EU-Hof haalt streep door Privacy Shield en blokkeert datatransfers naar VS

Privacy Shield, het data-uitwisselingsverdrag tussen de EU en de VS, is van tafel. Volgens het Hof is het strijdig met de GDPR. De 'standaard contractuele clausules' blijven wel bestaan, maar door de surveillance in de VS wordt ook dat instrument voor de datadoorgiften een lastig verhaal.

Het Europese Hof van Justitie stelt in zijn uitspraak dat de overdracht van persoonlijke data naar een derde land gepaard moet gaan met een mate van bescherming die in essentie vergelijkbaar is met de mate van bescherming in de GDPR. De rechters vinden dat bij de beoordeling daarvan niet alleen de contractuele afspraken tussen de data-exporteur en de ontvanger moeten worden beschouwd, maar ook de relevante aspecten van het juridische systeem van dat derde land. Toezichthoudende instanties worden verplicht om de transfer van persoonlijke data naar een derde land te verhinderen als ze van mening zijn dat er geen sprake kan zijn van adequate databescherming.

Vervolgens kijkt het Hof specifiek naar de rechtmatigheid van de standaard contractuele clausules, of modelovereenkomsten. Dat is een door de EU goedgekeurd instrument waarmee Amerikaanse bedrijven gegevens van EU-burgers kunnen overhevelen naar de VS om ze daar op te slaan. Het zijn in feite contracten tussen twee partijen, waarbij een verwerker zich verplicht om op een bepaalde manier om te gaan met de persoonsgegevens. De rechtmatigheid van dit instrument hangt volgens het Hof per geval af van de omstandigheden, specifiek de vraag of er effectieve mechanismen zijn om te verzekeren dat wordt voldaan aan de vanuit de EU gewenste mate van databescherming. Volgens het Hof is dat het geval en kan de overdracht worden opgeschort als de voorwaarden worden geschonden.

In het licht van de eisen van de GDPR heeft het Hof ook gekeken naar de adequaatheidsbeslissing ten aanzien van de VS, die aan Privacy Shield ten grondslag ligt. Bij dat soort beslissingen wordt gekeken of een land dezelfde mate van databescherming kan bieden als de EU. De Privacy Shield-overeenkomst kwam in de plaats van het eerder door het EU-Hof verboden Safe Harbour. Het Hof noemt specifiek de 'beperkingen bij de bescherming van persoonsgegevens die voortkomen uit de Amerikaanse wetgeving over de toegang tot en het gebruik van die data door Amerikaanse autoriteiten'. Volgens de rechter stemt dit echter niet overeen met de eisen uit EU-wetten. Het Hof noemt specifiek de Amerikaanse surveillanceprogramma's en acht die niet proportioneel, omdat ze verdergaan dan wat strikt noodzakelijk is. Ook zouden Europese burgers hierbij geen rechten hebben die zijn af te dwingen in een rechtszaak tegen de Amerikaanse autoriteiten. Het Hof acht het door de Europese Commissie ingestelde ombudsmanmechanisme, dat een onderdeel is van Privacy Shield, onvoldoende. Daarom is dit raamwerk nietig verklaard.

Max Schrems is de Oostenrijker die achter deze zaak zit en ook verantwoordelijk was voor de eerdere zaak waarbij Safe Harbour nietig werd verklaard. Hij toont zich blij met het huidige oordeel. "Dit is een flinke klap voor de Ierse Data Protection Commission en Facebook. Het is duidelijk dat de VS zijn surveillancewetten aanzienlijk zal moeten aanpassen als Amerikaanse bedrijven een grote rol op de Europese markt willen spelen", aldus Schrems. Hij verwijst specifiek naar Facebook en de Ierse toezichthouder. Deze zaak en de vergelijkbare, eerdere zaak rondom Safe Harbour vinden hun oorsprong in Schrems bezwaren tegen de manier waarop Facebook in zijn ogen de Europese privacyregels schond, en in zijn frustratie over het gebrek aan actie van de Ierse waakhond. Schrems verwees daarbij eerder naar de onthullingen van Edward Snowden en dat de Amerikaanse Staat op grote schaal toegang heeft tot gebruikersgegevens.

Schrems maakt duidelijk dat na de huidige uitspraak van het Hof van Justitie de standaard contractuele clausules alleen nog te gebruiken zijn als er geen sprake is van conflicterende regelgeving. De Amerikaanse wetgeving die surveillance toestaat en daarmee haaks kan staan op de bescherming van persoonsgegevens van niet-Amerikanen, is daarbij een belangrijk struikelblok. Nationale toezichthouders moeten ingrijpen als de bij de scc betrokken bedrijven geen actie ondernemen bij het doorbreken van de bescherming van de data. Dat betekent bijvoorbeeld dat de Ierse DPC moet ingrijpen als Facebook niet handelt. Facebook heeft zijn Europese kantoor in Ierland, waardoor de DPC hier de relevante toezichthoudende instantie is.

Deze huidige uitspraak van het Hof van Justitie betekent volgens Europarlementariër Sophie in 't Veld dat bedrijven in feite geen persoonsgegevens meer legaal kunnen doorgeven van de EU naar de VS, bijvoorbeeld om ze daar op servers op te slaan. "De uitspraak is een drama voor bedrijven, maar is volledig te wijten aan het schoothondjesgedrag van de Europese Commissie bij de Amerikaanse regering. De Europese Commissie heeft in Washington DC tot nu toe nog nooit hard met de vuist durven slaan voor strenge privacygaranties voor Europese burgers en laat Amerikaanse massasurveillance op Europese burgers praktisch openlijk toe."

Deze huidige juridische situatie betekent overigens niet dat er geen e-mails vanuit de EU naar de VS gestuurd kunnen worden, of dat er in zijn geheel niets meer kan. Conform artikel 49 van de GDPR is de doorgifte van data immers nog mogelijk is als die 'noodzakelijk' is, bijvoorbeeld als de betrokkene nadrukkelijk heeft ingestemd met de voorgestelde doorgifte en op de hoogte is van de risico's. Het kan ook als de doorgifte nodig is om gewichtige redenen van algemeen belang of als het nodig is om aan een contract te voldoen. Volgens Schrems vormt dit nog altijd een solide basis voor de meeste transacties met de VS. Hij stelt dat dat land nu alleen geen speciale status en dus geen speciale toegang tot EU-data meer heeft, waardoor de normale situatie van de EU jegens derde landen weer van kracht is. Het Hof van Justitie stelt ook dat het oordeel geen juridisch vacuüm creëert.

Overigens keerden bedrijven zich al steeds meer af van de Privacy Shield-constructie en daarbij horende certificeringen, omdat het neerhalen van Safe Harbour al liet zien dat de juridische basis ineens kan wegvallen. Scc's bereiken in feite hetzelfde, doordat bedrijven via eigen contracten ook een juridische grond kunnen creëren voor de doorgifte van persoonsgegevens. Het idee is dat al die eigen contracten min of meer op zichzelf staan en daarmee niet zo snel onderuit kunnen worden gehaald.

De route van de scc's is ook na de huidige uitspraak van het Hof van Justitie overeind gebleven, al zal het lastig of praktisch onmogelijk worden dit instrument te blijven gebruiken bij datadoorgiften van de EU naar de VS, gezien de surveillanceregelgeving daar. Europese bedrijven die van dit instrument gebruikmaken, moeten waarschijnlijk hun outsourcingsbeleid onder de loep nemen als ze Amerikaanse bedrijven persoonlijke data hebben laten verwerken. De Amerikaanse ontvangers moeten nu waarschijnlijk op dezelfde wijze nagaan of ze vallen onder verplichtingen die voortkomen uit relevante Amerikaanse surveillancewetten. Als dat het geval is, kunnen ze de scc's niet gebruiken.

De Amerikaanse minister van Economische Zaken, Wilbur Ross, zegt in een reactie dat zijn departement diep teleurgesteld is dat het Hof van Justitie de adequaatheidsbeslissing ten aanzien van de Privacy Shield-overeenkomst buiten werking heeft gesteld. Hij zegt dat de uitspraak momenteel bestudeerd wordt om de praktische gevolgen volledig te doorgronden. Ross benadrukt ook dat de datatransfers essentieel zijn voor bedrijven en niet alleen voor die uit de techsector. Volgens hem zijn er momenteel meer dan 5300 Privacy Shield-participanten. De minister geeft aan dat het Amerikaanse ministerie van Economische Zaken het Privacy Shield-programma zal blijven toepassen; hij zegt dat de uitspraak van het Hof van Justitie deelnemende bedrijven niet ontslaat van hun Privacy Shield-verplichtingen.

