Auto’s met dit systeem kunnen jouw telefoon permanent beschadigen, mag dat?

Photo by Tomas Gonzalez de Rosenzweig on Unsplash

Het Lidarsysteem van moderne auto’s maakt gebruik van laserstralen, las ik in het AD onlangs. En dat is een probleem: die zijn officieel niet sterk genoeg om oogschade te veroorzaken, maar wel om de telelensmodule van een telefoon te slopen. Mogen ze dan nog wel op de markt zijn, vroegen diverse lezers me.

Een paar weken terug postte iemand op Reddit een video die live laat zien hoe de Lidar-laser van zijn nieuwe Volvo zijn cameralens kapot maakt. Het gaat dan specifiek om de telelensmodule, die in actie komt als je inzoomt. Bij ‘gewone’ foto’s wordt de groothoeksensor gebruikt, en gezien de afstand gaat dat dan wel goed. (In de comments leest u over een paar uur de volledige technische details.)

Die lasers zijn natuurlijk gecertificeerd, anders mogen ze de markt niet op. Het gaat hier om een Klasse 1 laser en daarvan zeggen we algemeen dat deze gewoon veilig is. Maar die certificering gaat over veiligheid richting het menselijk oog, er lijkt nooit rekening gehouden te zijn met digitale sensoren van inzoomende telefoonlenzen.

Is Volvo nu aansprakelijk voor al die kapotte telefoons? Het antwoord “in de handleiding staat dit al” is natuurlijk wat al te makkelijk. Het probleem blijkt al langer bekend, zo vond ik in deze bron die stelt dat het ook met de golflengte te maken heeft:

For instance, LiDAR systems operating at 905 nm, like those from the manufacturer Valeo, are designed to be harmless to camera sensors. However, higher wavelengths, such as 1,550 nm, have been shown to cause issues during testing.
Het is in zoverre nieuw dat LiDAR op de consumentenmarkt pas een paar jaar erg populair is, zodat de kans op deze specifieke combinaties van technieken inderdaad tot nu toe kon duren.

Omdat de producten gecertificeerd zijn, denk ik dat het moeilijk te stellen is dat de schade onrechtmatig is. Belangrijker vind ik de vraag of fabrikanten als Volvo nu de LiDAR systemen moeten aanpassen. Daar zou echt de markttoezichthouder een uitspraak over moeten doen.

Arnoud

 

Mogen ict-fabrikanten nog geld vragen voor security updates van de Cyber Resilience Act?

"System Update" by bovinity is licensed under CC BY-SA 2.0

Een lezer vroeg me:

Bij het bestellen van een aantal switches van een grote leverancier kwam ik er achter dat de security updates alleen beschikbaar zijn als ik ook een jaarlijks supportcontract afsluit. Mogen fabrikanten nog wel geld vragen voor security updates? In de Cyber Resilience Act wordt het aanbieden van security updates voor de expected lifetime van het product toch verplicht gesteld?
De Cyber Resilience Act (Verordening 2024/2847) kent inderdaad een zorgplicht tot het leveren van security updates. Dit staat in Bijlage I deel II:
Fabrikanten van producten met digitale elementen moeten: … in verband met de risico’s die verbonden zijn aan producten met digitale elementen, kwetsbaarheden onverwijld aanpakken en verhelpen, onder meer door beveiligingsupdates te verstrekken; indien technisch haalbaar moeten nieuwe beveiligingsupdates afzonderlijk van de functionaliteitsupdates worden verstrekt;
Daaronder (punt 8) wordt vermeldt dat die updates kosteloos moeten worden verspreid, vergezeld van adviezen. Deze plicht geldt gedurende de hele levensduur, en uitgegeven updates moeten tot tien jaar daarna beschikbaar blijven (artikel 13.9). Het maakt hierbij ook niet uit of de klant een consument of een ondernemer is.

Detail: de CRA treedt pas in 2027 in werking voor apparaten die vanaf dan op de markt komen. Bovendien moet het gaan om verkoop in de EU, dus wie bij een Amerikaanse of Aziatische groothandel bestelt, loopt het risico buiten de bescherming van de CRA te vallen.

Voor updates anders dan security-updates mag men nog wel een vergoeding vragen, net zoals voor ondersteuning die verder gaat dan “adviezen met relevante informatie voor gebruikers, onder meer over eventueel te nemen maatregelen.”

