Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

EU wil dat bedrijven meteen databeleid aanpassen na stoppen Privacy Shield

De EDPB, de Europese organisatie voor gegevensbescherming, stelt dat bedrijven per direct hun datatransfers tegen het licht moeten houden, nu de Privacy Shield met de VS illegaal is verklaard. Bedrijven die data verzenden onder deze regeling, moeten hier meteen mee stoppen.

De organisatie heeft een lijst met vragen en antwoorden online gezet omtrent het versturen van gegevens naar de Verenigde Staten. De EDPB wil dat bedrijven die data naar de VS versturen gaan kijken of hun beleid opnieuw geëvalueerd moet worden; wie nu nog gegevens verstuurt onder de Privacy Shield-regeling, is illegaal bezig, zo bevestigt de EDPB. Er is daarbij ook geen overbruggingsperiode en er moet meteen gestopt worden met het versturen van gegevens.

Het Europese Hof van Justitie vindt dat de overdracht van persoonlijke data naar een derde land gepaard moet gaan met een mate van bescherming die in essentie vergelijkbaar is met de mate van bescherming in de GDPR. Het Hof haalde vorige week daarom een streep door de Privacy Shield, het gegevensuitwisselingsverdrag met de VS, omdat de Amerikaanse wetgeving een minder goede bescherming biedt.

Er zijn nog wel andere mechanismen om gegevens uit te wisselen, die de EDPB uiteenzet in zijn vraag-en-antwoordsessie, maar deze moeten dus wel voldoen aan de GDPR. Als bedrijven denken dat hier niet aan voldaan kan worden, is de enige oplossing een clausule in het contract op te nemen dat er geen data wordt verzonden naar de Verenigde Staten.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Bauke Schievink

Admin Mobile / Nieuwsposter

25-07-2020 • 11:23

141 Linkedin

Submitter: AnonymousWP

Reacties (141)

Wijzig sortering
Ik ben heel erg benieuwd of er iets mee gaat gebeuren. Ik verwacht dat iedereen rustig de kat uit boom gaat kijken en pas in actie komt als anderen het voorbeeld hebben gegeven, en de EU denkt dat duidelijk ook. Toch gaat iedereen het zo lang mogelijk rekken, want er is eigenlijk geen oplossing.

De pijnlijke realiteit is dat de GDPR niet uitvoerbaar is in andere landen. Die zullen altijd hun eigen wetgeving boven een verdrag met de EU plaatsen. Je kan heel veel afspraken maken, maar als puntje bij paaltje komt, als de nood hoog genoeg is, zullen regeringen toegang tot data eisen als ze denken dat iemand die heeft. Of ze dat nu mag volgens het verdrag of niet, of de data nu in eigen land staat of niet, als er iemand bij kan zal dat vroeg of laat gedaan worden.
We kunnen het er over hebben of dat acceptabel is of niet - 100% garanties bestaan nu eenmaal niet in deze wereld) - maar volgens de GDPR mag het niet en dat is de wet waar we ons nu aan moeten houden.

De andere pijnlijke realiteit is dat we afhankelijk zijn van bedrijven als Microsoft, Google en Amazon. Zelfs als er voor alles een perfect alternatief zou zijn dan kost het nog bakken met tijd en geld om over te stappen. Dat gaat niet op korte termijn gebeuren.

Mijn verwachting is dat iedereen weer opzoek gaat naar uitvluchten. Mensen grijpen alles aan om de status quo te handhaven. Iedereen heeft het nu opeens over "Standard Contractual Clauses". Dat is een stel kant-en-klare afspraken die door de EU vooraf zijn goedgekeurd waar bedrijven gebruik van kunnen maken in hun internationale contracten.

Iedereen heeft het daar nu over omdat in de rechtszaak waarin Privacy Shield is afgekeurd ook is gezegd dat de SCC's niet automatisch ook zijn afgekeurd. Dat wordt nu opeens uitgelegd als dat alles in orde is als je SCC's gebruikt, maar dat is niet wat de rechter heeft gezegd. Het concept SCC is nog steeds toegestaan, maar de concrete implementaties moeten opnieuw de loep.
De SCC's moeten ook voldoen aan de GDPR, ze zijn geen uitzondering! SCC's zijn vooraf goedgekeurd, maar die keuring moet nu opnieuw en het is geen automatisme dat ze ongewijzigd door de keuring heen komen.

[Reactie gewijzigd door CAPSLOCK2000 op 25 juli 2020 12:18]

De SCC's moeten ook voldoen aan de GDPR, ze zijn geen uitzondering!
Een primair voorschrift waaraan SCCs moeten voldoen is een contract clausule die stelt dat beschikbaarstelling van gegevens uit het EU land van herkomst aan de rechtspersoon in de niet-lidstaat onmiddelijk gestaakt wordt wanneer deze rechtspersoon onder de wetgeving van deze niet-lidstaat de veiligheid en privacy van deze gegevens in overeenstelling met de GDPR niet kan garanderen.

Dankzij het bestaan van de CLOUD act kan dat niet met bedrijven in de VS.

Die SCCs zijn dus wel geldig, maar de verwerking onder de SCCs is dat niet. Ook nu niet.

Dat is de belangrijke nuance die drie-kwart van de journalistieke berichtgeving compleet mist.

[Reactie gewijzigd door R4gnax op 25 juli 2020 13:49]

