1.
...
Introductie
In het tijdperk van digitalisering is het gebruik van cloud diensten niet meer weg te denken. In de dynamische wereld van cloud is gegevensbescherming bovendien een niet te overzien aspect voor organisaties van elke omvang. Het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens is niet alleen een juridische verplichting, maar evenzeer cruciaal voor het behoud van vertrouwen en het beschermen van de reputatie. Het is daarom belangrijk om over een solide gegevensbeschermingsstrategie te beschikken vooraleer de overgang naar cloud te maken. Onder andere het huidige regelgevingslandschap, en meer specifiek de bezorgdheid over internationale gegevensoverdrachten, stelt uitdagingen voor organisaties die clouddiensten afnemen van providers uit de Verenigde Staten (VS).
2.
...
Wet-
...
en regelgeving
Lokale besturen dienen rekening te houden met de Algemene Verordening Gegevensbescherming (AVG) of GDPR (General Data Protection Regulation). Deze regelgeving schrijft voor dat alle bedrijven, lokale besturen, overheidsdiensten, organisaties en instellingen die in Europa persoonsgegevens verwerken, gebruiken, registreren of bewaren, moeten voldoen aan bepaalde richtlijnen. Deze richtlijnen stellen dat gegevens volgens een afdoend beveiligingsniveau moeten worden verwerkt binnen een organisatie. Om te voldoen aan de AVG, wordt er onder andere verwacht dat persoonsgegevens niet zomaar naar derde landen worden overgedragen die geen adequate gegevensbescherming afdwingen.
3.
...
Juridische onzekerheid bij het gebruik van VS cloud providers
In 2016 stelde de Europese Commissie in 2016 een verordening voor, bekend als het EU–US Privacy Shield, met als doel adequate gegevensbeschermingsverplichtingen bij de overdracht van persoonsgegevens uit de EU naar de VS te waarborgen. Echter, in 2018 hebben de VS de US CLOUD Act aangenomen, die Amerikaanse federale wetshandhavingsinstanties in staat kan stellen in de VS gevestigde technologiebedrijven via bevelschriften of dagvaardingen te dwingen de gevraagde gegevens te verstrekken die zijn opgeslagen op servers, ongeacht of de gegevens in de VS of op buitenlands grondgebied zijn opgeslagen. Daarop vernietigde het Europese Hof van Justitie het Privacy Shield in 2020. Het oordeelde dat, omwille van de verregaande bevoegdheden van de Amerikaanse inlichtingendiensten en het gebrek aan effectieve rechtsmiddelen hiertegen, het Privacy Shield geen adequate bescherming van persoonsgegevens bood. Dit oordeel staat nu bekend als de Schrems II-beslissing.
...
Om een antwoord te bieden op dit moeilijk vraagstuk en de stijgende onzekerheid, heeft de Europese Commissie in juli 2023 het EU-VS Data Privacy Framework aangenomen. Amerikaanse bedrijven die deelnemen aan dit raamwerk worden nu verondersteld een passend beschermingsniveau te garanderen voor persoonsgegevens overgedragen vanuit de EU. Een overzicht van deze bedrijven kan hier geraadpleegd worden. Het blijft echter afwachten of dit nieuwe raamwerk lang zal standhouden. Privacy experten verwachten immers dat dit opnieuw zal worden aangevochten voor het Europese Hof van Justitie, aangezien het de fundamentele surveillanceproblemen onvoldoende zou oplossen.
4.
...
Gebrek aan Europese alternatieven
Het gebruik van cloud diensten groeit aanzienlijk, met voorspellingen dat tegen 2025 de helft van alle IT-uitgaven van organisaties hiernaartoe zal gaan. De markt wordt momenteel gedomineerd door drie grote Amerikaanse aanbieders - Amazon Web Services, Microsoft Azure en Google Cloud Platform – die samen meer dan 60% van het wereldwijde marktaandeel bezitten. Deze dominantie levert een dilemma op voor Europese organisaties. Terwijl gegevensbeschermingsautoriteiten aanbevelen het gebruik van Amerikaanse cloud providers te staken, bemoeilijkt het gebrek aan competitieve Europese alternatieven dit. Project GAIA-X, in 2020 gestart door Frankrijk en Duitsland om een Europese cloud-infrastructuur op te zetten, staat voor uitdagingen en scepsis, met zorgen over buitenlandse invloed en twijfels over de slaagkansen om de macht van de Amerikaanse grote spelers effectief in te perken.
5.
...
Nieuwe standaardcontractbepalingen en soevereine cloud
De Europese Commissie erkent de bezorgdheid over de onzekerheid die ontstaan is bij het gebruik van VS cloud providers. Ze publiceerde daarom nieuwe standaardcontractbepalingen als overdrachtsmechanisme. Door het gebruik van deze nieuwe bepalingen worden ondernemingen uit derde landen contractueel verplicht om voldoende veiligheidswaarborgen te bieden.
...
Recent duikt ook vaker de term ‘soevereine cloud’ op bij de grote (Amerikaanse) cloud providers. Dit is een cloudoplossing voor de veilige opslag van gevoelige of vertrouwelijke gegevens, onderworpen aan strikte regelgeving. De soevereine cloud garandeert dat alle gegevens, inclusief metatdata en persoonsgegevens, binnen de Europese Unie blijven en niet vanuit derde landen (zoals de VS) toegankelijk zijn. Een belangrijk onderdeel van een soevereine cloud is het hebben van de controle over de versleutelingssleutels.
6.
...
Adviezen van gegevensbeschermingsautoriteiten en de Vlaamse Toezichtscommissie
Gegevensbeschermingsautoriteiten adviseerden organisaties om overeenkomsten met dochterondernemingen van Amerikaanse cloud providers, zoals Amazon Web Services (AWS) SARL, te beëindigen. De Vlaamse Toezichtscommissie (VTC) heeft richtlijnen uitgegeven over het acceptabel gebruik van cloud providers en stelt bovendien strikte regels aan Vlaamse overheidsentiteiten die cloud diensten willen gebruiken. Zo verbiedt de VTC standaard het gebruik van niet-Europese cloud providers, tenzij bepaalde aanvullende maatregelen voor gegevensbescherming, zoals versleuteling, worden overwogen.
...
Advies VTC nr. 2022/02: hierin uit de VTC opnieuw haar bezorgdheid voor het gebruik van VS cloud providers. Het advies bevat een overzicht van de maatregelen die, op basis van de inzichten van de VTC, minimaal moeten genomen worden bij hosting in de cloud.
7.
...
Conclusie
De juridische historiek over gegevensoverdracht tussen de EU en VS heeft veel onzekerheid veroorzaakt bij ondernemingen die gebruik maken van VS cloud providers. Ook al biedt het EU-VS Data Privacy Framework momenteel de mogelijkheid om persoonsgegevens naar de VS over te dragen, er heerst grote onzekerheid of deze oplossing lang zal standhouden.
...