Arnoud

Kan ik mijn paspoort als gestolen opgeven als een kopie daarvan in een datalek zat?

Passport collection, Flickr, CC-BY

Een lezer vroeg me:

Ik las dat er bij mijn vorige werkgever mogelijk digitale kopieën van identiteitsbewijzen zijn buitgemaakt in het kader van een recent datalek. Ik ben nog in het bezit van mijn fysieke identiteitsbewijs, maar vermoed dat een digitale kopie van dit document in verkeerde handen is geraakt. Mijn vraag is: kan ik in dit geval mijn identiteitsbewijs als “gestolen” opgeven, ook al heb ik het fysieke exemplaar nog?
Van diefstal van je identiteitsbewijs is geen sprake, want zoals de vraagsteller zelf aangeeft is het fysieke ding nog in zijn bezit. Dus nee, formeel gaat dat niet.

De reden om het als zodanig op te geven, is natuurlijk dat je dan gratis een nieuw krijgt. Dat is belangrijk, omdat zaken als het paspoortnummer dan veranderen zodat het oude niet meer bruikbaar is bij bijvoorbeeld het online openen van een bankrekening. Vraag je zomaar een nieuw paspoort aan, dan kost dat een slordige 165 euro.

Vanuit de rijksoverheid bezien is er niets gebeurd met dat paspoort, dus als je dan een nieuw opvraagt dan zul je moeten betalen. Dat voelt wrang want jij kon niets doen aan dat datalek. Maar in dit specifieke geval moet niet jij maar die ex-werkgever die kosten dragen.

Meestal is het bij datalekken vrij lastig om aan te geven wat je schade is, want op dat moment is er nog geen aanwijsbaar gevolg van het onbevoegd kennisnemen of wissen van persoonsgegevens. Hier is dat er wel: met een kopie paspoort worden allerlei vormen van identiteitsdiefstal mogelijk. De enige reële manier om die tegen te gaan, is het paspoort ongeldig te laten worden. En dat doe je door een nieuw aan te vragen.

Omdat het datalek te wijten is aan de ex-werkgever, heeft deze in juridische zin onrechtmatig gehandeld. De daardoor ontstane schade moet dan worden vergoed, oftewel de prijs van dat paspoort kun je bij die ex-werkgever declareren.

(Heel juridisch bekeken: als het datalek te classificeren is als overmacht – de werkgever had alles gedaan dat redelijkerwijs mogelijk was in haar situatie en tóch werd ze gedatalekt – dan is de werkgever niet schadeplichtig. Maar ik durf wel te zeggen dat de categorie “datalek met overmacht” een buitengewoon kleine is.)

Arnoud

Zorgtoezichthouder krijgt gelijk van rechter: geen schending privacy ggz-patiënten

Photo by Tim Cooper on Unsplash

De Nederlandse Zorgautoriteit (NZa) heeft met het verzamelen van gedetailleerde persoonlijke gegevens niet de privacy geschonden van ongeveer 800.000 patiënten in de geestelijke gezondheidszorg. Dat meldde de NOS vorige week. Ook andere wetgeving is niet in gevaar gebracht, zo oordeelde de rechtbank Midden-Nederland.

In 2023 werd de toezichthouder in een collectieve procedure door diverse stichtingen aangeklaagd. Zij wilden dat de NZa zou stoppen met het opvragen van informatie over de gezondheidssituatie van individuele cliënten in de geestelijke gezondheidszorg bij hun behandelaren en ook met het verwerken van die gegevens, omdat dit het recht op privacy en het medische beroepsgeheim schendt.

Waar gaat het om? Het tussenvonnis uit 2024 (dat ging over de ontvankelijkheidsvraag van de eisers) legt uit:

Op 1 januari 2022 is er een nieuw bekostigingsstelsel voor de geestelijke gezondheidszorg en forensische zorg ingevoerd. Dat is het zorgprestatiemodel. In dat model wordt gewerkt met een systeem van ‘zorgvraagtypering’. Met de zorgvraagtypering wordt de zorgvraag van cliënten in kaart gebracht en wordt er een verband gelegd tussen de zorgvraag en de mogelijke behandelwijzen.
Behandelaren vullen hiervoor zogenoemde HoNOS+-vragenlijsten in, met allerlei scores over sociale en mentale problemen. Met de ingevulde lijsten kan een algoritme worden geijkt en worden de zorgvraagtyperingen ingedeeld. Bij dat laatste ontstond discussie: dat zijn toch bijzondere (medische) persoonsgegevens, hoezo mag de NZa dat opvragen en hergebruiken?

