EU acht Japanse wetgeving voor bescherming persoonlijke data gelijkwaardig

De Europese Commissie heeft een zogeheten adequaatheidsbesluit genomen ten aanzien van de Japanse wetgeving op het gebied van privacybescherming. Dat betekent dat persoonsgegevens nu zonder nadere eisen tussen de EU en Japan kunnen worden uitgewisseld.

De Europese Commissie heeft dit adequaatheidsbesluit genomen omdat zij van oordeel is dat Japan een met de EU vergelijkbare mate van bescherming voor persoonlijke data biedt. Het gaat hierbij om de waarborgen die voortvloeien uit de Japanse Act on the Protection of Personal Information. Dit besluit betekent dat persoonsgegevens vanuit de EU, Noorwegen, Liechtenstein en IJsland kunnen worden doorgesluisd naar Japan zonder dat er nadere waarborgen in het leven moeten worden geroepen of anderszins maatregelen ter bescherming van de privacy moeten worden genomen.

Voordat de Commissie dit besluit over Japan nam, heeft het land nog een aantal additionele regels ingevoerd om te garanderen dat de bescherming van overgedragen data vanuit de EU in lijn is met de Europese standaarden. Het gaat bijvoorbeeld over nadere regels over de bescherming van gevoelige data of de voorwaarden op grond waarvan EU-data vanuit Japan mag worden doorgesluisd naar een ander land. Deze aanvullende regels zijn verplicht voor Japanse bedrijven die data vanuit de EU verkrijgen, waarbij de naleving kan worden afgedwongen door de Japanse onafhankelijke databeschermingsautoriteit en rechtbanken.

Verder heeft Japan een mechanisme ingesteld waarmee Europeanen een klacht kunnen indienen over de toegang van Japanse publieke instanties tot de persoonsgegevens. Japan moet deze klachten onderzoeken en oplossen. Tot slot heeft de Japanse overheid de Europese Commissie verzekerd dat Japanse publieke instanties in het kader van de nationale veiligheid of criminaliteitsonderzoeken alleen persoonsgegevens uit de EU mogen raadplegen als dat strikt noodzakelijk is en dit op proportionele wijze gebeurt.

De Commissie heeft eerder al adequaatheidsbesluiten genomen voor onder meer Argentinië, Canada, Israël, Nieuw-Zeeland, Zwitserland, Uruguay en de Verenigde Staten. Voor Canada is het beperkt tot commerciële organisaties en bij de VS is het beperkt tot het Privacy Shield-raamwerk. De Europese Commissie is op dit moment met Zuid-Korea in gesprek om ook voor dit land tot een adequaatheidsbesluit te komen.

De Europese Commissie heeft conform artikel 45 van de algemene verordening gegevensbescherming het recht om te bepalen dat een derde land of organisatie een adequate mate van gegevensbescherming waarborgt, al dan niet via de nationale wetgeving of de internationale verplichtingen waaraan het land of de organisatie zich heeft gecommitteerd. Het Europarlement of de Raad kan op elk moment de Europese Commissie verzoeken om het adequaatheidsbesluit in te trekken of aan te passen. Dit soort adequaatheidsbesluiten zien niet toe op de uitwisseling van data in het kader van rechtshandhaving.

Het adequaatheidsbesluit voor Japan is een aanvulling op de eerder gesloten handelsovereenkomst tussen de EU en Japan, die op 1 februari van kracht wordt. Deze handelsdeal en het adequaatheidsbesluit moeten ervoor zorgen dat bedrijven houvast hebben als ze werken met persoonsgegevens uit elkaars regio's en dat burgers hierbij het vertrouwen hebben dat hun gegevens goed beschermd zijn.

IT-banen

Reacties (30)

uip 23 januari 2019 15:01

Leuk om te horen dat de privacyvereisten in Japan op een even hoog niveau staan zoals in de EU!

MrRonnie @uip • 23 januari 2019 15:08

Nou hoog wil ik het niet noemen. eerder op overeenkomstig

walteij @MrRonnie • 23 januari 2019 15:23

Nou ja, de GDPR (en dus de AVG) is toch qua privacy bescherming wel een van de meer vergaande wetgevingen wereldwijd.
Microsoft vind de wetgeving blijkbaar dusdanig duidelijk en goed, dat zij de regels van de GDPR gewoon voor iedereen in de wereld gaan toepassen (bron)

That’s why today we are announcing that we will extend the rights that are at the heart of GDPR to all of our consumer customers worldwide. Known as Data Subject Rights, they include the right to know what data we collect about you, to correct that data, to delete it and even to take it somewhere else. Our privacy dashboard gives users the tools they need to take control of their data.