Toen clouddiensten populair werden kwamen aanbieders en klanten ook tot de conclusie dat het niet alleen voordelen heeft. Mede door verwachtingen die anders niet konden worden waargemaakt zijn SH of PS niet altijd het uitgangspunt. De aanbieders weten ook dat ze kritische klanten hebben op gebied van GDPR en beschikbaarheid. Niet voor niets zijn er over europa datacenters bijgekomen. Minder afhankelijk van landen buiten de EU, meer controle enz. De discussie zal dus niet alleen om behouden gaan maar ook weer om de waarde van buiten de VS hosten. Mensen (die de bedrijven vormen) zijn niet alleen maar uit op behouden wat er is.
Een EU DC is NIET voldoende tegen CLOUD act / PATRIOT act
Als een bedrijf een vestiging heeft in de US moet het leveren, onder geheimhoudig, gewoon via de US voordeur.
En dat heeft tot gevolg dat er minimaal discussie over gaat ontstaan wat dan wel acceptabel is. De uitspraak zorgt er namelijk niet voor dat bedrijven zich zomaar aan de verandering gaan houden maar ook niet dat ze niets zullen veranderen. Daar is meestal eerst discussie over binnen bedrijven en tussen bedrijven (klanten, leveranciers enz). Die hebben allemaal een eigen mening over wat er dan wel acceptabel is. Simpelweg stellen dat de huidige oplossing niet acceptabel is is nog geen oplossing voor wat er dan wel gewenst is.
Het afschieten van Safe Harbour was de wakeup call.
Privacy Shield was een lapmiddel om uitstel te krijgen... het was geen oplossing.
(hetzelfde verdrag onder een andere titel is vragen om problemen in de toekomst. Ik verwacht niet dat de politiek nog een keer op dezelfde manier de kop in het zand gaat steken. en een zelfde verdrag nog een keer gaat gebruiken om dat weer een paar jaar te rekken totdat het weer wordt afgekeurd na doorlopen van alle juridische procedures, niet dat ze onvoldoende boter op het hoofd hebben om het te doen).
Wat ik me afvraag, niet gehinderd door kennis : valt cloudopslag van bedrijfsdata (klantgegevens etc) bij Microsoft, Google, Amazon en/of anderen hier ook onder?
Indien ze de data in de VS opslaan, is dat hoogstwaarschijnlijk het geval.

Tav. Dropbox weet ik het zeker. Dit is wat er in de overeenkomst staat die ik met ze heb:

EU-U.S. and Swiss-U.S. Privacy Shield Programs. Dropbox is certified and complies with the EU-U.S. and Swiss-U.S. Privacy Shield Programs. If the Privacy Shield Programs are invalidated, Dropbox will use commercially reasonable efforts to comply with alternate or successor data transfer mechanisms..

Het was al jaren duidelijk dat Privacy Shield afgeschoten zou worden. Dat is waarschijnlijk de reden dat Dropbox hier schrijft over alternatieven Ik geloof dat Dropbox die alternatieven nog niet heeft. Als EDPB gelijk heeft, betekent dat, dat iedereen die persoonsgegevens in Dropbox opslaat, daar per direct mee moet stoppen. Da's nogal wat!

Ik vind het trouwens een goede zaak dat dit is afgeschoten: Ik denk niet dat je de Amerikaanse overheid kunt vertrouwen op dit gebied.

[Reactie gewijzigd door strompf op 25 juli 2020 11:54]

commercially reasonable efforts
Wat een mooie voorwaarde voor of je je (al dan niet) aan een wet gaat houden... :+
Nee hoor, ze kunnen ook gewoon DB voor Europa afsluiten zodat ze voldoen aan de wet.
Als dat voor hen commercieel gunstiger is.
Misschien commercieel gunstiger, maar niet reasonable. Deze frase valt in dezelfde categorie als "goed koopmanschap". Daar zijn ook vele rechtzaken overheen gegaan omdat scherp te definiëren.
Tuurlijk wel redelijk. Een bepaalde markt is niet rendabel? Dan doe je daar gewoon niet meer mee. Prima optie, je bent echt niet verplicht wereldwijd te opereren.
Mijn punt is dat "redelijk" een vaag begrip is. Wat jij redelijk vindt, vind ik misschien niet redelijk.
Het gaat er hier dan ook om wat DB redelijk vind.
Nee hoor. Als de klant en Dropbox het oneens zijn gaat het naar de rechter en die zal dan bepalen wat verstaan moet worden onder "redelijk". En dat is dus mijn punt. Het is een vage term die voor meerdere uitleg vatbaar is.
Als DB vind dat ze niet meer de Europese markt kunnen bedienen met commercieel redelijke inspanningen. En dan besluit de markt te verlaten. Dan heb je als klant gewoon het nakijken.
Wat wil je namelijk waar gaan afdwingen?
Dat is dus gewoon echt niet waar. Als de voorwaarden voor handelen in de EU veranderen, kan een buitenlands bedrijf niet gedwongen worden tot blijven handelen in dit gebied. Het is dan een vrije keuze voor zo'n bedrijf om activiteiten te staken. Hoe ze dit doen met hun bestaande klanten is dan ook aan hen (ik vermoed iets van: hier is je data, hier is een lijstje alternatieve diensten die binnen de EU draaien, bedankt).
"Dropbox will use commercially reasonable efforts to comply with alternate or successor data transfer mechanisms.."

Er wordt nergens gesproken over het verlaten van de markt. Mijn punt is gewoon dat wat zij "redelijk" vinden, hun klanten niet perse "redelijk" vinden. Voorbeeld: DropBox gaat nu alleen versleutelde data versturen tussen de EU en de VS, maar een klant vindt dat nog steeds risicovol en eist dat het versturen van data compleet stopt. Wat is nu redelijk?

Overigens kan DropBox misschien wel willen stoppen in de EU, maar dan zullen ze toch gehouden zijn aan hun contract. Zoals je zelf ook al zegt, kun je niet zomaar de handjes in de lucht steken en van al je verplichtingen weglopen. Er zal dan een overgangsregeling moeten komen waarbij klanten de tijd krijgen alternatieven te zoeken. En in die tijd zal DropBox wel gewoon aan de wet moeten voldoen. Zo'n transitieperiode kan best wel langer dan 6 maanden in beslag nemen. Zeker voor klanten met veel data en/of specifieke eisen. Daarnaast hebben we het nog niet gehad over schadevergoedingen (jij wil stoppen DropBox? Hier is de rekening voor mijn data migratie.)
Dus er zijn gerechtelijke uitspraken welke als jurisprudentie kunnen worden genomen om het een dropbox te verbieden om hun product niet meer in Europa aan te bieden...

Geloof er niets van, heb je daar bewijs van.
Niet wat er staat.

Ze zeggen dat ze aan een set regels voldoen en zullen blijven voldoen.

Ze zeggen ook dat als die regels niet meer voldoen, ze iets anders in de plaats zullen zetten, mits commercieel haalbaar

Mijns inziens niet gek. Een simpele manier zou kunnen zijn een Europese spinoff te doen, die geen deel uitmaakt van het Amerikaanse concern.

Heel commercieel haalbaar is dat echter niet, lijkt me. En ze verplichten zich niet tot compliance in ieder geval.
Daar gaat het niet om, ze moeten zich aan de wet houden op straffe van boetes die ze zeker zullen krijgen.

Het enige wat hier staat is dat een alternatief voor privacy shield niet zo'n grote investering moet zijn dat ze er, bij wijze van spreken, failliet aan gaan want anders gebeurt er... iets.

Dat "iets" is natuurlijk dat ze zich terugtrekken uit de Europese markt maar dat zal niet worden uitgesproken.
Wat ga ik als consument merken van dit alles?
Je zult binnenkort nog ergens ongelezen een vinkje onder zetten.
Dit vind ik wel een trigger. Als Google dit zal vragen, dan heb je als consument geen andere keus om akkoord te gaan, tenzij je geheel geen Google diensten meer wilt gebruiken. Wat is dan de waarde van zo’n wet, als het in de praktijk niks uit gaat maken?
Trump krijgt veel kritiek en lof voor het verbieden van huawei producten. Je kunt je afvragen of de EU misschien hetzelfde doet met Amerikaanse tech. Is het niet allebei een vorm van protectionisme om de eigen markt te beschermen?
Als je de markt van persoonsgegevensverwerking bedoeld, ZEKER.
Je data is in de US juridisch vogelvrij, in de EU niet (helemaal).
Ik bedoel de markt van cloudservices en online advertenties.
Advertentie bedrijven met targeted advertenties doen dus aan verwerking van persoonsgevens.
Facebook is advertentie profielen verkoper, google is advertentie verkoper.
Ok, en zou het niet mooi zijn als we dat binnen de EU niet zelf deden? Valt een smak geld in te verdienen...
PrivacyShield gaat over Business-2-Business gegevensverwerkingen, niet Business-2-Consumer.

En m.b.t. de zakelijke variant van Google genaamd Google Suite kun je gewoon een Data Processing Agreement naar het EU model afsluiten. En daarbij kun je ook specifiek voor opslag in de EU kiezen.

Het zijn de VS bedrijven die geen hosting in de EU bieden en/of geen DPA naar EU model hebben waarmee EU bedrijven geen gegevens meer mogen uitwisselen.
niet helemaal waar, de cloud act geeft trump de macht data op te vragen die door een amerikaans bedrijf wordt beheerd ongeacht wat het is opgeslagen. Dus dan maakt een Europees datacenter niet uit.
Dat is wel in context van VS burgers. In daarbij kan elk land met VS een overeenkomst aangaan waarbij de CLOUD Act ook wederkerig van toepassing is.
De cloud act spreekt helemaal niet over data over burgers. Maar data (generiek) is opeisbaar, als dat toevallig persoonsgegevens blijken soit...
Plus dat niet-VS burgers sowieso geen rechten hebben in de VS.
De GDPR verbied dit he, je kunt nee zeggen. Is toch ook zo?
Wat ga ik als consument merken van dit alles?
Minder kans op diefstal van je identiteit met alle financiële en andere gevolgen van dien.

Minder kans dat je gevolgd en afgeluisterd wordt door de Amerikaanse geheime diensten in het geval je interessant bent voor ze (in de toekomst) om je politieke mening, je technologische kennis, bedrijfsgeheimen, je klanten, je beroep (journalist met kritiek op Amerika?) of je vrienden (ken je iemand die journalist is?).

Oftewel: als je het merkt, dan merk je het in de vorm van niet lastig gevallen worden :P
Nou ja die kans zal niet heel veel afnemen. De Nederlandse inlichtingen leveren altijd trouw aan de US en qua tappen doen we per hoofd van de bevolking in verhouding ook niet onder voor Amerika geloof ik.
Dan is er wel iets van een rechtshulp verzoek. Dus dan werkt de NL overheid mee. (daar is onze overheid zeker toe in staat, het zal ook niet voor het eerst zijn).
Onder de oude regeling kon alles via een eigen zijdeur binnen US bedrijven geregeld worden.
Je krijgt nu waarschijnlijk ook 2 pop-ups als je een site bezoekt. De eerste voor cookies en de tweede dat ze je data gebruiken.
Office 365 is een interessante. In principe staat data in de EU (als je dat contractueel afgesproken hebt), tenzij je naar de US reist. Dan wordt alles gecached op US servers... dus je mag even gaan uitzoeken wie van je medewerkers er de afgelopen jaren die kant op zijn gegaan en welke data ze vanuit daar benaderd hebben...

AWS heeft een aantal zaken die global zijn en niet regio specifiek. Of daar klantdata in gebruikt wordt verschilt per service en bedrijf. Hetzelfde geldt voor GCP.

[Reactie gewijzigd door RobbieB op 25 juli 2020 12:02]

Bij O365 kan je ook encryptie gebruiken met je eigen key. https://docs.microsoft.co...rview?view=o365-worldwide
"Customer Key provides additional protection against viewing of data by unauthorized systems or personnel, and complements BitLocker disk encryption in Microsoft datacenters. Service encryption is not meant to prevent Microsoft personnel from accessing customer data"
Dus Microsoft kan wel aan je data komen?
In dit geval moet hun server altijd jouw gegevens ontsleutelen dus links- of rechtsom is de sleutel bekend bij Microsoft.
En volgens de cloud act kann de amerikaanse overheid data opvragen die door een Amerikaans bedrijf wordt beheerd ongeacht waar de data staat dus het hosten in Europa maakt het niets beter.
BYOK werpt serieuze limitaties op aan je O365. Veel features werken gewoon niet in een BYOK setup. Dus zeker daar rekening mee houden.
dat is vooral bij HYOK. Dan raak je echt features kwijt. BYOK lever jij je key zelf aan maar gaat het wel in de key management systems. je bent san vooral zelf in control of en wanneer je de key invalidate. wel goed beheren... anders kan ook MS niets voor je doen om je data terug te krijgen.
Kwestie van werken via een VPN van het bedrijf (in eigen beheer dus), in Europa. Wellicht een stuk minder snel maar dat is dan maar zo.
Maar kun je dat afdwingen in een wereld van bring your own device en mobieltjes?
Tuurlijk, gewoon een block/allow list bijhouden voor de IP ranges die je toelaat, niks vanuit de VS voor werknemers, alleen toegankelijk via een EU adres, moet prima technisch mogelijk zijn.
Sterker nog je kunt ook gewoon alles via die vpn laten lopen (en dan evt door een uitgaande firewall).
Zo is dat bij een bedrijf waar ik werk. Onze O365 laat alleen verbindingen toe vanuit onze bedrijfsnetwerk. Dus VPN is verplicht voor de users, anders geen mail (bijv)
Wij verbieden BYOD. En als we er achter komen dat mensen toch binnen willen komen met eigen apparaten gaan we een stevig gesprek met ze aan.

Hetzelfde met bedrijfsapparaten waar mensen eigen dingen op willen zetten. Eerst toestemming vragen, die vrijwel altijd word geweigerd.
Fijn, zo'n helpdesk it-er die mij gaat zitten vertellen onder welke voorwaarden ik mijn werk ga doen.

Als je binnen een bedrijf een ondersteunende rol hebt naar de collega's die het geld verdienen voor de organisatie dan past een houding zoals hierboven niet. Dan ben je uiteindelijk niet meer relevant en zijn de Indiërs die jouw werk overnemen méér service-gericht dan jij, en dat wil wat zeggen.

En ik ken de Indiërs, en nee, ik wordt er ook niet gelukkig van, maar het is een stuk beter dan IT-support die niet support.
Dit is normaliter niet iets wat de helpdesk zelf verzint, maar bedrijfspolicy die ze uit moeten voeren. Je bent dus boos op de verkeerde mensen. Los daarvan zijn er genoeg redenen te bedenken om niet door de organisatie beheerde devices van je bedrijfsnetwerk te weren, en is het nog altijd de werkgever die bepaalt op welke apparatuur je je werk doet, en niet jij als werknemer.
Policy is een woord dat wordt gebruikt in argumenten door mensen die zelf geen zin meer hebben om na te denken.

Ik begrijp best dat een helpdesk niet iets bepaald, maar een IT staf afdeling. Daar mist vaak de zin en urgentie om ondersteunend te zijn.

Overigens ben ik niet boos, ik reageer op de enorm kortzichtige mening van @Fijinees en vind dat er in de IT dienstverlening te vaak dit soort patronen te zien zijn.

BYOD betekent niet alleen dat je een 'open' netwerk hebt, maar tegelijkertijd dat je processen niet laat plaatsvinden op apparatuur van gebruikers. Dus bijvoorbeeld geen email anders van voor persoonlijke communicatie. Nooit persoonsgegevens op laptops. Nooit Excel spreadsheets waar processen in leven.

Het vereist een andere manier van denken over organiseren van werk. Zodanig zou een totaal virus-geinfecteerde of door vreemde mogendheden overgenomen machine nooit een groot effect mogen hebben op de stabiliteit van (de automatisering van) de organisatie.
Dat hangt dus zeer of wat er exact onder BYOD verstaan wordt.
Als je tablet/telefoon/laptop UITSLUITEND een viewer van data op centrale systemen is, dan heb je gelijk.

Als Excel (grote zware sheets, die niet in een browser lopen) de norm is zal er data op een PC terecht komen. Al is het gedurende de looptijd van het programma.
Als er PC centric applicaties draaien op basis van bestanden dan wordt BYOD een dingetje.
BYOD = Nooit Excel spreadsheets waar processen in leven. -> Wat heeft dat met elkaar te maken?
Verder zal de IT staf afdeling niet alleen het BYOD beleid bepalen, maar hopelijk een management team of directie die ook HR belangen daarin zullen afwegen. Tenzij zo'n bedrijf een 'IT afdeling autocratie' heeft natuurlijk, maar dan heb je heel andere problemen dan met welk apparaat je verbinding maakt met dat bedrijf ;)
Omdat als bedrijf je niet verantwoordelijk kunt zijn voor de privé laptop of andere devices die een werknemer of externe mee brengt. Je kunt dus nooit toestaan dat er processen worden uitgevoerd of data wordt verwerkt als dat risico's met zich meebrengt.

Dat betekent niet dat je geen apparatuur van werknemers kunt gebruiken, maar voor dit soort dingen échte oplossingen moet inrichten.
Nou nee. De eigenaar van het bedrijf in dit geval.

Ik heb als enig eigenaar BYOD verboden voor iedereen die voor mij werkt. Ik wil dat de IT jongens controle hebben over alles waarmee contact met bedrijf word gezocht. Daar stellen we laptops en telefoons voor beschikbaar.

Als jij voor mij zou werken zou dat niet lang zijn schat ik in. Als jij denkt dat jouw gratis virusscannertje beter is dan de services die wij implementeren wil ik jou helemaal niet op mijn netwerk hebben.
Het lijkt nogal strikt wat Fijinees zegt, maar als je bv in een organisatie werkt waarvan je weet dat 9 van de 10 werknemers mogelijk stomme dingen gaat uithalen waardoor je netwerk in gevaar komt als ze veel ruimte krijgen in wat ze gebruiken en de dingen die ze gebruiken niet noodzakelijk zijn voor hun werk (bv omdat het bedrijf al een ander programma er voor heeft of omdat wat ze willen gebruiken niet assisteert bij hun eigen takenpakket noch eventuele 'overname' van taken), dan neem je gewoon geen risico.

Als je werknemers een prima staat hebben qua digitale veiligheid op het werk, dan kan je ze wat meer ruimte geven. Als echter bv meer dan de helft er niet in zou slagen een wel heel erg 'on-the-nose' phishingmail te herkennen, dan moet je veel minder verantwoordelijkheid en ruimte aan de gebruiker overlaten.
Je hebt maar 1 zwakke schakel nodig om je veiligheid te reduceren, dus ik begrijp niet dat u een grens trekt bij een percentage medewerkers dat stomme dingen gaat uithalen. Al is het er maar 1 op de 1000, dan zet u nog steeds uw digitale veiligheid op het spel.
Tja, altijd een probleem, daarom heb ik zelf liever niet bring your own device bij bedrijven. Of het bedrijf moet een vergoeding tbv. afschrijving Geven voor het gebruik van je persoonlijke apparaat
Wat ik me afvraag, niet gehinderd door kennis : valt cloudopslag van bedrijfsdata (klantgegevens etc) bij Microsoft, Google, Amazon en/of anderen hier ook onder?
Ja. Onder de CLOUD act kan de VS dwingen om partijen die deels vanuit de VS opereren en onderhevig zijn aan hun wetgeving, gegevens af te staan ongeacht waar deze ter wereld opgeslagen liggen.

Per definitie mogen persoonsgegevens dus door bijna geen enkele grote commerciële partij ter wereld verwerkt worden, want ze hebben allemaal hun oorsprong in de VS of een vertakking in de VS.

Ze kunnen wel een clausule in een contract opnemen dat gegevens niet met de VS uitgewisseld zullen worden, zoals EDPB voorstelt, maar dat zet geen zoden aan de dijk want wetgeving staat boven zulke contracten en ze moeten er toch gehoor aan geven.

Enkel met bedrijven die middels gescheiden puur-Europese dochterondernemingen werken, zit je goed. Een moederbedrijf in de VS kan dan weliswaar gedwongen worden om data bij een dochterbedrijf op te vragen, maar heeft bij een gescheiden dochteronderneming geen pressiemiddel om de dochter te dwingen daaraan gehoor te geven. Tegelijkertijd valt die dochter onder EU recht en mag van de GDPR die gegevens niet afstaan. Dus deze zal dat ook niet doen.

Dit is zo ongeveer de enige werkbare manier om de CLOUD act buiten spel te zetten. Voor al het verdere rest je alleen het paardemiddel om alle samenwerking met partijen die deels in de VS opereren, te staken.

[Reactie gewijzigd door R4gnax op 25 juli 2020 13:36]

Er is lang een discussie gevoerd of AMSIX een US kantoor moest hebben (pre CLOUD act).
Toen was de beoordeling dat de US niet zou kunnen dwingen tot afluisteren.
Ik weet niet wat de huidige status is, het lijkt mij (niet jurist) dat ze alleen maar moeten vragen hoe veel ze van de bitpijp moeten aftakken.
Er is lang een discussie gevoerd of AMSIX een US kantoor moest hebben (pre CLOUD act). Toen was de beoordeling dat de US niet zou kunnen dwingen tot afluisteren.
Verschrikkelijk naief van de organisatie achter AMSIX dat dit hun standpunt was.

Je kunt niet weigeren mee te werken. Doe je dat toch dan is dat vziw een federaal misdrijf en kan er in principe een lading federale politie of veiligheidsagenten bij de amerikaanse vestiging binnenvallen om het hele boeltje over te nemen, zonder dat e.e.a. ooit naar buiten komt. Als deze vestiging toegang heeft tot alle zelfde systemen als de nederlandse, dan is op dat moment de plaatsing van een tap een gegeven feit.

[Reactie gewijzigd door R4gnax op 26 juli 2020 17:12]

Veschrikkelijk naïef om te denken dat AMSIX dtit niet snapt.

AMSIX-US moet uiteraard meewerken, en alles doen wat ze kunnen. Alleen: dat is by design weinig. Dat kantoor heetf de Amerikaanse klantentlijst, en die kunnen ze op verzoek overhandigen. Waarschijnlijk is er nog een langer lijstje met commerciële leads voor de sales-afdeling.
Veschrikkelijk naïef om te denken dat AMSIX dtit niet snapt.
Nochtans is dat wat @tweaknico schreef: AMSIX zou hebben beoordeeld dat ze niet gedwongen konden worden om mee te werken aan afluistering.

Als dat statement niet klopt, dan reageer je hier op de verkeerde persoon...
Als AMSIX-US TOEGANG hebben tot de systemen in Amsterdam, dan moeten ze ook daar data van oplepelen.
Dus hopelijk hebben ze idd. uitsluitend toegang tot US data. (en op systemen die physiek gescheiden zijn van de overige systemen). Al kan de US kant van de pijplijn tappen ook aardig wat over de andere kant vertellen....

Is er meer te vinden over de scheiding tussen AMSIX en AMSIX-US en hoe dat zich verhoud tot alle relevante wetgeving (AVG?GDPR, CLOUD, PATRIOT etc).

[Reactie gewijzigd door tweaknico op 27 juli 2020 18:12]

Voor azure is het alleen telemetry die naar de vs 'kan' gaan. Over de rest van de data zeggen ze dat dit binnen de region blijft
Dat kan men helemaal niet zeggen want in de VS geldt de patriot act. Dat betekend dat de diensten in de VS gewoon toegang tot jou gegevens hebben zonder dat ze je erover in mogen lichten. Waar de servers staan, doet er niet toe. Amerikaanse bedrijven zijn verplicht alle gegevens over te dragen aan de diensten indien de diensten daarom vragen.
En de wereld vind dat allemaal prima, op een paar uitzonderingen na. Als China hetzelfde in een wet vat is diezelfde wereld te klein.
"maar de US is toch een bondgenoot?! Dan is het niet erg toch?" roept men dan altijd.

Sorry hoor, maar als mijn vrienden/bondgenoten mij gaan bespioneren en stiekem mijn persoonlijke gegevens gaan 'stelen' dan zijn het geen vrienden/bondgenoten meer hoor 8)7

[Reactie gewijzigd door MonkeyJohn op 25 juli 2020 15:43]

Dat hebben ze al meerdere keren gedaan en dat zijn dan de zaken die wij, als Europeanen, zelf hebben ontdekt. Denk hierbij aan het afluisteren van de telefoon van Angela Merkel en het grootschalig kopieren van data van de duitse geheime dienst zonder dat hierom is gevraagd. Vals spelen mag als niemand het maar ziet is de modus operandi van de USA.
Dit hebben we niet zelf ontdekt, dat kwam door de onthullingen van Chelsey Manning.
Ik snap wel wat je bedoelt en ben het daar tot bepaalde hoogte mee eens. Aan de andere kant is China wel een autoritair systeem wat het met de mensen rechten niet zo nauw neemt.
Ik zou in China absoluut niet willen wonen, ik zou daar ook zo de gevangenis indraaien want ik kan echt niet tegen zo'n systeem van onderdrukking.
Ik de VS zou ik gewoon kunnen wonen en al die trump aanhangers uitlachen/ uitschelden, afhankelijk van mijn bui.
De wereld van dat helemaal niet prima, het is tegen de Europese wet. Dat is nou precies het probleem wat in dit artikel besproken wordt.
Laat ik het anders zeggen. De overheden in veel landen vinden verdragen als Safe Harbor en Privacy Shield wel geweldig, anders hadden er niet aan meegewerkt.
Veel burgers interesseert het al helemaal niet.

Maar als China maatregelen neemt met veel dezelfde onderdelen als in Amerikaanse wetgeving staan diezelfde politici op hun achterste benen
Het ligt wat anders tegenwoordig. De CLOUD Act maakt het verplicht voor elke Amerikaanse provider om data te overhandingen, onafhankelijk waar de data zich bevindt.

https://en.wikipedia.org/...ft_Corp._v._United_States
Dit lijkt een groter gevaar dan Huawei.It is de boer al likefolle at de ko skyt of de bolle
ja, imo is de angst van Trump voor Huawei vooral de angst om zijn eigen spionage apparatuur kwijt te raken in de wereld.
Een soortgelijke insinuatie werd eerder deze maand in de VK gedaan tijdens een parlementaire sessie. Volgens mij was het commentaar in de richting van dat apparatuur van andere landen ook kritisch bekeken moest worden.

Edit: ik zal de exacte citaat later vandaag proberen te vinden.

[Reactie gewijzigd door Ra5a op 25 juli 2020 16:18]

Dit LIJKT niet een groter gevaar, het is zo.

Ook was de wetgeving in de VS er eerder, maar daar was de EU inclusief het VK helemaal mee akkoord.Safe harbour en privacy shield is niet voor niets zeer snel overeengekomen en ingevoerd.

1 van de redenen dat ik geen enkele overheid vertrouw.
Met een bevel wel gelukkig, maar inderdaad een kwalijke zaak. Betekend in de praktijk dat je al onderzocht wordt door de vs gok ik
Nou, ze zullen geen 450 miljoen bevelen hebben uitgevaardigd :+
Dat bevel echter mag een partij niet openbaren tenzij de geheime rechtbank welke die uitgevaardigd heeft daar toestemming voor geeft, en dat gebeurt bij mijn weten nooit. Of het bedrijf moet tot aan de Supreme Court het bevel gaan aan vechten.
En wat zit er in telemetrie? Locaties? wie wanneer wat gebruikt? (werktijden profiel), ..
en waarom niet alle keystrokes, voor het debuggen van keyboard profielen, teksten voor het checken van de spellcheckers etc.

Telemetrie is net zo vaag als DATA.
heel kort: ja.
Nog een goed artikel hierover: https://blog.iusmentis.co...nou-eens-met-de-us-cloud/

Ben wel benieuwd wat voor gevolgen dit heeft voor de Microsoft clouddiensten zoals Azure en Office365.
Arnoud haalt terecht een streep door die speciale clausules. Dankzij de CLOUD Act is er nooit de garantie dat persoonsgegevens in de Europses cloud bij Europese dochterondernemingen niet uiteindelijk in de VS eindigen.

Ik stel voor dat als je al de cloud gebruikt, je alles al lokaal versleuteld hebt voordat je het naar de cloud stuurt. Welke cloud je ook gebruikt.

@Robbie: Het probleem is niet het verdrag. Het probleem zijn andere wetten zonder respect voor landsgrenzen welke inlichtingendiensten een carte blanche geven om te mogen snuffelen, compleet met gag orders, en bij weigering mee te werken je een fikse boete kan verwachten. Owja, en de lokale toezichthouder valt onder het Ministerie van Binnenlandse zaken. Onafhankelijk, m'n neus.

[Reactie gewijzigd door mischaatje2 op 25 juli 2020 12:10]

Dan heb je het alleen over opslag / IaaS? Bij SaaS en PaaS lijkt me lokaal encrypten niet mogelijk.
toch wel bij Office365 is het mogelijk om alles te encrypten met een key die je zelf hebt
Ah ja, sommige applicaties zullen dat misschien wel ondersteunen, goed punt.
Ben benieuwd hoeveel zelfbouw applicaties dat ook ingebouwd hebben, of bv iets als een SAP, Dynamix, etc. Geen idee!
SAP is Duits, dus dat komt goed. Voor de rest blijft de vraag staan, uiteraard.
SAP cloud draait op Azure volgens mij
Dat betekend nog niet dat Microsoft bij de gegevens kan. Het zijn nog steeds SAP systemen op azure hardware.
Volgens mijn info is dat helemaal niet het geval. BYOK is helemaal geen oplossing, enkel HYOK is te vertrouwen en de lijst van applicaties binnen azure die dit ondersteunen is heel heel beperkt.
Een paar SAAS bedrijven werden zelf encrypted door ransomware :+
Versleutelde persoonsgegevens zijn nog steeds persoonsgegevens. Dus ook versleutelde persoonsgegevens mag je volgens dit nieuwsbericht niet opslaan of verwerken in de VS.
Niet alleen MS. Ook AWS heeft bv ook services die nog niet in de EU regio beschikbaar zijn, maar wel gebruikt worden.

Een ander voorbeeld is Salesforce. Hoewel ze een EU cloud aanbieden zijn er genoeg bedrijven die op de US versie zitten. 1: omdat ze die goedkoper aanbieden. 2: omdat ze er contractueel niet over nagedacht hebben.

Zo zijn er tig voorbeelden te noemen. En dan moet je voor bepaalde diensten nog maar hopen dat er non-US alternatieven zijn. Als regulators hier hard op gaan handhaven, kunnen veel bedrijven hun toko per direct sluiten... vanuit een risico perspectief zou ik bedrijven aanraden eens goed te kijken naar wat ze op korte termijn kunnen doen en anders het risico maar tijdelijk te accepteren en goed gaan nadenken over migratie of replacement.

Want ik heb een sterk vermoeden dat met de huidige politieke situatie in de US er op korte termijn geen fatsoenlijk en werkbaar verdrag gaat komen.
Die gaat er überhaupt nooit komen. Safe Harbour en Privacy Shield zijn beiden onder een Democratische regering opgesteld en we hebben gezien hoe 'goed' die overeenkomsten waren... Niet. Als je een goede overeenkomst wilt die recht doet aan de Europese privacywetten dan kan je waarschijnlijk wachten tot Sint Juttemis.

Beide partijen in de VS zitten vuistdiep in de kont van de NSA, NRO, CIA etc. Alle grote projecten van afgelopen decennia van inlichtingendiensten in de VS zijn bipartisaan aangenomen, net zoals de Patriot Act en CLOUD Act.

[Reactie gewijzigd door MicBenSte op 25 juli 2020 23:09]

Definieer goedkoper als je ook 5% van je wereldwijde omzet mag afstaan bij elke overtreding?.
Contractueel niet over nadenken is tegenwoordig een vorm van bedrijfszelfmoord, zeker nadat in het kader van de invoering van de AVG/GDPR alles uitgebreid is onderzocht en in kaart gebracht.
Dus als er fout inzitten zouden die dus niet "per ongeluk" aanwezig kunnen zijn

Waarom hopen dat er non-us alternatieven zijn? Heb je wel het goede model gekozen?
Waarom zou de US versie goedkoper zijn, mogelijk omdat de bedrijven er daar via een zij handeltje bij verdienen? Is je personeelsbestand precies dat (de mensen die je in dienst hebt en waar je salaris aan betaald) of is het handelswaar. In de US is zoiets ook handelswaar.

Ik denk dat met de US wetgeving die heel goed is voor US ingezetenen waarbij de rest van de wereld volgelvrij is, niet goed aansluit bij de EU-brede verwachting dat buitenlanders in de US enige vorm van recht kunnen verwachten. Zolang dat niet veranderd (en dat zie ik voorlopig niet gebeuren) is het een clash of cultures.
Je zal dit voor elke cloud provider moeten bekijken, het lijkt erop dat MS nog redelijk OK is, daar zij in hun contracten voldoen aan "article 29 working party" . Dat betekent dat de privacy authorities van elk EU land te contracten hebben goedgekeurd
https://docs.microsoft.co.../gdpr?view=o365-worldwide
Maar die hebben dat natuurlijk goedgekeurd met de overeenkomst in gedachte die nu niet langer van toepassing is.
ja, ms is al aan het kijken wat de impact is. maar ze hadden van de week geroepen dat er geen direct gevolg linkt te zijn op basis van hun opzet.
Een kleine stap in de goeie richting. Hierdoor ontstaat er langzaam een markt voor privacy vriendelijke diensten en producten. Een markt waarop Europese partijen een voordeel hebben, want in tegenstelling tot Silicon Valley zit nadenken over ethiek hier veel meer in het DNA.

Ook super om te zien dat politici hun tanden terug hebben. Te lang was de politiek verlamd omdat ze het narratief dat 'technologie toch niet tegen te houden is' nog gingen geloven ook. De reden dat we juist zoveel vooruitgang hebben weten te boeken dankzij technologie is omdat we altijd de scherpe kantjes er afgeschuurd hebben, juist door regulering. Onze verslaving aan olie is immers ook niet onvermijdelijk meer. En je weet wat ze zeggen over data...
Zolang we blijven flipperen tussen wel/niet/wel/niet toestaan van data export zal dat denk ik niet in het voordeel van Europese bedrijven zijn.
Beide situaties hebben voordelen zolang ze stabiel zijn;
- vrije data uitwisseling; minder belemmering/risico, makkelijker contracten afsluiten
- duidelijke strenge regels; voordeel Europese bedrijven op thuismarkt, kwaliteitsgarantie naar buiten.

maar in de huidige situatie waarin het wettelijk voor een paar jaar toegestaan wordt om dan weer door de rechter afgeschoten te worden lijkt het me dat internationale bedrijven huiverig worden om met Europese bedrijven contracten af te sluiten. Ze weten namelijk nooit zeker wanneer van de ene op de andere dag hun data achter de grens ligt en ze boetes kunnen verwachten.
Ook voor kleinere (Europese) bedrijven zal het steeds met spoed ombouwen van systemen niet goedkoop zijn, en dus in het voordeel van grote Amerikaanse giganten, die bovendien meer juristen en lobbyisten in dienst hebben om boetes af te wenden.
+1Anoniem: 310408
@unfold25 juli 2020 11:55
Ook super om te zien dat politici hun tanden terug hebben.
Uhhh, denk dat je de rechter bedoelt en niet politici. Politici stonden het toe, rechter verbood het.
Je moet politici niet als een monolithisch geheel zien. Er zijn genoeg Europarlementariërs die vanaf dag één hier heel kritisch over zijn geweest, er tegen hebben gestemd, met alternatieve oplossingen bezig zijn geweest en dergelijke.

Maar inderdaad, in dit geval is het Hof geweest dat er een streep door heeft gezet. Iets wat al bij het begin van Privacy Shield door velen, inclusief politici, werd voorspeld.
Ook super om te zien dat politici hun tanden terug hebben.
Het zijn niet de politici die een streep door het verdrag hebben gezet, maar het hof.
Moeten we ook niet eens gaan nadenken dat de VS binnen afzienbare tijd wellicht gewoon een dictatuur/fascistische staat kan worden? Ik acht de kans nog steeds niet heel groot, maar toch aanzienlijk als je ziet hoe Trump aan het huishouden is (zeg 20%).
Het is alleen een beetje sneu dat de politici tot twee maal toe teruggefloten moeten worden via een rechtszaak.
Ik ben benieuwd wanneer er echt levensvatbare alternatieven komen voor de grote jongens uit amerika. Een 100% europees bedrijf dat een goed en degelijk alternatief bied zonder datatransfer naar andere continenten. Een bedrijf dat zijn werk doet binnen de gestelde europese regels.
Ligt er aan wat je wil? Als Dropbox tegenhanger zou ik stackstorage nemen.

Office is niet zo 1,2,3 een tegenhanger van.
Voor sommige partijen kan Tresorit (uit Zwitserland) wel een aardig alternatief zijn voor Dropbox.

Een alternatief voor Office 365 is misschien Collabora. Die zitten wel in het Verenigd Koninkrijk dus daar zou de Brexit na 1 januari nog wel roet in het eten kunnen gooien (hoewel ik verwacht dat veel Britse bedrijven gewoon de EU wetgeving aan zullen willen blijven houden om de EU markt niet kwijt te raken.

[Reactie gewijzigd door Maurits van Baerle op 25 juli 2020 13:19]

De Britten stoppen met de erkening van het europees hof als hoogste rechtsorgaan. Na 31 dec 2020 is het sowieso over and out indien er geen nieuwe overeenkomst is.
Dat maakt niet uit. Japan doet dat ook niet. Het is voldoende dat de bescherming op hetzelfde nivo is. De Britten hebben de GDPR in hun lokale wetgeving opgenomen, dus dat is exact hetzelfde nivo.

Als er geen officiële overeenkomst is, dan kan het dus alsnog met een SCC.
In weet donders goed dat bij ons op het bedrijf hierover wel een punt wordt gemaakt. De Britten kunnen nu hun eigen wetten mbt data-transfers gaan maken en de rechtsgeldigheid kan niet langer getoetst worden door het europees hof want dat zullen ze niet meer erkennen als hoogste rechtsorgaan.

Niet bepaald makkelijk als je filialen hebt zowel in de EU en in Engeland, je zal nu constant 2 wetgevingen in het oog moeten houden en zien of ze geen tegenstrijdigheden bevatten.

De legale “mumbo-jumbo” laat ik aan echte kenners over.

[Reactie gewijzigd door klakkie.57th op 27 juli 2020 12:12]

Inderdaad, de Britten kunnen hun eigen wetten maken, net zoals de Japanners dat altijd al konden. Het EU hof kan wel degelijk toetsen of Britse en Japanse wetten in strijd zijn met de AVG, net zoals ze nu dus Amerikaanse wetten hebben beoordeeld. Dat de Britten die uitspraak niet erkennen is irrelevant. Het vonnis bindt alle bedrijven die in de EU zaken willen doen, inclusief Britse bedrijven.
Ik heb toch echt wel wat moeilijkere scenario’s en in mijn hoofd waarbij je voorheen altijd wist dat GDPR van toepassing was en nu zul je dat dus constant moeten blijven volgen.

Je marketing afdeling zit in Londen en verwerkt persoonsgegevens van klanten uit de EU en het VK. Hiervoor gebruiken ze saasoplossingen. die gehost worden in het VK.
Dat was nooit een probleem en , “kan” nu zomaar wel een probleem worden.

SCC’s afsluiten met alle leveranciers is nagenoeg onbegonnen werk, omdat je dus iedere keer de locale wetgeving gaat moeten toestsen aan de geldende europese wetgeving. Daarom dat je dit net wil overlaten aan de overheid/EU en dat komt nu te vervallen. De enigen die van heel deze soep beter worden zijn de advocatenkantoren.
OnlyOffice kan een oplossing zijn. (evt samen met NextCloud).

CollaBora kan ook op On-Prem hadrware draaien of in een prive cloud.
Nextcloud is een goede omgeving voor allerlei extra toepassingen.
(CalDav, CardDav, naast Dav) De eerdere StackStorage is hier ook op gebaseerd.

Dan heb je zowie zo EU gebaseerde software, maar die moet niet perse bij een in cloud van een US provider draaien.
Ontwikkelen de meeste Europese bedrijven standaard op meer-taligheid? Je zou verwachten van wel, maar toch ken ik weinig Europese software ontwikkelaars uit bijv. Duitsland en Frankrijk. Het risico kan zijn dat ze alleen voor de grote taalgebieden software ontwikkelen/vertalen, en de rest er achteraan loopt.

De meeste Amerikaanse software moeten voor hun export toch meertaligheid inbouwen, en dan is het een kleine stap om ook Nederland en andere kleine taalgebieden mee te nemen.

Ook voor FOSS-software kan dit een issue zijn, kleinere taalgebieden zullen meer vrijwillige vertalers per inwoner moeten leveren om de vertalingen om hetzelfde niveau te brengen. (Al lijkt Nederlands voor voor veel FOSS software goed ondersteund te worden, blijkbaar hebben we veel vertalers ondanks dat we vaak met Engelse software werken. )
Kijk eens naar Nextcloud, In de Unix/Linux wereld is veel meer te vinden vanuit met name Duitsland.
In de office / mail omgeving zijn er meer voorbeelden.
NL is nogal Microsoft monocultuur volger.
Dat betekend nogal wat voor veel online vergader/samenwerkingstools als Trello, Jira en veel anderen die hun privacy waarborgde op basis van Privacy Shield. Einde oefening voor het gebruik ervan vrees ik. Zelfde geldt voor Zoom, die ook met Privacy Shield werkt. Dat zal nog wel een grotere impact hebben.
Jira is van Atlassian, die zitten in Australië. Zoals al gemeld: SCC's zijn nog steeds geldig. Het vonnis maakt duidelijk dat een SCC met een Amerikaans bedrijf nutteloos is, maar dat blokkeert Jira niet.
Mooi dit, ronduit belachelijk dat wij data naar de VS sturen. Die gaat dat helemaal niks aan. Alsof wij data van Amerikanen krijgen... :/
Oh zeker wel. Privacy Shield werkte twee kanten op.
Ja en dat werd vooral gebruikt om misbruik te maken van lokale wetgeving... Bijvoorbeeld Amerikanen die naar England kwamen om Engelsen te bespioneren, en vervolgens aan hun regering overdragen want dat mocht dan weer wel. Denk aan die 'diplomaat' wiens vrouw iemand had doodgereden daar (en ook nog eens snel weggesmokkeld werd naar de VS), en vervolgens kwam het hele verhaal naar boven.

[Reactie gewijzigd door GekkePrutser op 25 juli 2020 20:03]

Dit is dus een win-win voor de consument? :)
Prachtige wet. Dat bedrijven dit zelf moeten opzette EN controleren is zoiets als van wij van wc eend ....... Daar geloof ik niet zo in. Daar zou de EU een controlerende instantie voor moeten inrichten naar mijn idee
nextcloud.eu is nog te koop zie ik }>

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True