De rechtbank oordeelt nu dat hier sprake is van anonieme gegevens:

De gepseudonimiseerde declaratiegegevens die de NZa ontvangt zijn daardoor geen direct herleidbare persoonsgegevens meer. Hooguit zijn deze declaratiegegevens dan nog indirect herleidbaar,(…)

Drie werknemers van de NZa hebben toegang tot de HoNOS+-gegevens. Van die drie werknemers hebben twee werknemers ook toegang tot de gepseudonimiseerde declaratiegegevens. … [Z]elfs al zouden de twee werknemers binnen de NZa de HoNOS+-gegevens koppelen aan declaratiedata, dat het voor de NZa redelijkerwijs niet mogelijk is om de gegevens te herleiden tot individuen. Doordat de declaratiedata door hashing zijn gepseudonimiseerd, zijn ze versleuteld. De NZa kan deze gegevens niet ‘ontsleutelen’. Zij beschikt namelijk niet over de sleutel om de hashing, en daarmee de pseudonimisering, ongedaan te maken. Ook heeft zij – zoals de NZa heeft aangevoerd – niet de benodigde quantumcomputer om deze hashing te ‘kraken’, omdat die computer simpelweg nog niet bestaat.

De discussie over anoniem versus pseudoniem heeft er dus weer een ronde bij. De verwijzing naar quantumcomputers is wel een leuke: regelmatig wordt gespeculeerd dat deze nieuwe technologie in staat zal zijn om alle bestaande encryptie en hashing te kraken, in de zin dat deze triviaal ongedaan te maken is. Daarbij hoort de filosofische vraag of gegevens dan nu anoniem zijn als ze in de toekomst herleidbaar worden.

Iets concreter is: wat als de NZa wordt gehackt en de brongegevens worden buitgemaakt, waarna de aanvaller alles combineert en de gegevens blootlegt. Maakt dat de gegevens persoonsgegevens? Ja, dan wel. Maar niet nu al. Dat is dus op zichzelf geen redelijk middel om tot herleiding te komen.

In dit specifieke geval geldt overigens dat bij een mogelijke hack bij de NZa de HoNOS+-gegevens anoniem blijven en de declaratiegegevens versleuteld. Ook voor een hacker zal het daardoor technisch gezien vrijwel onmogelijk (en in ieder geval verboden) zijn om de gegevens te herleiden tot individuen, omdat hij dan meerdere partijen zou moeten hacken.
Meer algemeen is er nog de discussie over patiëntprivacy, want ook als je heel formeel de gegevens anoniem noemt, blijft het een verplichting voor patiënten om zeer gevoelige informatie af te staan aan een grote, onzichtbare organisatie.

Net als bij de EHDS van gisteren is de conclusie hier: dat zit wel goed, want het is uitgebreid onderzocht en gemotiveerd, en bovendien verbonden aan een wettelijke regeling. Dat moet genoeg zijn in een democratische samenleving.

Hetzelfde geldt voor het medisch beroepsgeheim: ook dat mag worden doorbroken als dat wettelijk geregeld is, en die regeling op zichzelf maatschappelijk aanvaardbaar is. Daar heeft de wetgever over nagedacht en een redelijke afweging gemaakt, dus ook dat is in orde.

Arnoud

Kan de European Health Data Space zomaar je patiëntenrechten opzij zetten?

Photo by Tim Cooper on Unsplash

De European Health Data Space Verordening (EHDS) zorgt voor een wijziging van het medisch beroepsgeheim zoals we dat nu in Nederland kennen. Dat meldde Security.nl onlangs. Diverse lezers schreven me met grote zorgen over, omdat dit een enorme inperking is van je rechten als patiënt. Kan Europa dit zomaar doen, was de teneur.

De recent aangenomen European Health Data Space is een Europese wet (een verordening) die hergebruik van medische persoonsgegevens regelt. Dit gaat met name over patiëntdossiers en zogeheten secundair gebruik van gezondheidsgegevens, zoals voor wetenschappelijk onderzoek. Ook krijgen patiënten daarbij specifieke rechten.