De GDPR gaat een stuk verder dan wetgeving in de meeste andere landen (inclusief de USA, Australie, China, veel landen in Zuid-Amerika, veel landen in Azie).

De GDPR geeft het recht grotendeels terug aan de person over wie de data gaat, privacy is persoonsgebonden en wordt gedefinieerd.

[Reactie gewijzigd door walteij op 22 juli 2024 23:33]

pepsiblik @walteij • 23 januari 2019 15:47

Je kunt het zien op absoluut niveau en op relatief niveau. Relatief gezien is de GDPR een van de meest vergaande. Maar dat GDPR beter is dan de rest, wil niet zeggen dat de GDPR ook aan alle privacy eisen voldoet.

walteij @pepsiblik • 23 januari 2019 15:51

Als ik moet kiezen tussen een aantal kwaden, zal ik dus altijd voor de minst kwade kiezen. In dit geval kies ik dus graag voor de GDPR.
Dat deze niet zaligmakend is, hoeven we niet over te discussieren, dat is nou eenmaal zo.

pepsiblik @walteij • 23 januari 2019 16:15

Mee eens!

bursche @walteij • 23 januari 2019 15:33

Microsoft vind de wetgeving blijkbaar dusdanig duidelijk en goed, dat zij de regels van de GDPR gewoon voor iedereen in de wereld gaan toepassen

Dat is echter niet de reden dat ze dit doen. Ze doen dit omdat multinationals niet houden van verschillende standaarden. En daarom passen ze alles aan naar de EU standaard, net als andere multinationals dat nu ook doen.

Verwijderd @walteij • 23 januari 2019 15:38

Nog een bijkomende reden waarom ze dit doen is zodat aldus confrom de GDPR de gegevens mogen exporteren naar andere landen waar lagere standaarden gelden. Zo kunnen ze bijvoorbeeld gegevens laten opslaan en verwerken in een land waar dit financiëel heel goed voor hen uit komt!

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:33]

Cergorach @walteij • 23 januari 2019 16:26

Microsoft vind de wetgeving blijkbaar dusdanig duidelijk en goed, dat zij de regels van de GDPR gewoon voor iedereen in de wereld gaan toepassen

Dat heeft helemaal niets met duidelijk en goed te maken, dat heeft te maken dat tegenwoordig de EU een dusdanige vinger in de wereldwijde pot heeft dat zelfs een multinational als MS bang is om weer eens een doelwit te worden voor een boete. Veel multinationals hebben te maken met vestigingen in de EU, als Office 365 vervolgens niet gebruikt kan worden omdat de data centers in locatie X niet voldoen dan zijn er weer allerlei issues.

Het is niet voor niets dat MS datacenters in bv. Nederland en Duitsland hebben geplaatst, issues met data, locatie en legaliteit spelen al veel langer dan dat de GDPR in het leven werd geroepen.

Honytawk @Cergorach • 23 januari 2019 16:55

Google en Facebook zouden anders ook eens bang moeten zijn om weer eens een doelwit te worden voor een boete.

RobinJ1995

@walteij • 23 januari 2019 17:06

Doen wij hier op het werk ook. Is eerlijk gezegd zowel bij ons als bij Rapid7 waarschijnlijk eerder omdat het gewoon eenvoudiger is zo.

jpsch @walteij • 24 januari 2019 07:22

Als MS het goed vind, is er nog ruimte voor verbetering. MS Komt toch elke keer weer in het nieuws met teveel gegevens verzamelen sinds Windows 10,

Jazco2nd @uip • 23 januari 2019 15:23

Grapjas. Hetzelfde besluit is ook genomen voor oa VS en Israel. Artikel wel helemaal gelezen?

Jester-NL @Jazco2nd • 23 januari 2019 16:30

Weet je wat... dan de hele quote:

De Commissie heeft eerder al adequaatheidsbesluiten genomen voor onder meer Argentinië, Canada, Israël, Nieuw-Zeeland, Zwitserland, Uruguay en de Verenigde Staten. Voor Canada is het beperkt tot commerciële organisaties en bij de VS is het beperkt tot het Privacy Shield-raamwerk.

