Een lezer vroeg me:
Mocht het Data Privacy Framework (DPF) komen te vervallen, dan schrijft het kabinet dat we kunnen terugvallen op de modelcontractbepalingen (SCC’s) in onze contracten met cloud-providers om de privacy te waarborgen. Echter, hoe kan een contract met een cloud-provider nu zaken opvangen als het inperken van de toegang tot EU-gegevens door Amerikaanse inlichtingendiensten, zoals nu door DPF wordt gedaan?Het Data Privacy Framework of DPF is een set afspraken tussen de VS en de EU, waarmee een zogeheten “adequaat niveau” van omvang met persoonsgegevens in de VS wordt vastgelegd. Op grond van het DPF is vervolgens door de Europese Commissie gesteld dat de VS een adequaat land is om persoonsgegevens heen te brengen, mits je dat doet binnen de kaders van het DPF.
Recent heeft president Trump leden van het voor het DPF essentieel orgaan, de Privacy and Civil liberties Oversight Board (PCLOB), ontslagen. Hierdoor is er geen quorum meer voor deze board om beslissingen te nemen, zodat ze effectief machteloos is geworden. Daarmee lijkt het DPF niet meer te voldoen aan de afspraken en is de kans groot dat het adequaatheidsbesluit moet worden ingetrokken.
Als dat gebeurt, kun je dus geen persoonsgegevens meer overbrengen naar de VS. Oftewel: geen US clouddiensten gebruiken voor opslag of verwerking daarvan. (Bij Europese dochterbedrijven met datacenters alhier is een ander verhaal.)
Naast dat adequaatheidsbesluit zijn er ook de zogeheten modelcontractbepalingen (SCC’s). Hiermee regel je het zelf: je spreekt met je Amerikaanse wederpartij regels af waarmee zij zich conformeren aan de AVG, kort gezegd. Daaronder valt ook het nemen van maatregelen die AVG overtredingen borgen, zoals het in strijd met de AVG afgeven van persoonsgegevens aan Amerikaanse justitie.
Een terecht punt is hoe je dat doet als de lokale wetgeving je daartoe juist verplicht. Dat punt was even minder relevant, omdat de redenering was dat dóórdat het DPF en het adequaatheidsbesluit er waren je mocht aannemen dat dit niet zomaar zou gebeuren. Een adequaat land mág haar justitie dingen laten vorderen, die kaders zijn gewoon AVG-conform – dat is het punt van het land adequaat achten. Het zit wel goed daar.
Dat argument staat natuurlijk op losse schroeven als dat adequaatheidsbesluit nu ingetrokken wordt door het wegvallen van het DPF. Wat heb je dan nog om te zeggen, mijn Amerikaanse wederpartij kan zich gewoon aan de SCC afspraken houden?
In een recente kamerbrief zegt onze staatssecretaris Digitalisering en Koninkrijksrelaties daarover dat “Mocht het DPF komen te vervallen, dan zal mogelijk middels een DTIA gekeken moeten worden naar de vraag of er (en zo ja welke) aanvullende waarborgen of maatregelen moeten worden genomen om de in de AVG vereiste rechtsbescherming voor natuurlijke personen te waarborgen.” Dat schuift dus het probleem voor ons uit.
Terzijde: Of Amerikaanse inlichtingendiensten stiekem bij data kunnen is volledig irrelevant voor deze discussie. Dat is een beveiligingskwestie, maar staat los van de vraag of je van de AVG je data mág opslaan daar. Die vraag gaat pas spelen als overheidsinstellingen op grond van de wet vorderen dat ze data mogen hebben, dus juridisch in plaats van gewoon praktisch er bij willen. De NSA is hetzelfde als iedere willekeurige indringer van buitenaf.
Arnoud
De NSA vraagt en krijgt via de FISA courts, data van elke in de VS gevestigde organisatie. De locatie van de data is 1 (een) issue, de vraag of er Amerikanen bij de data kunnen is een tweede issue en de vraag of de organisatie onder VS recht valt het derde issue. Alle drie de issue zijn van belang.
Microsoft Nederland B.V., valt zowel onder NL recht en middels Microsoft Corporation Inc., ook onder VS recht. Zie o.a. het arrest van de Amsterdam Trade Bank, hoe je het het ook wend of keert met een Amerikaanse leverancier raak je het Amerikaanse recht, en daarmee heb je mogelijk een onoplosbaar GDPR/AVG issue.