Door Joris Jansen

Redacteur

Feedback • 16-07-2020 13:47 124

16-07-2020 • 13:47

124

Lees meer

Privacy Shield 2.0 en datatransfers

21 apr 2022

Privacy Shield 2.0 en datatransfers

Beschermt dit schild wél tegen surveillance?

12
President VS tekent decreet ter bescherming van data Europese burgers
President VS tekent decreet ter bescherming van data Europese burgers Nieuws van 7 oktober 2022
EU en VS bereiken akkoord over verzenden data van burgers naar VS
EU en VS bereiken akkoord over verzenden data van burgers naar VS Nieuws van 25 maart 2022
Meta stopt 'waarschijnlijk' met Facebook in EU als VS-datatransfers niet mogen
Meta stopt 'waarschijnlijk' met Facebook in EU als VS-datatransfers niet mogen Nieuws van 4 februari 2022
Oostenrijks hof vraagt EU-hof of Facebook met gebruikersdata GDPR 'ondermijnt'
Oostenrijks hof vraagt EU-hof of Facebook met gebruikersdata GDPR 'ondermijnt' Nieuws van 20 juli 2021
Europees Hof: bulkinterceptie van Britse GCHQ was in strijd met mensenrechten
Europees Hof: bulkinterceptie van Britse GCHQ was in strijd met mensenrechten Nieuws van 25 mei 2021
Ierse privacywaakhond mag verder met stappen tegen Facebook-datatransfers VS
Ierse privacywaakhond mag verder met stappen tegen Facebook-datatransfers VS Nieuws van 16 mei 2021
Max Schrems: Google overtreedt privacyregels met Android Advertising Identifier
Max Schrems: Google overtreedt privacyregels met Android Advertising Identifier Nieuws van 7 april 2021
Facebook moet privacyactivist Schrems inzicht in data geven en 500 euro betalen
Facebook moet privacyactivist Schrems inzicht in data geven en 500 euro betalen Nieuws van 29 december 2020
Facebook gaat in beroep tegen verbod op sturen EU-gebruikersdata naar VS
Facebook gaat in beroep tegen verbod op sturen EU-gebruikersdata naar VS Nieuws van 11 september 2020
Schrems dient klacht in tegen Marktplaats en Thuisbezorgd over datatransfers VS
Schrems dient klacht in tegen Marktplaats en Thuisbezorgd over datatransfers VS Nieuws van 18 augustus 2020
EU en VS starten gesprekken over 'verbeterde' versie van Privacy Shield
EU en VS starten gesprekken over 'verbeterde' versie van Privacy Shield Nieuws van 11 augustus 2020
EU wil dat bedrijven meteen databeleid aanpassen na stoppen Privacy Shield
EU wil dat bedrijven meteen databeleid aanpassen na stoppen Privacy Shield Nieuws van 25 juli 2020
Rechter wijst Facebook-verzoek af om datatransferzaak nog niet aan EU te geven
Rechter wijst Facebook-verzoek af om datatransferzaak nog niet aan EU te geven Nieuws van 2 mei 2018
Meer producten en artikelen
Politiek en recht Privacy Europa Europese unie Facebook Rechtszaak Verenigde staten

Reacties (124)

-Moderatie-faq
124
123
79
14
0
32
Wijzig sortering
Greeg 16 juli 2020 14:18
De organisatie Noyb (None of your business) achter deze rechtszaak wordt niet genoemd in het artikel. Noyb is een geesteskind van Max Schrems en nieuwe donateurs zijn daar altijd van harte welkom natuurlijk:
https://noyb.eu/en/support-us
Stangg @Greeg16 juli 2020 17:23
Ik ben ook al jaren trots lid.
De filosofie dat als je niet procedeert dat privacyregels dan alleen papieren tijgers zijn, onderschrijf ik volledig.
Yoshi @Greeg16 juli 2020 14:39
staat er wel degelijk in :-)
Max Schrems is de Oostenrijker die achter deze zaak zit en ook verantwoordelijk was voor de eerdere zaak waarbij Safe Harbour nietig werd verklaard. Hij toont zich blij
. en dan doorklikken op de link.

[Reactie gewijzigd door Yoshi op 25 juli 2024 09:14]

Lagonas @Yoshi16 juli 2020 15:11
Waar dan?.. Ik zie het namelijk ook niet.
Cosmic Toad 16 juli 2020 13:55
"De minister geeft aan dat het Amerikaanse ministerie van Economische Zaken het Privacy Shield-programma zal blijven toepassen; hij zegt dat de uitspraak van het Hof van Justitie deelnemende bedrijven niet ontslaat van hun Privacy Shield-verplichtingen."
Hoe bedoelt hij dit? Als Privacy Shield strijdig is met de GDPR, ontslaat het bedrijven toch per definitie van de betreffende contractuele verplichtingen? Of mis ik hier iets?
Arnoud Engelfriet
@Cosmic Toad16 juli 2020 14:36
Hij bedoelt volgens mij dat de Amerikanen doorgaan met Privacy Shield alsof het geldig is, zodat de Europese Commissie kan doen alsof we nog op de oude voet doormogen tot er een nieuwe afspraak is die de problemen met Privacy Shield oplost. Zeg maar we zijn de exit/migratiefase ingegaan en beginnen nu de inkoopprocedure voor een nieuwe dienst. Dit slaat nergens op juridisch want volgens het Hof is het Privacy Shield gewoon kaput, maar politiek is goed in het negeren van recht.
MSalters
@Arnoud Engelfriet16 juli 2020 17:06
Privacy Shield is natuurlijk een bijzondere constructie, omdat die beoogde om zowel voor de VS als voor de EU als bindend recht te functioneren. Deze uitspraak maakt duidelijk dat het in de EU onvoldoende is, en bedrijven die desondanks data exporteren handelen dus in strijd met EU recht.

Voor de Amerikaanse overheid is dat natuurlijk irrelevante jurisprudentie. De toepassing van Privacy Shield in Amerikaans recht kan er niet door veranderen. Bedrijven die de Amerikaanse kant van Privacy Shield overtreden kunnen dus ook onder Amerikaans recht veroordeeld worden.

De Amerikaanse overheid kan ook niet veel anders. Hun rechterlijke macht is onafhankelijk, dus het ministerie van Justitie zou wel bedrijven aan kunnen klagen. Maar de Amerikaanse rechters zullen dat soort zaken afwijzen precies omdat hun rechters gebonden zijn aan hun wetten, net zoals het EU hof nu alleen EU recht toepast.

Ik zie op korte termijn ook geen grote doorbraken. De VS is voorlopig niet van plan om de EU meer macht te geven om Amerikaanse bedrijven te bestraffen. En de EU heeft de facto niet de capaciteit om Facebook en Whatsapp af te sluiten.
wjn @MSalters17 juli 2020 06:40
Je hebt gelijk.
Probeer maar eens je gegevens op te vragen bij Whatsapp (waar je recht op hebt volgens de GDPR). Je komt op een doodlopend spoor terecht.
De AP is al een paar jaar bezig met mijn klacht (ben daar ook al over gebeld door de AP).
BeosBeing @wjn20 juli 2020 09:36
Probeer maar eens je gegevens op te vragen bij Whatsapp (waar je recht op hebt volgens de GDPR). Je komt op een doodlopend spoor terecht.
Helaas, is het voor de [u]individuele[/ul] gewone burger vrijwel onmogelijk om WhatsApp/Facebook/Messenger te vermijden. Hoewel er legio alternatieven zijn, zoals Signal, Twinme, Wire, Telegram, Viber, Skype, is het zo dat heel de omgeving communiceert met enkel die twee en weigert over te stappen. De zakelijke wereld zweert dan weer bij Microsoft's Skype, omdat het lekker integreert met Windows Domeinen, Exchange, Sharepoint, en Microsoft Teams.
jochemd @Cosmic Toad16 juli 2020 14:21
De Privacy Shield regeling zit enigszins apart in elkaar. Het komt er op neer dat bedrijven publiekelijk beloven om aan bepaalde privacy regels te voldoen, en vervolgens de FTC heeft beloofd dat als ze zich niet aan die belofte houden, ze deze bedrijven zullen vervolgen voor oneerlijke handelspraktijken (niet doen wat ze beloven).
Dat er nu een rechter heeft gezegd dat Privacy Shield niet genoeg is om data te mogen exporteren betekent nog niet dat de beloftes die bedrijven hebben gedaan plotseling vergeten mogen worden. Bedrijven hebben nog steeds beloftes gemaakt en de FTC zal ze nog steeds dwingen om die beloftes na te komen. (Voor zover ze dat uberhaupt al deden natuurlijk.)
beerse @Cosmic Toad16 juli 2020 16:19
Uiteindelijk vermoed ik dat het als volgt zit:
De Europese wet zegt dat de gegevens van de Europese burgers niet mag worden misbruikt, ook niet in de USA.
De USA wet zegt dat ze alle gegevens van alle Amerikaanse bedrijven kunnen opvragen en daar mee doen wat ze nodig achten (volgens mij behalve daar waar het Amerikanen betreft maar daar kan ik het mis hebben). Dus ook de gegevens van Europeanen die in de USA worden verwerkt. En volgens mij was er ook iets over gegevens bij Amerikaanse bedrijven in Europa, al heb ik at laatste niet scherp.
Bedrijven die gegevens van Europese burgers verwerken mogen dat dus van Europa niet in de USA doen (en mogelijk niet eens in Europa?). Tenzij ze daar expliciet toestemming van hebben gekregen van de Europese burger zelf.
De safe-harbor en privacy-shield zou een regeling moeten zijn om de rechten in bulk toch te regelen maar dat is nu dus voor de tweede keer teruggedraaid. De huidige tip is om het per bedrijf en/of zelfs per geval te regelen.
wjn @beerse17 juli 2020 06:39
Heel kort door de bocht:
Volgens Amerika hebben alleen Amerikanen (niet de native, maar blanke) rechten. Gegevens van Europeanen zouden ze daarom min of meer straffeloos kunnen gebruiken (misbruiken, voor advertentie targeting bijv.).
beerse @wjn17 juli 2020 09:45
Doet me denken aan een lesje geschiedenis: https://nl.wikipedia.org/wiki/Amerigo_Vespucci_(persoon)
Het continent en de bewoners van 'westerse' (Europese) komaf zijn vernoemd naar Amerigo Vespucci. Als ze de 'native' bewoners niet meer 'Indianen' mogen/durven noemen zouden ze historisch correct ook voor het continent een andere naam moeten kiezen.