Nou moet ik eerlijk zeggen dat ik allerhande internationale privacy wetgeving vandaag niet paraat heb, maar ik lees hier een belangrijke beperking voor de VS.

[Reactie gewijzigd door Jester-NL op 22 juli 2024 23:33]

barriie 23 januari 2019 15:16

Ik snap nog steeds niet zo goed waarom andere landen mijn persoonsgegevens moeten hebben. Of Nederland die van Japanners.

Dit besluit betekent dat persoonsgegevens vanuit de EU, Noorwegen, Liechtenstein en IJsland kunnen worden doorgesluisd naar Japan zonder dat er nadere waarborgen in het leven moeten worden geroepen of anderszins maatregelen ter bescherming van de privacy moeten worden genomen.

Waarschijnlijk snap ik het niet helemaal goed, maar zoals ik het begrijp kunnen alle gegevens nu zonder enig toezicht doorgesluisd worden? Wat word er dan bedoeld met doorgesluisd?

Verder heeft Japan een mechanisme ingesteld waarmee Europeanen een klacht kunnen indienen over de toegang van Japanse publieke instanties tot de persoonsgegevens.

Is dat ook in het Nederlands?

[Reactie gewijzigd door barriie op 22 juli 2024 23:33]

Verwijderd @barriie • 23 januari 2019 15:24

Ik snap nog steeds niet zo goed waarom andere landen mijn persoonsgegevens moeten hebben. Of Nederland die van Japanners.

Deze regeling is ook nodig als jij met je Nederlandse bedrijf een datacenter of serviceprovider in Japan wilt gebruiken.

Interessante casus: gebruik je nu een Brits datacenter, dan heb je zo maar kans dat je na 29 maart in overtreding van de AVG bent, in ieder geval bij een no-deal Brexit

walteij @Verwijderd • 23 januari 2019 15:49

Daar lijkt me weinig aan de hand te zijn. De AVG/GDPR is al enkele jaren van kracht en is sinds mei 2018 verplicht. De UK heeft dus een GDPR-compliant wetgeving, deze zal na een no-deal Brexit niet zomaar verdwenen zijn.
Het enige dat dan wél geregeld moet worden is dat de EU en het UK eenzelfde agreement maken als nu met Japan is overeen gekomen. Maar gelukkig kun je wél aan je klanten melden dat het betreffende datacentre gewoon GDPR compliant is.

batjes @walteij • 23 januari 2019 15:53

Engeland mag zelf om de tafel met de EU om dat geregeld te krijgen zoals Japan dat nu ook gedaan heeft.

En bij een no-deal Brexit, worden er geen deals gemaakt, dus ook niet voor het uitwisselen van privacy gevoelige data.

Verwijderd @walteij • 23 januari 2019 17:34

"Een no deal-brexit treft niet alleen goederenverkeer, dat dan stil komt te staan aan de grens, maar ook de digitale snelweg. Daarvoor waarschuwt branchevereniging Nederland ICT. Persoonsgegevens mogen zonder akkoord namelijk niet zomaar meer naar het Verenigd Koninkrijk."

https://nos.nl/artikel/22...rexit-en-hoge-boetes.html

houseparty @walteij • 24 januari 2019 09:53

Maar gelukkig kun je wél aan je klanten melden dat het betreffende datacentre gewoon GDPR compliant is.

En toch overtreed je dan de AVG/GDPR. Die Britse wetgeving mag dan wel de facto gelijkaardig zijn, legaal gezien moet die eerst als dusdanig erkend worden vooraleer privacy gevoelige data zonder nadere eisen uitgewisseld mag worden.

Je kunt aan je klanten melden dat via een desbetreffend Brits datacenter Britse diensten aan Britse burgers en/of Britse bedrijven aangeboden mogen worden. Kanaal-overschrijdende diensten zijn in het geval van een no-deal gelimiteerd.

Persoonlijke data mag namelijk niet zomaar gedeeld worden buiten de EEA (European Economic Area). Voor landen buiten de EEA ("third countries") geldt dat transfer van persoonlijke data vanuit de EEA niet toegestaan is, tenzij de Europese Commissie (en indirect het Parlement en de Raad) die wetgeving in dat land als gelijkwaardig bestempelt. Na Brexit wordt het VK een "third country", deal of no-deal. Dit betekent dat transfer van persoonlijke data vanuit de EU naar het VK gewoonweg niet toegestaan is na afloop van de Brexit transitieperiode, tenzij en/of totdat de Europese Commissie besluit dat de Britse "Data Protection Act 2018" gelijkwaardig is. Dit geldt zelfs voor interne gegevens van multinationals en group companies.