Help me even hoe precies het Amerikaans recht wordt gehandhaafd in Haarlem? Ik zie best hoe een theoretische analyse uit kan komen bij “valt onder jurisdictie”, maar wat is de volgende stap?
Bedoel je het vonnis ECLI:NL:RBAMS:2022:4452? Ik zie daar in het geheel geen argumenten dat welke Microsoft-bv (naar Nederlands recht) onder Amerikaans recht valt. Ja, daar staat dat de curatoren vochten tegen een grote Amerikaanse partij maar dat is een heel andere kwestie.
Op dezelfde manier als dat ze gaan voorkomen dat Amerikaanse militairen of politici door het IC worden berecht? “Geef ons de informatie of we komen het halen.”
Dat werkt toch niet in het dagelijks zakelijk verkeer? Het zou wel geruststellend zijn, want er is nog nooit een divisie mariniers hier geweest om een datacenter leeg te halen. Dat hadden we wel gemerkt. Nee, als dit het scenario is dan maak ik me nergens zorgen over
Inderdaad, ik heb me nooit zorgen gemaakt dat een peleton mariniers me op kwamen halen, nadat ik een bevel van de Amerikaanse rechter naast me had neergelegd (was in strijd met Nederlandse wet en ik woon in Nederland, niet de VS).
Advies van mijn werkgever was niet naar Amerika te gaan of via Amerika te vliegen totdat die hele zaak over was. Daarna diverse keren zonder problemen in de VS geweest.
Wat ik wel als een risico zie is Amerikaanse diensten die met een FISA bevel een Amerikaanse expat benaderen en dreigen met vervolging als deze het bevel van de rechtbank niet uitvoert. We zouden dan ook zonder overeenkomst (en betrouwbare Amerikaanse overheid die zich aan verdragen houdt :-/ ) niet moeten accepteren dat Amerikaanse staatsburgers toegang hebben tot vertrouwelijke gegevens van EU burgers, bedrijven en overheden.
De Amerikanen spelen het hoog met chinezen in dat soort posities, maar dat is de pot die de ketel verwijt zwart te zien.
Herkenbaar en ja, dat zie ik wél als een reëel risico. Maar dat voelt niet anders dan het risico dat iemand omgekocht/gechanteerd wordt door de $etnische maffia en dan die data gaat downloaden. Daar heb je technische & organisatorische maatregelen voor. Ook bij Ronald Oot de systeembeheerder die alles kan.
Je hebt in NL waarschijnlijk een contract met Microsoft Nederland B.V. De datacenters in NL zijn van een andere Microsoft hut. Jouw account wordt vanuit de VS gemanaged, maar staat waarschijnlijk ook ergens in ‘Dublin’ in een database ‘voor GDPR/DSA’. Jouw data wordt vanuit de VS gemanaged maar staat ook ergens in ‘Dublin’ op een lijst.
M.a.w. hoewel het lijkt dat je alleen met Microsoft dealt, zal het vooral Microsoft US zijn die dingen doet/beheerd, ‘Dublin’ zit er proforma tussen maar al je data kan en zal voor Microsoft US benaderbaar kopieerbaar zijn. Daar is geen fysieke toegang voor nodig (immers de Cloud), muv ‘on prem’.
Microsoft NL kan van alles vinden, maar omdat al je spullen op een in de VS beheerde infra staat, is de VS wet/regulering uiteindelijk leidend en afdwingbaar.
(anders geformuleerd dan boven ;))
Ik hoor het je zeggen, maar het hele punt van die boundaries is nu juist dat dit niet gebeurt. En ik contracteer er ook voor mét garantie dat dit niet gebeurt. Het voelt dan wat makkelijk als het dan gewoon toch gebeurt, zonder dat er ook maar iemand bij Microsoft Nederland denkt “verhip, ben ik straks persoonlijk aansprakelijk voor de AVG-boetes van mijn klanten”?
De situatie die je schetst, komt overigens niet overeen met de documentatie maar mogelijk lees ik dingen verkeerd.
Q: Can customers opt out of having their data transferred outside the EU for security analysis?
A: No, customers cannot opt out of limited and necessary data transfers for global cybersecurity purposes. These transfers are crucial for maintaining a robust, global security posture that protects against sophisticated cyberattacks. However, Microsoft employs stringent security controls and contractual commitments to ensure that customer data is always handled with the highest level of protection and transparency.