En nu ik op Wikipedia lees dat Amerigo Vespucci een charlatan zou zijn en dat het (witte!) paard van Sinterklaas naar hem genoemd is, zou ik mij als Amerikaan nog meer generen voor die naam. Al zou de huidige president daar geen probleem hebben met de achtergrond van Amerigo.
dabronsg @Cosmic Toad16 juli 2020 14:05
De Amerikanen denken daar anders over. Zij willen alle data hebben ook als de EU daar anders over denkt.
Groningerkoek @Cosmic Toad16 juli 2020 14:06
Hier botsen dingen inderdaad, wat Europa betreft zullen bedrijven bepaalde dingen niet meer mogen doen, Amerika echter heeft helemaal niets van doen met deze uitspraak en zij kunnen bedrijven aan bestaande regelgeving en verdragen houden die nog steeds van kracht zijn in Amerika.

Wat in Europa verboden is, kan in Amerika nog steeds een verplichting zijn, en daarom zullen bedrijven nu moeten afwegen welke risico's en verplichtingen zij willen aangaan en waar zij hun dataopslag zullen gaan realiseren.
mcmlx @Cosmic Toad17 juli 2020 09:23
Volgens mij betekent dit dat bedrijven opererende in de EU en in Amerika in een spagaat terecht komen. Van de EU mag het niet, van Amerika moet het.
hherrie 16 juli 2020 14:04
De uitspraak en het persbericht zijn ook in het Nederlands beschikbaar.
AuteurKoekiemonsterr @hherrie16 juli 2020 14:10
Ja klopt, alleen toen ik begon met tikken nog niet geloof ik. Maar door de tijd ingehaald :) Ik voeg ze alsnog in, i.p.v. de Engelstalige.

[Reactie gewijzigd door Koekiemonsterr op 25 juli 2024 09:14]

wica @Koekiemonsterr16 juli 2020 15:00
De Nederlandse versie stond 7 seconde later op Internet dan de Engelse versie ;) (bijna 6 uur geleden)
Zowat alles wat door de EU gepubliceerd word in meerdere talen, komt zo'n beetje te gelijk op het net.
lasharor 16 juli 2020 14:04
De titel suggereert dat er geen data uitgewisseld mag worden terwijl in het artikel staat:
Deze huidige juridische situatie betekent overigens niet dat er geen e-mails vanuit de EU naar de VS gestuurd kunnen worden, of dat er in zijn geheel niets meer kan. Conform artikel 49 van de GDPR is de doorgifte van data immers nog mogelijk is als die 'noodzakelijk' is, bijvoorbeeld als de betrokkene nadrukkelijk heeft ingestemd met de voorgestelde doorgifte en op de hoogte is van de risico's.
Betekend dit niet dat bedrijven gewoon ergens een checkbox inbouwen met de mededeling dat data ook buiten de EU verwerkt mag worden. Ik kan me niet voorstellen dat dit op korte termijn echt handig gaat werken voor de consument. Dat je opeens geen toegang meer hebt tot je Facebook data omdat je het niet eens bent met dataopslag in de USA.
Arnoud Engelfriet
@lasharor16 juli 2020 14:39
Het gaat om situaties waarin jouw data bij een bedrijf A zit, en die ze aan B geeft voor bijvoorbeeld uitbestede klantenservice of cloudhosting daarvan. Dan moet A dus aan jou toestemming vragen voordat het naar B mag - en hij moet B daarbij noemen.

Oh ja, en detail: toestemming moet intrekbaar zijn zonder negatieve gevolgen. Opzeggen van de dienstverlening van A aan jou is best wel negatief, dus dat kan niet.

Dit is waarom ik altijd zeg dat je het verkeerd doet als je onder de AVG toestemming vraagt (tenzij je een nieuwsbrief hebt).
vickypollard @Arnoud Engelfriet16 juli 2020 19:27
Dit is waarom ik altijd zeg dat je het verkeerd doet als je onder de AVG toestemming vraagt (tenzij je een nieuwsbrief hebt).
Zou je dit iets meer kunnen toelichten? Is me niet helemaal duidelijk wat je hier precies mee bedoelt en wat dan volgens jou wel de bedoeling zou zijn.
Prx @vickypollard16 juli 2020 20:52
Arnoud heeft hier in september 2019 over gepubliceerd op zijn blog, met de titel "Wie toestemming onder de AVG vraagt, snapt de AVG niet (of heeft een nieuwsbrief)".

Een stukje eruit genomen:
Om een of andere reden hebben mensen het idee gekregen dat je onder de AVG overal toestemming voor moet vragen. Ik denk dat dat komt omdat toestemming als de eerste van de zes grondslagen in de wet staat (artikel 6.1 AVG) en men daarna ophoudt met lezen. Een kapitale fout wat mij betreft, met schandalige gevolgen zoals dat kinderen niet naar de tandarts gaan (wat ook volgens de AP onzin is.) Toestemming is de minst zinvolle en minst werkbare grondslag, en als organisatie moet je niet willen werken onder die grondslag.
Maar dus zeker de moeite waard om even te lezen (en zijn andere dagelijkse hersenspinsels). :)
vickypollard @Prx16 juli 2020 20:56
Thanks!
honey @Arnoud Engelfriet25 juli 2020 14:57
Dus, stel als arts wil ik iemand behandelen. Ik heb daar gegevens voor nodig van een ander ziekenhuis. Ik zou dus zonder toestemming van de patiënt deze gegevens kunnen opvragen, omdat ze noodzakelijk zijn voor mijn beleid?
Arnoud Engelfriet
@honey26 juli 2020 11:46
Noodzakelijk voor de medische behandeling, maar inderdaad. En ik snap ook niet waarom er bij het epd altijd met toestemming geschermd wordt.
Groningerkoek @lasharor16 juli 2020 14:10
Nadrukkelijk toestemming verlenen is in elk geval meer dan iets op pagina 5 van de algemene voorwaarden weg te stoppen, in hoofdstuk 5, paragraaf 4, sub 8 lid 4. En daarom goede zaak dit. Dat het ongemakken zal opleveren moeten we maar op de koop toenemen vindt ik. De exacte uitwerking zal nog even op zich laten wachten zoals zo vaak bij dit soort dingen.
Belgar @lasharor16 juli 2020 14:21
Alleen als dat een wederzijdse verplichting stelt.

"Ja ik geef toestemming voor verwerking van mijn data buiten de EU, mits deze dataverwerker kan garanderen, zoals vastgelegd in het GPDR, dat deze data privé blijft en de data niet in handen kan vallen van een derde partij anders dan de ontvangende partij"

Patriot act nog steeds van kracht? dan mag het nog steeds niet voor privacy gevoelige informatie, als die opslag in Amerika plaats vindt.
lasharor @Belgar16 juli 2020 14:36
Dus, dan kan je als EU burger opeens geen gebruik meer maken van Amerikaanse diensten.

Daar zit toch ook niemand op te wachten.
Belgar @lasharor16 juli 2020 14:46
Ze kunnen de data opslaan bij "europese data opslag inc", gevestigd in Nederland, datacentrum in Amsterdam.

Voor kleine diensten, ja jammer dan. Maar goed dit zit er ook pas 8 jaar aan te komen, niet dat iemand genoeg tijd had om voor te bereiden
poort @lasharor16 juli 2020 15:16
dus office 365 is ook een no go?
ollie1965 @poort16 juli 2020 16:35
Dat hangt af van wat voor contract je hebt, je kunt bijna alles in EU (Amsterdam, Dublin, Helsinki, Wenen) hebben staan. Alleen sommige cloud dingen van O365 staan nog in USA, maar daar komt voor sommige contracten ook verandering in bijvoorbeeld : nieuws: Microsoft zegt privacyrisico's Office 365 voor Nederlandse overheid t...
ictxs.nl @poort16 juli 2020 16:53
Niet per se.
Microsoft 365 slaat data van EU klanten op in de EU.
Het probleem komt nu bij Microsoft en afnemers te liggen om dit praktisch op te lossen.

Want de VS probeert via rechtzaken toch data op te vragen ondanks dat zowel klant als data in de EU zitten.

Dat is waarschijnlijk waar de rechtzaak over gaat, om dat dus te blokkeren. Want waarom data exporteren over een krappe datakabel als het voornamelijk in de EU wordt gebruikt en er voldoende datalocaties in de EU zijn.

Microsoft 365 wordt via licenties vanuit Ierland verkocht, dus EU.

Maar er zijn nog veel meer bedrijven dan Microsoft welke dit raakt die zoals facebook vrijwel onmogelijk één sociaal netwerk kunnen vormen als de EU persoonsgegevens dus in de EU moeten blijven. Al zal het technisch best te doen zijn, maar kost deze bedrijven dus veel meer en dat raakt hun verdienmodel.
xbeam @poort17 juli 2020 00:32
De gegevensbeschermingsautoriteit van de Duitse deelstaat Hessen heeft het gebruik van Microsoft Office 365 door scholen verboden omdat dit in strijd met de AVG
https://www.security.nl/p...5+voor+scholen+wegens+AVG
ELD @lasharor16 juli 2020 14:51
Ik zit wel te wachten om meer Europese concurrentie voor de "evil" 5.
fastedje @Belgar16 juli 2020 19:33
Volgens mij is die Patriot Act heel stilzwijgend omgetoverd in de Cloud Act, die veel grote cloudaanbieders al hebben geaccepteerd: https://www.google.com/am...e-cloud-act%3fhs_amp=true
Anoniem: 392841 @fastedje16 juli 2020 20:30
Nope, niet omgetoverd, CLOUD Act is een aanvulling op de Patriot Act. Weliswaar met eigen regelementen, maar het is bedoeld om de 'gebreken' *kuch* van de Patriot Act aan te vullen wanneer het om digitale zaken en privacywetten gaat.
Anoniem: 392841 @Belgar16 juli 2020 20:29
Belgar, Patriot Act is een tamme hond vergeleken bij het gedrocht genaamd de CLOUD Act wanneer het op digitale zaken aan komt.
kodak
16 juli 2020 13:54
Het kan wel verboden zijn, maar hoe gaat iemand er nu voor zorgen dat bedrijven de wet niet overtreden als er nauwelijks mogelijkheid op controle is?
CAPSLOCK2000
@kodak16 juli 2020 14:17
Het kan wel verboden zijn, maar hoe gaat iemand er nu voor zorgen dat bedrijven de wet niet overtreden als er nauwelijks mogelijkheid op controle is?
Perfecte controle is lastig, maar een oppervlakkige controle is heel makkelijk.
Als we eens beginnen met te kijken waar de websites van bedrijven zijn gehost (inclusief alle javascriptjes, plaatjes, webfonts en andere resources). Ik denk dat 90% nat gaat en gebruik maakt van Google, Amazon of Cloudflare op een manier die niet meer mag.

Als die dat allemaal zouden gaan veranderen (wat ik niet geloof) zou dat een enorme kickstart zijn voor een vernieuwde Europse hostingmarkt. Uiteindelijk denk ik dat bedrijven liever zaken doen met lokale partners dan met buitenlandse bedrijven, dat spaart gewoon een hoop papierwerk en juridisch gedoe. Dat ze het nu niet doen is omdat Amerikaanse bedrijven een betere deal bieden omdat ze een schaalvoordeel hebben waar eigenlijk niemand tegen op kan. Als de Europese markt groeit dan zal het ook makkelijker worden om lokaal een goede deal te krijgen.
MrBlues @CAPSLOCK200016 juli 2020 16:58
Dat gaat lastig worden nu artikel 11 en 13 zijn doorgevoerd. In de VS is het beter voor elkaar, Google is niet verantwoordelijk voor wat gebruikers op zijn platform uitvoert. Totdat zij hiervan op de hoogte worden gesteld en actie ondernemen.

De nieuwe privacy hatende EU artikelen 11 en 13 zorgen voor uploadfilters en linktax. Geen startup durft zich nu te branden aan het beschikbaar stellen van hosting met achter zich hijgende content eigenaren die miljoenenboetes op kunnen leggen voor acties van derden.
bkor @kodak16 juli 2020 14:15
GDPR/AVG verplicht in sommige gevallen (grote bedrijven) een Functionaris gegevensbescherming. Deze persoon hoort onafhankelijk te kunnen werken. Verder zal een groot bedrijf niet moedwillig een wet overtreden, naast dat ze mogelijk tijdens een audit (intern of extern) naar voren kunnen komen. Volgens mij is er prima mogelijkheid tot controle. Vergeet niet dat bedrijven ook een lijst horen te hebben op de verwerking van persoonsgegevens.
laptopleon @bkor16 juli 2020 14:22
GDPR is een Europese wet. Hoe gaan de Amerikanen (en anderen) hiermee om, want daar gelden de EU-wetten niet. Dat is nou net het hele eierëten. Overigens is zo'n functionaris ook vaak een papieren tijger aangezien het natuurlijk meestal gewoon een werknemer is. Dus hoe onafhankelijk kun je dan zijn? En dan hebben we het nog niet over de ZZP-ers / eenmanszaken waarbij je als eigenaar meteen ook je eigen Functionaris gegevensbescherming bent.

[Reactie gewijzigd door laptopleon op 25 juli 2024 09:14]

MMaI @laptopleon16 juli 2020 14:35
in de meeste gevallen is een dergelijke functionaris al een werknemer van het bedrijf bij een EU vestiging van het betreffende bedrijf. Dit was onder andere het geval bij Facebook, de data werd primair verwerkt door Facebook Ireland met een lokale functionaris. Wat nu niet meer (op dezelfde manier) toegestaan is dat Facebook Ireland als primaire verwerker de data onder hetzelfde contract doorsluisd naar Facebook US waar de data vervolgens onderhevig is aan de wetgeving in de VS.
oef! @laptopleon16 juli 2020 14:50
De Amerikanen zijn, los van de modelcontracten of scc's, geen partij meer in dit verhaal totdat er een nieuwe wet/amendementen wordt aangenomen in Amerika die uitwisseling wel weer mogelijk maakt.
De gdpr is van toepassing op Europese vestigingen van bedrijven die persoonsgegevens van Europeanen verwerken. Die bedrijven hebben zich hier aan de wet te houden dus zonder een geldig contract kan de verwerking überhaupt niet meer in Amerika plaatsvinden.
CAPSLOCK2000
@laptopleon16 juli 2020 16:48
Overigens is zo'n functionaris ook vaak een papieren tijger aangezien het natuurlijk meestal gewoon een werknemer is. Dus hoe onafhankelijk kun je dan zijn?
Klopt, maar hopelijk is zo'n functionaris wel afhankelijk van de IT-afdeling. Als het goed is rapporteert zo'n FG op het hoogste niveau, dus rechtstreeks aan de directie. De directie kan niet beoordelen wat de IT-afdeling doet, daar hebben ze typisch de achtergrond niet voor. De FG stelt vervelende vragen aan de IT-afdeling en meldt het bij de directie als de antwoorden niet goed genoeg zijn.

Vervolgens moet de directie dan een beslissing nemen en een oplossing zoeken of de verantwoordelijkheid op zich nemen. Zo wordt die beslissing weggehaald bij de IT-afdeling die altijd moet kiezen tussen veiligheid en functionaliteit en typisch ook zo door de directie beoordeeld worden.
De directie zal nooit zeggen "doe het maar onveilig", de directie zegt "zorg gewoon dat het werkt" Als de IT-afdeling zegt "het is niet veilig" dan reageert de directie daar typisch op met "daar zijn jullie toch voor? los het op. De IT-afdeling concludeert dan dat het alleen onveilig kan of dat er niet goeg geld/tijd voor goede oplossing is en maakt maar het beste van de situatie.

De FG blijft een gewone werknemer, maar wel eetje die vrij van conflicten is tussen veiligheid, functionaliteit en andere eisen. De uitkomst kan nog steeds zijn dat een onveilige oplossing wordt geaccepteerd, maar dat is dan de keuze en de verantwoordelijkheid van de directie.
MSalters
@laptopleon16 juli 2020 17:15
Overigens is zo'n functionaris ook vaak een papieren tijger aangezien het natuurlijk meestal gewoon een werknemer is. Dus hoe onafhankelijk kun je dan zijn?
Nee, dat is wettelijk verboden. De Functionaris Gegevensbescherming (FG) in de zin van de AVG kan geen gewone werknemer zijn, met een gewone arbeidspositie.

In het werknemersrecht heeft de werkgever expliciet het recht om de werknemer aanwijzingen te geven. (Artikel 660 BW). Het bedrijf mag de FG expliciet géén aanwijzingen geven. Het onderscheid kan niet helderder zijn.

Als ZZP'er mág je dus ook niet gegevens verwerken op een manier die het noodzakelijk zou maken om een FG in dienst te hebben. Vergeet niet, als ZZP'er heb je geen maximumboete van 2% van je jaaromzet, maar van 10 miljoen euro. En het is nogal duidelijk dat je als ZZP'er geen FG in dienst hebt.
Arnoud Engelfriet
@MSalters26 juli 2020 11:48
Vergeet die 2 procent, dat speelt pas als de 10 miljoen niet genoeg pijn doet. Een zzp'er kan dus gewoon de 10 miljoen krijgen, ook al lag de 2% veel lager.
Groningerkoek @kodak16 juli 2020 14:04
Net als met bijna alles kunnen zij die gepakt worden een boete krijgen, het idee is dat die boetes afschrikwekkend werken, op het moment dat je er genoeg pakt en de boetes hoog genoeg zijn zal het aantal overtredingen afnemen.

Je kunt het vergelijken met veel andere dingen zoals bijvoorbeeld door rood licht rijden, het zal altijd voorkomen maar de mate waarin is direct gerelateerd aan pakkans en de hoogte van de boete.
kodak
@Groningerkoek16 juli 2020 14:41
Alleen is die afschrikwekkende werking vermoedelijk gebaseerd op een situatie waarbij bedrijven zich konden voorbereiden dat ze er aan moeten voldoen en er daarvoor waarschijnlijk investeringen zijn gedaan. Hier staan waarschijnlijk veel bedrijven voor het probleem dat wat tot nu toe heel gewoon was plotseling niet meer mag en om daaraan te voldoen hun investering verdampt of extra investering vraagt die niet meer in verhouding staat tot de afschrikwekkende werking. Wetgeving is niet alleen een kwestie van er is vanaf nu nieuw inzicht en dus werkt de afschrikwekkende werking of controle die er tot nu toe was.
tweaknico @kodak16 juli 2020 15:35
Het is niet nieuw, Privacy Shield is de opvolger van Safe Harbour (het was vrijwel dezeflde verdrags tekst).
Dit keer MET de belofte de de US overheid zou toezien op naleving.... ergo
Het was niet of PS afgeschoten zou worden alleen maar wanneer. Toen PS werd opgetuigd was de deal in een week of twee of zo rond... inclusief nood ratificatie in parlementen. De verschillende partijen hebben hier een paar jaar tijd mee gekocht. Mogelijk deze stunt blijven herhalen? steeds nieuw verdrag tot het EU hof het weer afschiet na een paar jaar? Voor elk verdrag zal een nieuwe procedure aangespannen moeten worden.

mbt. afschrikwekkende werking: overtreding is al gauw 5-10% van de wereldwijde jaaromzet. (niet winst..).
kodak
@tweaknico16 juli 2020 15:59
Dat de kans er was dat het EU-Hof er een streep door kon halen was er zeker, maar dat ging ook op voor het toelaten. Het is immers geen gegeven. De rol van het EU-Hof is een afweging maken, niet jou voorspelling laten uitkomen.
Ik zie het kunnen ontstaan van een uitspraak die in je nadeel is niet als vergelijkbaar met het in laten gaan van wetgeving en de tijd die men daarbij heeft om aan te passen. Bij die wetgeving weet je namelijk waar je naartoe werkt. Bij een beslissing van het hof is het rekening houden met meerdere uitkomsten zonder dat je weet wat het zal worden. Daar zit een wezenlijk verschil in als het om investeringen gaat. Dat jij zoiets hebt van dan hadden ze er dus rekening mee kunnen houden is dan makkelijk gezegd.
tweaknico @kodak16 juli 2020 16:36
Safe Harbour en Privacy Shield waren vrijwel hetzelfde verdrag.
De een met zelf toezicht en de ander met toezicht door US overheid die daar geen tijd/zin in had....
Wat is het verschil?... Waarom zou PS dan wel goedgekeurd kunnen worden?
Het was niet mijn voorspelling maar die van NOYB (toen nog in wording).
kodak
@tweaknico16 juli 2020 17:10
Ik zie wel dat jij er geen verschil in ziet om PS met die wijzigingen acceptabel te vinden maar dat verandert weinig aan het feit dat het uiteindelijk een beslissing van het EU-Hof is die het niet perse met jou interpretatie van de wet eens hoeven zijn. Wie een bedrijf heeft en zorg draagt voor verwerken van persoonsgegevens zou er verstandig aan kunnen doen om het voor te zijn dat het EU-Hof zou kunnen besluiten dat PS niet past bij de rechten van de personen in de EU. Maar dat wil niet zeggen dat iedereen dat doet als de EC doet alsof het allemaal wel zou moeten kunnen. Ik weet niet hoe groot die groep bedrijven is die liever de verhalen van de EC wil horen maar die kan best aanzienlijk zijn. Tot nu toe heeft dat vooral gevolgen voor de personen en zie ik niet hoe dit nu echt gevolgen heeft voor de bedrijven die aan PS vasthouden.
Groningerkoek @kodak16 juli 2020 15:36
In de praktijk zal rechtspraak rekening houden met wat wel en niet schappelijk is en afhankelijk van de mate van werkzaamheden die nodig is om de situatie te veranderen bedrijven een bepaalde redelijke periode gunnen om de boel aan te passen. En er zal dus een periode zijn waarbij dit nog even doorgaat.
CAPSLOCK2000
@kodak16 juli 2020 16:59
Praktisch gezien ben ik het met je eens. Bedrijven kunnen niet zomaar overschakelen op andere systemen, en je kan zo ook niet zomaar op idioot hoge kosten jagen voor gedrag dat tot gisteren wettelijk gezien toegestaan leek.

Maar van binnen denk ik "eigen schuld, dikke bult".

Het zou geen verassing moeten zijn dat Privacy Shield ongeldig wordt verklaard. Iedereen die naar de situatie kijkt snapt dat de situatie onoplosbaar is zolang de Amerikanen A eisen en de Europeanen niet-A eisen. Het is ook helemaal niet moeilijk om te zien dat de Amerikanen die strijd altijd zullen winnen zolang het om Amerikaanse bedrijven gaan die vooral Amerikaanse werknemers en bezittingen hebben.

Zelfs als het juridisch gezien allemaal prima is kun je je afvragen hoe ethisch en moreel het is. In mijn ogen is het hufterig gedrag om de gegevens van je klanten/gebruikers/werknemers te hosten op Amerikaanse infrastructuur. Ik snap dat veel bedrijven die keuze eigenlijk wel moeten maken bij gebrek aan goed of betaalbare alternatieven, maar dat is niet meer dan een excuus.

Daarom vind ik het totaal geen verassing dat Privacy Shield ongeldig is verklaard en is het je eigen schuld als je zo naief bent geweest om daar in te geloven.

Helaas besef ik me dat de investering die nodig is om hier verandering in te brengen haast niet op te brengen is, zeker niet door kleine zelfstandig bedrijven die volledig afhankelijk zijn van externe dienstverleners.

Maar eigenlijk...
kodak
@CAPSLOCK200016 juli 2020 17:19
En misschien is dat bijna ondoenlijk zijn om er verandering in te brengen wel een van de redenen dat hier zo lang aan vastgehouden is. Maar uiteindelijk geeft dat nog geen antwoord op de vraag hoe dit blokkeren op papier nu gaat zorgen dat die verandering er wel gaat komen. Het zal waarschijnlijk niet de bedoeling van de uitspraak zijn om het maar in stand te laten houden terwijl ik niet zie hoe dit gaat zorgen dat de datatransfers niet in stand blijven. Straks zijn we 10 jaar verder en is er nog weinig aangepast?
CAPSLOCK2000
@kodak16 juli 2020 17:26
Ik zie het ook niet veranderen want de situatie is eigelijk al 10 jaar zo dat er of helemaal geen verdrag is, of dat iedereen grote twijfels heeft aan de geldigheid en zeker effectiviteit van zo'n verdrag.

Maar zo'n papieren blokkade is wel de eerste noodzakelijke stap. Zolang het allemaal wettelijk is goedgekeurd verandert er zeker niks. Bij mij op het werk zijn de juristen wakkergeschoten. Mijn verwachting is dat ze vooral veel moeite zullen doen om de status quo niet te verstoren zonder verantwoordelijk te worden gesteld, en dus niet om de situatie echt te verbeteren, maar er is wel iets aan de hand.

Het is misschien een beetje cynische visie, maar het beste wat er kan gebeuren is dat de juristen zo klem komen te zitten dat ze ook zeggen "hier gaan we niet aan beginnen, zoek maar een andere oplossing".

[Reactie gewijzigd door CAPSLOCK2000 op 25 juli 2024 09:14]

Anoniem: 1322 @kodak16 juli 2020 14:04
Of controle op mogelijk is...
Groningerkoek 16 juli 2020 14:01
Die Max Schrems mogen we dankbaar zijn voor zijn inzet, ook fijn om te zien dat het Hof van Justitie de EU het deksel op de neus drukt.
Rooligan @Groningerkoek16 juli 2020 15:08
Hij heeft het natuurlijk niet alleen gedaan. Hij heeft een stichting opgericht waarmee hij dit soort zaken onder de aandacht brengt. En niet alleen in Oostenrijk. Ze houden zaken in heel Europa in de gaten.
Zie de website voor de stichting voor meer informatie: https://noyb.eu/nl
En als je het belang van privacy inziet, dan kan je ze natuurlijk ook steunen.
ollie1965 @Rooligan16 juli 2020 17:07
En dat steunen wil ik wel, maar als ik ze wil mailen dan krijg ik van mijn eigen provider een bounce, en weet je waarom?
https://soverin.net/tls-required

Auw! :+
Maurits van Baerle
@Groningerkoek16 juli 2020 15:26
Het Europese Hof van Justitie is natuurlijk ook gewoon de EU. Je bedoelt de EC waarschijnlijk.

En ook de Europese Commissie zag deze bui denk ik al hangen toen PrivacyShield werd opgetuigd, ze hadden alleen niet zoveel keus omdat het snel moest gebeuren. Ik vermoed dat zij destijds ook best wisten dat het maar een stoplap was. Als PS niet snel werd ingevoerd dan waren van de ene op de dag allerlei bedrijven aan beide kanten van de oceaan in overtreding met best wat verstoring en economische schade tot gevolg.

Ik zie de Amerikanen niet zo snel serieuzer worden over de privacy van niet-Amerikanen (in de huidige situatie in de VS al helemaal niet) dus op de middellange termijn is de enige oplossing waarschijnlijk het volledige scheiden van Amerikaanse bedrijven in een zelfstandige Europese tak. Dat laatste ziet de EC natuurlijk graag gebeuren.

[Reactie gewijzigd door Maurits van Baerle op 25 juli 2024 09:14]

CAPSLOCK2000
@Maurits van Baerle16 juli 2020 17:46
En ook de Europese Commissie zag deze bui denk ik al hangen toen PrivacyShield werd opgetuigd, ze hadden alleen niet zoveel keus omdat het snel moest gebeuren. Ik vermoed dat zij destijds ook best wisten dat het maar een stoplap was. Als PS niet snel werd ingevoerd dan waren van de ene op de dag allerlei bedrijven aan beide kanten van de oceaan in overtreding met best wat verstoring en economische schade tot gevolg.
Het sneue is dat iedereen dit eigenlijk wel wist maar dat we niks hebben gedaan met de tijd die we hebben gekregen door Privacy Shield te accepteren. Doet me denken aan een andere crisis waar de wereld momenteel mee te doen heeft.
Ik zie de Amerikanen niet zo snel serieuzer worden over de privacy van niet-Amerikanen (in de huidige situatie in de VS al helemaal niet) dus
Een volledige oplossing zal wel lang duren, maar ik heb stiekem hoop dat het snel veel beter kan worden.

Ten eerste heeft een aantal Amerikaanse staten (sinds kort) een privacywet die veel lijkt op onze GDRP. De belangrijkste is Californie. Dat is een staat die heel invloedrijk is omdat die staat zo groot en rijk is (met onder andere Sillicon Valley en Hollywood) . Bedrijven kunnen het zich niet permitteren om de wetten van Californie te negeren, daar is die markt veel te groot voor. Maar om nou voor iedere staat een ander product te maken is ook nit handig. Daarom werken veel leveranciers volgens de strengste wetten die er zijn, dan weten ze zeker dat ze hun product overal kunnen verkopen. Een bekend voorbeeld is de autoindustrie. Californie bepaalt in z'n eentje het beleid voor heel wat automerken.
Ik hoop dat het ook zo met privacy gaat. Omdat het typsich om digitale systemen gaat maakt het voor de implementatie weinig uit of je het voor 1 staat doet of voor alle staten. Ik verwacht dus dat Amerikaanse bedrijven zich door het hele land aan de strengste wetten gaan houden, ook al is er geen fatsoenlijke nationale wet.

Ten tweede hebben zowel de Republikeinen als de Democraten hun buik vol van de tech-industrie. Weliswaar om heel verschillende redenen, maar ze zijn het helemaal eens dat deze bedrijven te veel macht hebben. Of je je nu druk maakt over cancel culture of technofacisme, iedereen vindt dat de tech-industrie aan de lijn moet worden gelegd. Zelfs Trump doet mee. Dan moet er toch iets mogelijk zijn?


Wat ik niet zie veranderen is dat geheime diensten praktisch ongecontroleerd toegang hebben tot onze data. Of dat nu voor staastveiligheid is, voor economische spionage, voor politiek manipualitie of wat dan ook, wij Europeanen zullen de Amerikanen op hun woord moeten geloven dat ze zich aan de regels houden en dat vertrouwen is er niet.
op de middellange termijn is de enige oplossing waarschijnlijk het volledige scheiden van Amerikaanse bedrijven in een zelfstandige Europese tak. Dat laatste ziet de EC natuurlijk graag gebeuren.
Ik ben bang dat je gelijk hebt. Ik vrees dat de volgend stap is dat internet ook wordt opgedeeld in gescheiden netwerkjes die alleen via streng gecontroleerde grensovergangen met elkaar kunnen communiceren. De meeste bedrijven zullen hun website alleen aanbieden in hun eigen markt en niet de moeite doen om die internationaal en globaal beschikbaar te maken. Zo breken we het netwerk-effect ("het verschijnsel dat ervoor zorgt dat een product of dienst meer waarde heeft voor iemand, naargelang er meer gebruikers zijn die hetzelfde product of de dienst al gebruiken" (naar wikipedia)) en verliest internet een hoop waarde.

[Reactie gewijzigd door CAPSLOCK2000 op 25 juli 2024 09:14]

Greeg @Groningerkoek16 juli 2020 14:14
En ook de snowden documenten waren essentieel in deze uitspraak.
MSalters
@Greeg16 juli 2020 17:18
Bron? Want ik lees dat niet in de gelinkte uitspraak.
Greeg @MSalters16 juli 2020 18:41
Daar zou ik even naar moeten zoeken. (zie onder links onder de quote)

In het artikel wordt het kort genoemd:
Het Hof noemt specifiek de Amerikaanse surveillanceprogramma's en acht die niet proportioneel, omdat ze verdergaan dan wat strikt noodzakelijk is.
De laatste link gaat over de originele zaak tegen safe harbor, deze zaak borduurt voort daarop.