[Reactie gewijzigd door houseparty op 22 juli 2024 23:33]

blackbaby @barriie • 23 januari 2019 15:22

Alle Nintendo producten bijvoorbeeld, je identificatiegegevens van deze toestellen worden naar Japan doorgesluisd, bijgehouden en beheerd.

RoestVrijStaal @blackbaby • 23 januari 2019 16:02

Alsof dat al niet met ze werd gedaan.

Mishatje @RoestVrijStaal • 23 januari 2019 16:11

Maar nu is het legaal

Malarky @barriie • 23 januari 2019 15:31

De AVG spreekt dan ook niet over doorsluizen maar over 'verwerking' (de GDPR noemt dat 'processing')

Artikel 4 lid 4 AVG legt uit wat onder 'verwerking' kan worden verstaan:

"verwerking": een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

Oftewel een back-up in Japan = verwerking onder GDPR. Sterker nog, simpelweg het feit dat bij een multinational medewerkers in Japan toegang hebben tot persoonlijke gegevens van EEA burgers, die overigens zijn opgeslagen binnen de EEA, maakt al dat er sprake is van 'verwerking'.

Verwijderd @barriie • 23 januari 2019 15:34

Het is niet per de andere landen die je persoonsgegevens willen hebben, maar wel de bedrijven in die andere landen. Die bedrijven kunnen dan weer aan de slag met die gegevens voor verdere verwerking, analyse, marketing, profilering etc. Dit lijkt me in ieder geval zeer interessant voor grote tech bedrijven bv. omdat ze in Japan kunnen verwerken onder andere marktomstandigheden bv. lager loon of meer gespecialiseerd personeel in vergelijking met een bepaald EU land.

Met doorgesluisd wordt waarschijnlijk bedoeld dat de gegevens overgedragen mogen worden van een bedrijf dat in de EU werkzaam is, naar een bedrijf of instelling in Japan. Doorsluisen kan een negatieve connotatie hebben, hoewel het niet zo hoeft te zijn.

Zer0 @barriie • 23 januari 2019 17:53

Ik snap nog steeds niet zo goed waarom andere landen mijn persoonsgegevens moeten hebben

Vakantie in Japan, zaken kopen in Japan, diensten afnemen van Japanse bedrijven... diverse redenen waarom jouw gegevens in Japan terecht zouden kunnen komen.

Clogg 23 januari 2019 15:08

Als ik zie dat Argentinië ook op de lijst staat heb ik meteen geen hoge dunk meer van de eisen. Online privacy is iets wat ze hier niet kennen. Ze hebben er wel hele mooie wetten voor, maar totaal geen handhaving. Dus ben ik nieuwsgierig naar welke voorwaarden er dan gesteld worden.

Om even een voorbeeld te geven over het gebrek aan privacy, bij alle pin betalingen wordt hier om je DNI gevraagd en die moet je ook op de bon zetten. Je DNI is zo “uniek” dat het in feite je BSN is. Ook als je ergens meer informatie over wilt kun je er gif op in nemen dat er om je DNI gevraagd wordt.

Rudie_V @Clogg • 23 januari 2019 15:22

Het verdrag gaat niet over de privacyregels over de eigen burgers van de landen dit zo'n verdrag ondertekeken met de EU, maar het gaat erom dat als de EU gegevens uitwisselt met deze landen dat die landen over deze EU-gegevens dezelfde privacy waarborgen hanteren als de gegevens in de EU zelf genieten.

Clogg @Rudie_V • 23 januari 2019 15:26

Dit is precies mijn punt, ze kunnen hier niets waarborgen want er is geen enkele controle. Welkom in het nieuwe wilde westen

Rudie_V @Clogg • 23 januari 2019 16:06

Zonder alle details te weten kan je daar weinig over zeggen. Ik neem aan dat een verdrag als deze ook voorziet in een controle, dat moet hier in de EU ook.

Op dit item kan niet meer gereageerd worden.

EU acht Japanse wetgeving voor bescherming persoonlijke data gelijkwaardig

Lees meer

IT-banen

Reacties (30)

Sorteer op:

Weergave: