AWS krijgt nieuwe ceo en wil 7,8 miljard euro investeren in Europese cloud

Je hebt een goed punt. Het is inderdaad lastig om er 100% zeker van te zijn dat de opgeslagen data volledig veilig is, zelfs met deze nieuwe constructie. In de afgelopen jaren zijn twee belangrijke juridische kaders die de gegevensuitwisseling tussen de Europese Unie (EU) en de Verenigde Staten (VS) faciliteerden, ongeldig verklaard door het Europese Hof van Justitie (CJEU) vanwege zorgen over privacy en gegevensbescherming. Daarnaast bestaan er nog diverse Amerikaanse wetgevingen die eigenlijk eerst zouden moeten worden aangepast voordat het juridisch 100% waterdicht gemaakt kan worden met EU–US afspraken.

Safe Harbor (ongeldig verklaard in 2015): Het Safe Harbor-akkoord, dat in 2000 werd opgericht, was het eerste kader dat Amerikaanse bedrijven toestond persoonlijke gegevens van de EU naar de VS over te dragen. Het werd echter ongeldig verklaard in 2015 na de onthullingen van Edward Snowden over de omvang van de Amerikaanse surveillancepraktijken, die in strijd bleken te zijn met de EU-privacy normen.

EU–US Privacy Shield (ongeldig verklaard in 2020): Het EU-VS Privacy Shield, dat Safe Harbor verving, werd ook ongeldig verklaard door de CJEU in juli 2020. De rechtbank oordeelde dat het Privacy Shield de gegevens van EU-burgers niet voldoende beschermde tegen Amerikaanse surveillanceactiviteiten. De CJEU vond dat Amerikaanse wetten, zoals Sectie 702 van de Foreign Intelligence Surveillance Act (FISA) en Executive Order 12333, uitgebreide toegang gaven tot persoonlijke gegevens van EU-burgers door Amerikaanse inlichtingendiensten zonder voldoende waarborgen.

EU-US Data Privacy Framework: Na de ongeldigverklaring van Privacy Shield hebben de EU en de VS onderhandelingen gevoerd om een nieuw gegevensbeschermingskader op te zetten, bekend als het EU-US Data Privacy Framework. Dit nieuwe kader is ontworpen om de tekortkomingen van zijn voorgangers aan te pakken en moet robuustere waarborgen bieden voor de bescherming van persoonlijke gegevens van EU-burgers. Het framework omvat strengere verplichtingen voor Amerikaanse bedrijven met betrekking tot gegevensverwerking en meer transparantie over de toegang van Amerikaanse autoriteiten tot deze gegevens. Bovendien voorziet het in betere handhavingsmechanismen en juridische verhaalsmogelijkheden voor EU-burgers. Ondanks deze verbeteringen blijft er echter nog steeds bezorgdheid over de daadwerkelijke effectiviteit van dit framework in het licht van de uitgebreide bevoegdheden van Amerikaanse surveillanceregelingen.

As of 10 July 2023, the EU-US Data Privacy Framework became active 1 and allows for personal data to flow between the EU and US without the need for separate contractual arrangements (such as Standard Contractual Clauses (‘SCC’s’). However, with years of challenges and invalidation of (i) the EU-US Safe Harbor Framework and (ii) the EU-US Privacy Shield, it remains to be seen whether this new mechanism will fall foul of the same data privacy challenges as those mechanisms.

Bron: https://kluwerlawonline.c...w+Review/44.5/BULA2023024

De ongeldigverklaring van deze kaders heeft aanzienlijke juridische onzekerheid gecreëerd voor bedrijven die afhankelijk zijn van trans-Atlantische gegevensoverdrachten. Momenteel moeten bedrijven gebruik maken van alternatieve mechanismen zoals Standaard Contractuele Clausules (SCC's) of Bindende Bedrijfsvoorschriften (BCR's) om te voldoen aan de EU-gegevensbeschermingsnormen. Deze mechanismen staan echter ook onder druk en bedrijven moeten grondige beoordelingen uitvoeren om ervoor te zorgen dat de gegevensbescherming voldoet aan de EU-eisen en er nog steeds gaten zijn aan de Amerikaanse kant door de huidige Amerikaanse wetgeving.

Naast de Cloud Act en de Foreign Intelligence Surveillance Act (FISA), zijn er nog enkele andere Amerikaanse wetten en juridische mechanismen die de Amerikaanse overheid zou kunnen gebruiken om toegang te krijgen tot data van Amerikaanse bedrijven die in Europa actief zijn. Deze verlenen de Amerikaanse overheid aanzienlijke toegang tot gegevens, ongeacht waar deze zich bevinden:

USA PATRIOT Act: Na de aanslagen van 11 september 2001 is de PATRIOT Act ingevoerd, die de mogelijkheden van de Amerikaanse overheid om gegevens te verzamelen aanzienlijk heeft uitgebreid. Sectie 215 van de PATRIOT Act stelt dat de overheid brede toegang kan krijgen tot bedrijfsgegevens die relevant worden geacht voor terrorismebestrijding.

National Security Letters (NSLs): NSLs zijn administratieve dagvaardingen die door de FBI kunnen worden uitgevaardigd zonder tussenkomst van een rechter om toegang te krijgen tot klantinformatie van bedrijven, zoals communicatie- en financiële gegevens. Deze kunnen ook een geheimhoudingsverplichting bevatten, wat betekent dat bedrijven niet mogen onthullen dat ze een NSL hebben ontvangen.

Electronic Communications Privacy Act (ECPA): De ECPA reguleert het toezicht op elektronische communicatie door de overheid. Het stelt onder andere dat de overheid met een gerechtelijk bevel toegang kan krijgen tot elektronische communicatiegegevens die worden opgeslagen door serviceproviders.

Stored Communications Act (SCA): Onderdeel van de ECPA, de SCA, biedt de overheid toegang tot opgeslagen communicaties zoals e-mails en bestanden die worden bewaard door providers van elektronische communicatie of remote computing services. Met een gerechtelijk bevel kan de overheid deze gegevens opvragen.

Executive Order 12333: Dit uitvoeringsbesluit geeft inlichtingendiensten uitgebreide bevoegdheden om buitenlandse inlichtingen te verzamelen, inclusief communicatiegegevens die zich buiten de Verenigde Staten bevinden. Hoewel dit vooral bedoeld is voor inlichtingenverzameling in het buitenland, kan het indirect gevolgen hebben voor de data van niet-Amerikaanse burgers. In mindere maten van belang hier, maar kan toch een klein beetje meegerekend worden.

All Writs Act: Deze wet geeft federale rechtbanken de bevoegdheid om alle noodzakelijke bevelen uit te vaardigen die nodig zijn om hun bevoegdheden uit te oefenen. Dit omvat het dwingen van individuen of bedrijven om mee te werken aan onderzoeken, inclusief het verschaffen van technische assistentie aan wetshandhavingsinstanties.

Hoewel AWS belooft dat de European Sovereign Cloud voldoet aan de strenge EU-regels en dat de data binnen de EU blijft, blijft er een fundamenteel probleem bestaan zolang het moederbedrijf in de VS is gevestigd. Amerikaanse wetten, zoals de Cloud Act, kunnen in theorie Amerikaanse bedrijven verplichten om data te verstrekken, zelfs als deze data in Europa is opgeslagen.

De nieuwe AWS European Sovereign Cloud is een stap in de goede richting. Toch blijft er altijd een mate van onzekerheid over de daadwerkelijke veiligheid en soevereiniteit van de data. De enige stap die echt gemaakt moet worden, is een stap die Amazon zelf niet kan zetten, maar die van de Amerikaanse overheid moet komen. Tot die tijd is onze EU-data nooit 100% veilig bij deze bedrijven. Al kun je stellen dat 100% veiligheid nooit haalbaar is zolang er inlichtingendiensten zijn die hacken, tappen of spioneren, zelfs als het juridische gat dat er nu is, zou worden gedicht.

[Reactie gewijzigd door jdh009 op 23 juli 2024 08:44]