[Reactie gewijzigd door Greeg op 25 juli 2024 09:14]

MSalters
@Greeg16 juli 2020 18:59
Dat is dus een opinie van Schrems, maar niet van de rechters. Deze uitspraak komt van de rechters, dus ik zie geen verband tussen de uitspraak en Snowden.
Greeg @MSalters19 juli 2020 12:17
De mening van CJEU. (Zie quote uit het artikel) Hier worden specifiek een paar van de surveilance programma's genoemd die Snowden naar buiten bracht:

https://www.eff.org/deepl...panies-inadequate-privacy

[Reactie gewijzigd door Greeg op 25 juli 2024 09:14]

killercow 16 juli 2020 13:51
goed bezig! Hopelijk openen Europese bedrijven nu ook eindelijk eens de ogen en gaan ze in Europa hosten, en Europese software ondersteunen.
WillySis
@killercow16 juli 2020 13:57
Als ik het goed lees mag het verstrekken van de data eigenlijk wel, maar onder een aantal voorwaarden. Eén van de voorwaarden is dat de data niet doorgegeven wordt naar andere landen.
De Amerikanen hebben nu het lot dus in eigen handen. Ze kunnen hun wetten verder aanscherpen zodat het doorgeven van data naar derde landen niet meer mag, of ze zullen er moeten leren leven dat ze niet zomaar alle data op kunnen eisen.
Mooi dat het "schoothondjes gedrag" nu eens doorbroken wordt !!!
kodak
@WillySis16 juli 2020 14:04
Ik denk dat je het te simpel verwoord dat het verstekken eigenlijk wel mag. Een van de belangrijkste eisen is dat we zelf controle hebben over wat er met de gegevens zal gebeuren. En zolang een land buiten de EU zijn eigen regels kan bepalen en achteraf kan wijzigen of in het geheim kan wijzigen is er dus onvoldoende controle. Hoe mooi je je contracten ook inricht.
4x4 @WillySis17 juli 2020 08:05
Alleen jammer dat dat aan één burger van de EU te danken is die de belachelijke wet aanvocht.
De overheden binnen Europa hebben alleen bewezen dat ze schoothondjes van de VS zijn en bereid zijn klakkeloos de gegevens van hun burgers aan de VS over te dragen.

Deze Schrems heeft een ongelofelijke gevoelige zenuw van de EU blootgesteld.
WillySis
@4x417 juli 2020 19:00
De heer Schrems staat er niet helemaal alleen voor, maar heeft de wet wel op persoonlijke titel aangevochten. Hij is ook ongelofelijk goed ingevoerd is de privacy regels en de verdragen van de EU en VS en een bekende voorvechter als het gaat om de persoonlijke privacy.

Wel knap dat je zoiets voor elkaar krijgt. _/-\o_
CrazyBernie @killercow16 juli 2020 14:01
Alles wat wij doen wordt al in Europa gehost. Alleen wel bij Amazon, Azure en Google. Zolang er geen Europese cloud provider is met een vergelijkbaar pakket aan diensten zullen wij niet snel overstappen. (Wij gebruiken geen infrastructure as a service wat prima bij Europese partijen kan).
The Zep Man
@CrazyBernie16 juli 2020 14:14
Zolang er geen Europese cloud provider is met een vergelijkbaar pakket aan diensten zullen wij niet snel overstappen.
Misschien komt dat er wel wanneer er door een gebrek aan concurrentie vanuit de VS een gat in de markt komt.

[Reactie gewijzigd door The Zep Man op 25 juli 2024 09:14]

Hoover @The Zep Man16 juli 2020 14:22
Infra zal hier niet het probleem zijn. De software zal het grootste probleem zijn.
Hier in Europa heb je geen echte grote software huizen als een Microsoft en Google.
Wellicht dat een Siemens, Philips, Nokia zoiets zouden kunnen opzetten, maar dat zie ik niet echt gebeuren.
Maurits van Baerle
@Hoover16 juli 2020 15:32
Je hebt natuurlijk geen software van Microsoft of Google nodig om een grote cloud provider te worden. Sterker nog, de meeste bestaande grote cloudproviders gebruiken ook geen software van Microsoft of Google, eerder Linux en FreeBSD.

Wat software betreft zou een grote Europese cloudprovider dus best moeten kunnen. Het probleem zal hem vooral zitten in de enorme hoeveelheid geld die je nodig hebt om er eentje uit de grond te stampen. We hebben in Europa wel middelgrote jongens als OVH en Hetzner maar die zullen tientallen miljoenen nodig hebben om te groeien tot een grote jongen. En tientallen miljoenen ophalen is in Europa nou eenmaal lastiger dan in de VS.
Hoover @Maurits van Baerle16 juli 2020 15:49
Nou, cloud is niet alleen infra ,Vm's en OS. Wat dacht je van bv Azure Logic apps, Powerapps, Power BI, Application Insights, API management, Service Bus, Zo kan ik nog wel tientallen componenten opnoemen die in Azure leven als software component. Dat is een hele andere competentie dan het hosten van VM's. Ik kan geen software huis in Europa opnoemen die dit soort componenten levert of zou kunnen bouwen.
Maurits van Baerle
@Hoover16 juli 2020 16:09
Uiteraard is Cloud meer dan alleen infra, maar ik zie bij geen van die toepassingen die jij opnoemt een reden waarom developers in Europa dat niet zouden kunnen bouwen of inkopen. Je kan mij niet vertellen dat we in Europa wel online videoplatforms, beurshandelplatformen, pricing and market datasystemen, business intelligence software, ERP systemen, CRM's, CMS-en, mobiele telecommanagementsystemen, navigatiesystemen of satelliet- en raketbesturingen kunnen coden maar niet de door jou genoemde toepassingen.

[Reactie gewijzigd door Maurits van Baerle op 25 juli 2024 09:14]

Simyager @Hoover16 juli 2020 14:33
Als ik zie hoe ver Siemens websites achterlopen, dan wil ik echt niet dat zij ook maar in de buurt van internetdiensten komen. Man het lijkt wel alsof ze hun websites sinds jaren 90 nooit hebben geupdate. Ja de websites werken, maar daar is ook alles mee gezegd...
Hoover @Simyager16 juli 2020 15:18
Daarom zie ik dat niet gebeuren. Op dat gebied lopen we hier in Europa wel achter en zijn we afhankelijk van de VS.
CrazyBernie @The Zep Man16 juli 2020 16:41
Ik zie dat niet snel gebeuren. De investeringen in research die Microsoft, Amazon en Google doen voor hun cloud producten zijn echt gigantisch er is gewoon geen Europese partij die qua Development in de buurt komt.

De hieronder genoemde Europese hosters zoals ovh, team blue, hetzner verbleken qua research en capex budget bij de grote cloud spelers. Daarvoor heb je niet miljoenen nodig maar miljarden en dan ieder kwartaal opnieuw.
mcmlx @CrazyBernie17 juli 2020 09:29
Euh, hosten in Europe bij de door jou genoemde bedrijven is feitelijk hetzelfde als hosten in Amerika....
Deze bedrijven vallen namelijk volledig onder de Amerikaanse wetgeving. Ze dienen jullie data wanneer justitie Amerika daar inzage in wilt hebben te overhandigen ondanks dat deze gehost wordt in EU-datacenter.
Als je dat niet wilt zal je toch echt moeten overstappen naar locale spelers.
beerse @CrazyBernie16 juli 2020 16:23
Er is geen cloud, het is gewoon de computer van een ander bedrijf.

En als dat een Amerikaans bedrijf is, de Amerikaanse overheid heeft heel (veel te) lange armen.
Blokker_1999
@killercow16 juli 2020 14:00
Dat is wel een heel simpele voorstelling van een complex probleem. Dit heeft weinig te maken met simpelweg hosting of van waar de software komt maar wel over wie er gegevens verwerkt. En dat pas je niet zomaar snel even aan.
killercow @Blokker_199916 juli 2020 14:18
Wat maakt het precies uit of het lastig is om zaken aan te passen voor hoe simpel de voorstelling van het probleem is?

Je mag veel data niet meer in de VS opslaan en verwerken. Deze data *moet* dus in Europa gehost worden. Dat daar werk aanvast zit is voor iedereen duidelijk, en dat er mogelijk niet direct adequate oplossingen zijn om alle features van azure, amazon *en* google's cloud op Europese grond met Europese moederbedrijven te repliceren is ook duidelijk en precies waarom ik roep om meer investering in Software uit Europa.
docdaneeka @killercow16 juli 2020 14:30
Allereerst maar even een (begin van een) lijstje met mail service providers dichter bij huis:
Sendinblue - Frankrijk
Mailerlite - Litouwen
Sender - Litouwen
GetResponse - Polen
Esputnik - Oekraïne
SendPulse - Oekraïne
Misschien ook leuk om een Spaanse of een Italiaanse te vinden?

Edit: Net nog een Nederlandse gevonden: Revue https://www.getrevue.co/

[Reactie gewijzigd door docdaneeka op 25 juli 2024 09:14]

Greeg @docdaneeka16 juli 2020 14:35
Mag ik dan Protonmail (Zwitserland) even pluggen als we het dan toch over privacy hebben
docdaneeka @Greeg16 juli 2020 14:40
Graag!
tweaknico @docdaneeka16 juli 2020 15:43
Soverin hier in NL? https://my.soverin.net/

[Reactie gewijzigd door tweaknico op 25 juli 2024 09:14]

bzzzt @docdaneeka16 juli 2020 15:31
Ik moet de eerste klant nog vinden die blij wordt dat mail via een vage partij in de Oekraïne wordt verzonden ipv via de US. Zeker als meer dan de helft van je klantenbestand toch een Microsoft of Google mailaccount heeft en de mail alsnog op een US server staat...
docdaneeka @bzzzt16 juli 2020 22:45
Vaag of niet, ze voldoen i.i.g. wel aan de Europese wetgeving.
En los van wat gebruikers/klanten zelf doen, heb je als leverancier ook je verantwoordelijkheid.

Het gaat hier niet alleen om het opslaan van een email, maar om het doorspelen of beschikbaar maken van alle privacygevoelige informatie. Die informatie houdt ook bijvoorbeeld in of je de mail gelezen hebt, geklikt hebt binnen de mail, je email adres, je naam, andere aan jouw email gelinkte nieuwsbrieven en wat er nog meer aan info te vergaren valt. Mailchimp heeft een hele waardevolle database ;)
TomBlijleven @docdaneeka17 juli 2020 15:54
Nog dichterbij huis hebben we er in Nederland ook een paar, hoor O-)
Zo heb je voor transactionele e-mail / SMTP, o.a.:
- Flowmailer (Rotterdam)
- InboxRoad (Amsterdam)
- SMTPeter (onderdeel van Copernica)
En als je met e-mailmarketing (automation) bezig bent hebben we:
- Spotler (Zoetermeer)
- Copernica (Amsterdam)
- HelloDialog (Haarlem)
En dan hebben we ook nog een heel lijstje aan andere Nederlandse SaaS providers. Aan nationaal aanbod dus geen gebrek ;)
MMaI @killercow16 juli 2020 14:31
dat is niet wat in de uitspraak staat. Het hosten/uitwisselen van data zal nog steeds toegestaan worden zolang de wetten en contracten voldoen aan de voorwaarden zoals gedefinieerd in GDPR.

Investering in software uit Europa lijkt me niet de oplossing. Het creeren van een oneerlijke concurrentie positie op de Europese markt door subsidies kan alleen maar in de weg staan voor innovatie, bedrijven in Europa die in de "hosting" of "cloud" actief zouden kunnen zijn hebben allemaal aan de zijlijn staan te wachten in plaats van actie te ondernemen. Dat ze nu jaren achter lopen hebben ze vooral aan zichzelf te danken, en in veel gevallen is de positie van deze bedrijven te verklaren door (te) goede bescherming van werknemers die niet productief of innovatief bijdragen.
docdaneeka @MMaI16 juli 2020 14:39
Dat staat toch niet in de weg om nu wel te kiezen voor Europese software, hosting partij, of mail provider, etc? Dat heeft ook nog eens niets te maken met subsidies of andere rechtse klachten. Laten we die hier buiten laten.
Bedrijven die nu voor Amazone, Mailchimp, Sendgrid, etc. kiezen lopen wel kans om aangeklaagd te worden.
MMaI @docdaneeka16 juli 2020 14:49
De bedrijven in jouw lijstje gebruiken allemaal diensten van Google, Amazon of Microsoft voor hun hosting en hebben ook 3rd party agreements voor doorsturen van data aan externe verwerkers. Deze data werd voorheen onder Privacy Shield uitgewisseld, maar moeten nu dus in aparte contracten opgenomen worden,
óf de betreffende bedrijven moeten gebruik gaan maken van hosting diensten in de EU.

Overigens is mijn bovenstaande reactie op @killercow die investering = subsidies noemde voor Europese software
docdaneeka @MMaI16 juli 2020 15:22
Dat neemt toch niet weg dat de keuze voor een Europese dienst al vele malen beter is dan de privacy data van je gebruikers zonder meer over te leveren aan een Sendgrid of Mailchimp?

Je was de eerste die het over subsidies had. @killercow had het alleen over investeringen door bedrijven niet over subsidies door overheden
dez11de @killercow17 juli 2020 08:09
Het is waarschijnlijk makkelijker om gebruikers of klanten een gewijzigde overeenkomst te laten tekenen waarin staat dat hun gegevens naar amerika worden getransporteerd voor verdere verwerken dan wachten op de opbloei van de europese cloudindustrie waarvan het zaadje nog geplant moet worden.
dehardstyler 16 juli 2020 13:53
Wauw, wat een fantastisch nieuws. :)

Wat zou er nu gebeuren met de data die bijvoorbeeld de AIVD en MIVD met de VS uitwisselen? Dat is zeker geheim en mag dus gewoon doorgang vinden?
Pablo @dehardstyler16 juli 2020 14:11
uiteraard.
GDPR en dat soort zaken zal nooit van toepassing zijn op AIVD/MIVD of welke geheime dienst dan ook
MSalters
@Pablo16 juli 2020 17:22
Correct. Dat is expliciet uitgezonderd van de werkingsgronden van de AVG. Logisch, want de EU mag alleen regels maken op de gebieden waar de EU bevoegd is. De EU gaat niet over geheime diensten, dus mogen ze daar geen regels voor maken.

Er zijn grensgebieden (wanneer is muziek cultuur, en waneer commercieel?) maar dit is geen twijfelgebied.
jochemd @dehardstyler16 juli 2020 14:14
Het grote probleem van de Amerikaanse regelgeving is dat je alleen als Amerikaan bij een rechter mag vragen om te beoordelen of wat NSA etc. doen mag. Als Nederlander heb je simpelweg geen enkele plaats waar je bezwaar kan maken omdat de Amerikaanse rechter je niet ontvankelijk zal verklaren omdat de wet alleen voor Amerikanen geldt en de Nederlandse rechter zal zeggen dat de Nederlandse wet niet van toepassing is op een buitenlandse dienst.
Bezwaar maken tegen de doorzending door Nederlandse diensten naar Amerika kan (in theorie) echter wel gewoon bij de Nederlandse rechter. Als dat bezwaar gegrond wordt verklaard dan zullen de Nederlandse diensten de doorzending moeten staken en de NSA etc. moeten vragen de gegevens te wissen. Het lijkt mij dus niet dat hier enige verandering in komt door deze uitspraak.

(In de praktijk is het natuurlijk alsnog zo goed als onmogelijk om bezwaar te maken omdat je niet te weten kan komen wat de diensten precies doen en dus zelden genoeg feiten kan verzamelen om een klacht te onderbouwen. En zelfs als je zou winnen dan nog moet je er maar op vertrouwen dat de NSA de gegevens echt verwijderd. Erg veel stellen je rechten dus niet voor.)
CAPSLOCK2000
@dehardstyler16 juli 2020 14:18
Volgens mij viel die data toch al niet onder Privacy Shield en zijn daar andere regelingen voor. Ik verwacht niet dat het formeel gezien veel verschil maakt voor onze geheime diensten. Aan de andere kant van de plas zal het meer impact hebben als we onze data niet zelf (zonder geheime dienst) uploaden naar hun servers.
field33P 16 juli 2020 14:34
Ik heb nu niet echt het idee dat er sprake is van schoothondjesgedrag bij de Commissie, wel van protectionistisch gedrag elders in de Europese instituties.
Arnoud Engelfriet
@field33P16 juli 2020 14:40
Deze uitspraak is het gevolg van een procedure van meneer Max Schrems (een privépersoon, activist) tegen de Europese Commissie en tegen de Ierse autoriteit persoonsgegevens. De EC heeft juist gezegd dat Privacy Shield mag en nationale overheden hebben zich ook altijd vóór PS uitgesproken. Dus hooguit het Hof van Justitie is protectionistisch, maar weten dat dan knap te camoufleren met hun uitspraken over geschonden mensenrechten.
jellebaris @Arnoud Engelfriet16 juli 2020 17:26
Er wordt in zoverre over mensenrechten gesproken dat het privacy recht van (europese) burgers ook in derde landen, zoals in dit geval de VS gelijkwaardig moet zijn gewaarborgd als dat deze hier zijn als men gegevens wil uitwisselen. Dat is in het specifieke geval van de VS niet zo, gezien de wetgeving daar en ook hebben europese burgers in de VS geen mogelijkheid zich hier juridisch tegen te verweren. Ik vind het dus juist heel goed dat dit nu getoetst is en dat de europese burger beschermt wordt.
Sjapmeister 16 juli 2020 14:43
Wat betekent dit voor de professionele cloud diensten van de grote Amerikaanse techreuzen als Microsoft, Apple, Amazon en Google?

En dan doel ik niet op de particuliere diensten maar de hosting van hele bedrijfsinfrastructuren van banken, etc?
Rooligan @Sjapmeister16 juli 2020 15:13
Blijkbaar vallen banken niet onder de monitoring wetten in Amerika. Dus die mogen door gaan met hun diensten. Zie https://noyb.eu/en/fact-c...ok-can-no-longer-rely-scc voor meer info.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq