95/46/EG, aldus Amazon en de Luxemburgse National Commission for Data Protection, die namens de Europese nationale privacy-waakhonden (de Article 29 Working Party) de AWS Data Processing Addendum heeft goedgekeurd.

In het privacy-statement van de desbetreffende dienst zou je dat moeten kunnen vinden.

Wij hebben het als dienstleverancier van Drebbl (automatische piloot die je thermostaat aanstuurt op basis van geleerde mobiliteitspatronen) begin dit jaar al geregeld. Was even een werkje, maar is toch wel het minste dat je voor je klanten kunt doen.
[edit: kleine typos]

[Reactie gewijzigd door hterhofte op 1 februari 2016 11:39]

Toch vraag ik me af wat het Amerikaanse hoofdkantoor van Amazon doet als de NSA aanklopt en zegt dat ze gegevens uit een Europees datacentrum willen hebben. Mag Amazon dan nee zeggen? Ik neem aan dat de Europese afdeling in principe moet doen wat het hoofdkantoor zegt?
De klant heeft de plicht zicht te informeren....
De verkopende partij heeft de plicht de klant te informeren....

Aangezien je ondernemer bent zou ik privacy niet als een obstakel zien maar juist als een "selling point". Zeker in deze tijden.
En nog straffer, vanaf vandaag mogen Amerikaanse werkgevers Europese personeelsgegevens niet meer in de VS behandelen. Tijd om e-mails naar de HR-afdeling te sturen...
Een paar praktische vragen:
  • Mag ik dit nog wel als service provider resellen?
Je mag het wel verkopen maar niemand mag het inkopen. Europese bedrijven die iets met persoonsgegevens doen moeten zich aan de relevante wetten houden. Dat betekent dat ze moeten eisen dat hun leveranciers zich ook aan die wetten houden. Als jij dat niet doet dan zal niemand meer van jou willen kopen.

Overigens mag je in theorie ook rechtstreeks zelf afspraken met Amerikaanse bedrijven om aan de wet te voldoen. In praktijk botsen de Europese en Amerikaanse regels echter zo dat het onmogelijk is om echt zo'n afspraken te maken. Althans, zo denk ik er over, juristen van sommige bedrijven zeggen dat ze wel een oplossing hebben maar dat geloof ik niet zo in.

De olifant in de kamer is dat de geheime diensten zich toch niks aantrekken van dit soort afspraken en verdragen. Dit soort wetten zijn alleen voor de gewone man. Het is prima dat ze er zijn want ze houden een hoop problemen tegen maar ze zijn niet sluitend.
Als het écht veilig moet zijn, in tegenstelling tot dat alleen de juridische verantwoordelijkheid is afgedekt, dan kun je niet vertrouwen op contracten.

[Reactie gewijzigd door CAPSLOCK2000 op 1 februari 2016 13:32]

Tja en nu....

Ik hoop dat Europa de rug recht houdt.
Het is tijd dat Amerika flink wat water bij de wijn doet en ook echt rekening gaat houden met de Europese privacy richtlijnen
En nu zijn er heel wat organisaties die ondertussen hun lopende contracten met dienstverleners met Amerikaanse tak eigenlijk hadden moeten stopzetten. Gebruikt je bedrijf Azure of Amazon, je school Outlook.com, je voetbalvereniging Google Apps? Met persoonsgegevens? Ietwat gechargeerd gezegd: per direct voor veel geld het contract afkopen (als je bij contractafsluiten hebt geslapen), data verwijderen en op zoek naar een andere partij. Dan maar een maandje geen e-mail, VoIP of web-applicatie ;)

... wat dus ook niet realistisch is.

Desalniettemin ben ik blij dat er niet te makkelijk "gewonnen" wordt gegeven.

Vergeet overigens niet dat ook binnen Europa - en in de rest van de wereld - allerhande wetten zijn of komen voor het opvragen door overheden van informatie. Ik vermoed dat een EUR overheid ook informatie van bijvoorbeeld mensen uit Saudi-Arabie wil opvragen. Wat in de basis niet veel anders is dan dat Washington info over een Nederlander opvraagt.

Tot zover de basis van het internet: vrij verkeer van informatie.
Je kunt bij Azure of Amazon al kiezen of je data in de EU moet worden gehost. Outlook.com (office 365 that is) voor EDU wordt ook gewoon in Europa gehost.

En vooral Microsoft houdt de rug recht wat betreft dataverzoeken vanuit de VS.

[Reactie gewijzigd door Whatson op 1 februari 2016 10:44]

Hangt van het dataverzoek af. Op dit moment is er inderdaad een leuke zaak waarbij zij weigeren om data af te leveren, maar dat gaat om een verzoek van de FBI in een gewone zaak. Indien de NSA aan de deur komt kloppen met een verzoek onder regelgeving van de Patriot Act dan moet MS deze data gewoon afleveren en mogen ze daar niet eens tegen in beroep gaan. Ze mogen ook niemand inlichten dat ze die data hebben afgegeven.
Bij het inlichten ervan wordt het gezien als het gegeven van Staatsgeheimen en wordt je voor de geheime rechtbank gesleept.
En dan? Dan staat men daar te zwaaien met wat andere wetten zoals de Patriot Act en moeten de grote bedrijven alsnog de data afgeven en moeten ze er ook nog eens over zwijgen omdat het om staatsveiligheid gaat.

Zelfs met een wetgeving in de VS die de data van Europeanen gelijkstelt aan de data van Amerikanen op gebied van privacy zullen wij altijd minderwaardig behandeld worden daar er andere regels zijn die voorgaan.
Zelfs met een wetgeving in de VS die de data van Europeanen gelijkstelt aan de data van Amerikanen op gebied van privacy zullen wij altijd minderwaardig behandeld worden daar er andere regels zijn die voorgaan.
Wat daar eigenlijk staat, IMO, is dat op het moment dat de data van EU burgers en bedrijven de EU verlaat deze onder Amerikaansrecht gehandeld zullen worden. Recht waarop, nadat zo'n verdrag in werking treed, de EU geen vat meer heeft. Vraag me af of Safe Harbour onder Europees-recht wel juridisch legaal is.

Edit: typo
Ik vermoed dat redelijk wat van de bedrijven die hier door geraakt worden er niet zullen hebben vertrouwd dat dit allemaal wel goed komt. Een beetje bedrijf kijkt vooruit en anticipeert op dit soort juridische risico's, zeker de grote jongens als Google en Facebook die hierdoor waarschijnlijk flink onder vuur zouden kunnen komen te liggen.

Praktisch betekent het dat ze er voor zullen hebben gezorgd dat de data van EU burgers op Europese servers wordt opgeslagen. De complexiteit zal liggen in het verwerken van de data. Als een Amerikaanse adverteerder wil adverteren gebaseerd op voorkeuren van Europese gebruikers zal er toch ergens datauitwisseling moeten plaatsvinden.

[Reactie gewijzigd door Maurits van Baerle op 1 februari 2016 10:25]

Probleem is dat die bedrijven zelf gevangen zitten tussen 2 vuren op dit moment. Langs de ene kant heb je de EU die nu zegt: alle data moet binnen Europa blijven en mag de EU niet verlaten. Aan de andere kant heb je dus Amerikaanse bedrijven die onder Amerikaanse wetgeving vallen en die wetgeving stelt dat opsporingsdiensten binnen de VS het recht hebben die data op te vragen ook al staat deze data buiten de VS op een server.

Microsoft was hiervoor bezig met het opzetten van een nieuwe Azure dienst waarbij de uitbating zou gebeuren door een duitse firma. Hierdoor stond de data niet meer bij MS zelf en was de data dus veilig voor opvraging vanuit Amerika. Ik weet alleen niet hoe ver MS hier mee staat.
Tijd voor protectionistische maatregelen dus. Ik zou zeggen, laat de EC maar met een plan komen waarmee ze met een paar miljard de Europese cloud- en IT business stimuleren.

De VS weet toch dat we afhankelijk zijn van hun IT industrie. Water bij de wijn aan de andere kant van de Atlantische Oceaan gaat dus echt niet gebeuren.
En dan, dan stimuleer je met europees geld bedrijven en van zodra die wat groter worden staat een MS, Google, FB, Apple, ... op de deur te kloppen en met wat miljarden te zwaaien om ze over te nemen. En dankzij onze vrije markt kan je dat niet eens verhinderen.
Zolang deze bedrijven daarna niet worden gesloten (wat vrij dom zou zijn) is een overname door een van die drie grootmachten toch helemaal niet erg?
De EU zou dat dan kunnen verhinderen op basis van de afwezigheid van een data uitwisselingsverdrag.
Omdat VS bedrijven namelijk altijd verplicht zijn om data te overhandigen indien daarom wordt gevraagd ongeacht de locatie van het bedrijf, ze staan namelijk geregistreerd in de VS. Dat mag nu niet meer en kunnen ze in theorie dus ook niet de bedrijven hier in europa weer over nemen. Dan zou je namelijjk weer hetzelfde probleem krijgen.
Dus ik mag dropbox nu niet meer gebruiken om mijn facturen in op te slaan?
Ligt een beetje aan de factuur. Je mag vast je eigen gegevens wel daar neerzetten, maar niet gegevens van anderen.
Het zijn facturen van mij naar klanten, dus de NAW van mijn klanten staan erop.
Details over een mogelijk akkoord waren de laatste tijd beperkt tot informatie over het feit dat de VS een privacy-ombudsman had voorgesteld, die klachten van Europeanen over de datacollectie door de VS zou gaan behandelen. Ook was een Amerikaanse wet uitgesteld, die Europeanen gelijke rechten als Amerikanen zou bieden onder de daar geldende privacywet.
1. Onderhandelingen over (een gebrek aan) privacyafspraken worden geheim gehouden. Zij willen tenslotte wel privacy.

2. Stel je voor dat wij dezelfde rechten als Amerikanen krijgen. Wij Europeanen zijn toch gewoon een stel terroristen?
2. Stel je voor dat wij dezelfde rechten als Amerikanen krijgen. Wij Europeanen zijn toch gewoon een stel terroristen?
Op het moment hebben niet-Amerikanen minder rechten dan Amerikanen, maar zelfs gelijke rechten is niet goed genoeg. Dan vallen we onder dezelfde wetten als alle Amerikanen (Patriot Act, enz) en dat betekent nog steeds dat een vreemde overheid toegang heeft tot onze gegevens zonder dat wij, dwz. onze overheid, daar iets over te zeggen heeft.
In feite verandert daar niet zoveel mee en het zou de huidige situatie alleen maar legaliseren.
Het is nu zo dat de CIA de sleepnetmethode niet op Amerikanen mag gebruiken, maar wel op mensen van buiten de VS. Daar was een tijdje terug nog onrust over, tot Obama zei dat data verzamelen dmv sleepnetmethode alleen voor niet-Amerikanen geld. Toen was het ineens oke.

Kortom: er zitten zowel voor- als nadelen aan die rechtsgelijkheid.

[Reactie gewijzigd door Framoes op 1 februari 2016 15:19]

Zouden de meeste grote bedrijven niet al de voorkeur hebben dat data van Europeanen in Europa wordt opgeslagen? Betekent toch snellere toegang voor de klant.
De door de VS. georganiseerde "uitverkoop" van rechten en gegevens van EU. burgers en bedrijven middels Safe Harbour, TPP, TTIP, CISA, etc. kan gewoonweg niet door de beugel. Als een verdrag als TTIP wordt geratificeert dan vraag ik me af wat er, bv., op termijn nog van klimaatverdragen terecht moet komen

Voorwat betreft Safe Habour: als de Amerikaanse Big-data boeren graag EU. gegevens willen verzamelen kunnen ze dat middels bedrijven in de EU. doen. Daarmee vallen ze onder EU. recht en belastingplicht.

De geheimhouding omtrent al deze onderhandelingen doet de EU. geen goed en maakt haar democratischgehalte alleen maar ongeloofwaardiger.

Edit: typo

[Reactie gewijzigd door eheijnen op 1 februari 2016 10:43]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True