De EHDS is er niet zonder discussie gekomen. Een belangrijk punt is dat de wet een vorm van opt-out kent, in plaats van opt-in oftewel toestemming zoals nu uit de AVG volgt. Ook is er kritiek dat de wet eigenlijk alleen gaat over gegevensbescherming, en meer abstracte zorgen over privacy en patiënten niet adresseert. Zeker bij medische gegevens kan het ook gewoon een inbreuk op je privacy zijn als die anoniem rondzwerven.

Formeel-juridisch is er niets mis met de EHDS. Deze is volgens de normale Europese processen als wetsvoorstel ingediend, behandeld en uiteindelijk aangenomen. In het Europees Parlement stemden 445 leden voor en 142 tegen, wat toch een ruime meerderheid is ten opzichte van de 720 mensen dat het orgaan telt. Stemmingen over wetten hoeven nooit unaniem te zijn, ook niet als de wet iets regelt over grondrechten zoals toegang tot persoonsgegevens.

De EHDS is een verordening, dus er komt geen aparte implementatiewet. Net als de AVG geldt deze gewoon – vanaf 26 maart 2027, om precies te zijn. Je kunt haar rechten dan direct inroepen.

Het gaat om medische persoonsgegevens, veel gevoeliger dan dat is er niet. Kan dat dan überhaupt wel, een wet maken die het delen en verspreiden daarvan toestaat? Jazeker, want dit grondrecht is niet zo keihard als bijvoorbeeld het slavernijverbod. Als er een duidelijke maatschappelijke behoefte is én de wet adequaat rekening houdt met de belangen van betrokken mensen, dan kan de wet regelen hoe zo’n grondrecht wordt “ingeperkt”, oftewel “legaal geschonden” zo je wilt.

Op papier ziet de EHDS er prima uit. Zo eist artikel 86 dat je een “bijzonder hoog niveau van bescherming en beveiliging” van deze gegevens moet krijgen, en bevat artikel 73 een trits specifieke maatregelen. Dat wordt verbonden aan cybersecuritystandaarden waartegen getoetst kan worden. Maar iedere norm is zo zwak als haar implementatie, dus een datalek is niet uit te sluiten.

Het is mogelijk om de EHDS bij de rechter ter discussie te stellen, net zoals Max Schrems bij diverse aspecten van de AVG doet en in Nederland ooit is gebeurd met onze wet bewaarplicht. Dat vereist alleen wel een heel diepgravend betoog van het hoe en waarom. Enkel een paar abstracte bezwaren stellen en hypothetische zorgen opwerpen gaat niet genoeg zijn.

Arnoud

Kun je met uitzetten van 2FA aansprakelijk zijn voor frauduleuze banktransacties?

Bunq betaalde in 2024 ruim tien miljoen euro terug aan klanten die slachtoffer werden van phishing. Dat meldde Tweakers vorige week. Er zijn vele klachten over het beveiligingsbeleid van de bank, vandaar dat zij haar beleid aanpaste. In de comments kwam een intrigerende vraag voorbij: je kunt de geavanceerde (2FA) beveiligingsmaatregelen uitzetten, maar schept dat aansprakelijkheid?

Bunq paste het beleid aan nadat de NOS en NRC in mei van 2024 concludeerden dat klanten van de bank disproportioneel vaak slachtoffer van phishing werden. Een punt van kritiek is dat bunq minder zou doen om fraude te bestrijden dan andere banken, bijvoorbeeld door 2FA niet te verplichten en minder vaak in te grijpen bij signalen van verdachte transacties.

In de comments bij Tweakers wordt dan gesteld “Ze hebben recent wat aanpassingen gedaan maar gelukkig ook een knop toegevoegd om alle extra beveiligingsdingen meteen weer uit te zetten – en daar zelf het risico voor te dragen.” Dat lijkt te gaan om zaken als de transactielimiet waarbij een extra authenticatie (securitycode of biometrie) nodig is.

Maar word je aansprakelijk als je die limiet sterk verhoogt en daardoor zeg 5000 euro kwijtraakt, terwijl toepassen van die authenticatie dat had kunnen voorkomen?

De juridische basis hiervoor is art. 7:529 BW:

De betaler draagt alle verliezen die uit niet-toegestane betalingstransacties voortvloeien, indien deze zich hebben voorgedaan doordat hij frauduleus heeft gehandeld of opzettelijk of met grove nalatigheid een of meer verplichtingen uit hoofde van artikel 524 niet is nagekomen.
Het idee is dan dat je door te kiezen voor “ik weet wat ik doe” je van ‘opzet’ mag spreken. Alleen gaat ‘opzet’ enkel over wat er in artikel 524 staat:
De betaaldienstgebruiker die gemachtigd is om een betaalinstrument te gebruiken, a.gebruikt het betaalinstrument overeenkomstig de voorwaarden die op de uitgifte en het gebruik van het betaalinstrument van toepassing zijn, en b.stelt de betaaldienstverlener, of de door laatstgenoemde gespecificeerde entiteit, onverwijld in kennis van het verlies, de diefstal of onrechtmatig gebruik van het betaalinstrument of van het niet-toegestane gebruik ervan.
Dus als je de voorwaarden opzettelijk schendt, zoals door je pincode op je pas te schrijven, dan ben jij aansprakelijk voor een onbevoegde pinopname. Maar je transactielimiet is geen voorwaarde.

Het is dan natuurlijk nog steeds mogelijk dat je een andere voorwaarde schond zoals inlogcodes delen. Als dat opzettelijk of met grove nalatigheid gebeurde, kun je nog steeds aansprakelijk zijn voor het verlies.

Gebruik van wat bunq Strong Customer Authentication (SCA) noemt, is wél een voorwaarde. Maar juist die is niet uit te zetten, dat ik kan vinden. Als dat wel zou kunnen, dan zou dat een enorm gat zijn.

Arnoud

Mag ik als SaaS-dienstverlener klantdata laten delen met een derde?

Photo by Claudio Schwarz on Unsplash

Een lezer vroeg me:

Wij leveren software-as-a-service diensten waarmee klanten data verwerken. Dit kunnen persoonsgegevens zijn. Onze klanten vragen ons om de mogelijkheid klantdata te delen met derden. Mogen wij dat faciliteren? Wij kunnen niet overzien of er toestemming is van de personen om wiens data het gaat, of dat er wel een verwerkersovereenkomst is met de ontvangende partij.
Dit is een vraag die ik regelmatig krijg. Vaak gaat het om SaaS diensten waarbij de vraag gaat om een koppeling of API, zodat de toegang door de derde automatisch mogelijk is. Maar soms wordt ook handmatige assistentie gevraagd, zeg maar “kun je een database dump naar partij X sturen voor ons”.

Juridisch maakt dat niet heel veel uit. Het gaat hier om persoonsgegevens die de klant verwerkt in het systeem. In termen van de AVG is de dienstverlener dan de verwerker, omdat de klant bepaalt voor welke doelen dit gebeurt. In die context is het ook de keuze van de klant wie toegang mag hebben tot de gegevens, dus als die een derde partij aanwijst dan heeft de verwerker dat maar uit te voeren.

Een specifieke zorgplicht voor de verwerker om na te gaan of dat wel rechtmatig is, kent de AVG niet. Dus tenzij je zelf heel duidelijke aanwijzingen ziet dat hier iets misgaat, hoef je hier niet aan te twijfelen. Hetzelfde geldt vanuit je algemene zorgplicht als ict-dienstverlener.

Bij een API koppeling of delen/share-functie is het vaak zelfs niet eens mogelijk om zo’n check te doen. Als iemand een geldige API-sleutel heeft, dan moet dat wel dankzij een autorisatie van je klant zijn (behoudens aanwijzingen voor cyberinbraken) dus dan is dit geautoriseerd.

Als verwerker ben je wel gehouden te zorgen dat dit op een veilige manier gebeurt, uiteraard tot het eindpunt van afleveren bij die derde. Dus de API moet een beveiligd kanaal hebben, het sleutelbeheer moet conform de stand der techniek gebeuren en ga zo maar door. Een Excelbestand maken en via de mail versturen naar het mailadres dat de klant in een ticket doorgaf, zou ik wat riskant vinden.

Arnoud

Moet mijn accountant een kopie van mijn identiteitsbewijs maken?

Photo by OpenClipart-Vectors on Pixabay

Een lezer vroeg me:

Ik ben ZZP’er en mijn accountant vraagt om een kopie van mijn identiteitsbewijs in het kader van de Wwft. Mijn vraag is: is het echt noodzakelijk dat mijn accountant een kopie van mijn identiteitsdocument bewaart? Kan hij niet gewoon alleen het nummer daarvan opschrijven, als bewijs dat hij het heeft gezien?
Korte antwoord: Dat is hij wettelijk verplicht, en nee er mogen geen doorhalingen of watermerken op gezet.

De Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) eist van organisaties zoals accountants dat zij cliëntenonderzoek doen. Hiermee wordt het moeilijker voor criminelen om illegaal verkregen gelden in het financiële systeem te brengen of terroristische activiteiten te financieren, is de gedachte. Dit wordt ook wel de “poortwachtersfunctie” genoemd.

De accountant moet dus met zekerheid kunnen vaststellen wie de cliënt is. Dit moet met een wettig identiteitsbewijs. (Er is wat discussie over het rijbewijs, maar dat terzijde.) En de accountant moet kunnen aantonen dat aan de wettelijke verplichtingen is voldaan bij eventuele controles door toezichthouders.

De kopie dient dus als bewijs bij zo’n controle dat de accountant de identificatie van de cliënt heeft gedaan (artikel 33 Wwft). En de reden dat daar geen strepen of watermerken overheen mogen, is omdat dan bepaalde echtheidskenmerken niet meer te verifiëren zijn. Nee, ik weet ook niet welke dat zijn die verifieerbaar zijn op een kopie maar dat is consequent wat banken zeggen en rechters accepteren, dus daar moeten we het mee doen.

In strijd met de AVG is dit ook allemaal niet. Omdat artikel 33 Wwft de kopie verplicht (en het bewaren daarvan), is er een AVG-grondslag – de wettelijke plicht. De AP bevestigt dit in een publicatie over identificatie bij financiële ondernemingen, maar ik weet dat de Rijksoverheid wat losser is met haar uitspraak dat “Banken en financiële dienstverleners zijn niet verplicht om een kopie of een scan van uw identiteitsbewijs te maken.”

Arnoud

Proton dreigt Zwitserland te verlaten bij aannemen nieuwe surveillancewet

Photo by kreatikar on Pixabay

Het Zwitserse Proton dreigt Zwitserland te verlaten als de regering een herziening van de surveillancewet aanneemt, las ik bij Tweakers. Nee, geen deeltje ontsnapt uit de Large Hadron Collider maar de versleuteldemaildienst ook wel bekend als Proton Mail. Het roept de vraag op, wat zouden ze werkelijk kunnen doen?

Proton is het bedrijf achter de dienst ProtonMail, maar men heeft ook aanverwante diensten zoals VPN, opslag en kalender. Unique selling point van het bedrijf is een volledige commitment aan data privacy en klantgeheim, inclusief client side encryption waarbij ook het bedrijf niet bij klantdata kan.

Voor veel mensen was het in 2021 raar te horen dat Protonmail op bevel toch bleek te loggen, ondanks dat men overal zegt niet te loggen. De reden was simpel: bij een concrete verdenking van een persoon moet ook Proton de in- en uitkomende mail loggen. De inhoud kan men niet bij, dus die hoeft niet te worden gegeven.

De aankomende wijziging van de Zwitsere surveillancewet zou dit moeten veranderen. Die wijziging ligt nu in internetconsultatie, dus er kan nog veel wijzigen, maar inderdaad staat hier een decryptieplicht in van mails die jouw dienstafnemers versturen, voor zover dat voor jou technisch haalbaar is.

Als ik zelf met GPG uitgaande mails versleutel, hoeft Proton dus niets te doen. Maar als ik hún encryptie gebruik, dan moet Proton dus een achterdeur hebben voor het geval Justitie eist dat mijn mail toegankelijk moet worden. En dat is precies wat Proton niet wil.

Inderdaad gaat dit erg ver, veel verder nog dan ook in Europa ter discussie staat. Een algemene decryptieplicht ligt al een tijdje niet meer op tafel, de discussie hier gaat over het automatisch meekijken bij verstuurde afbeeldingen of er kindermisbruik op te zien is.

Of het wetsvoorstel het gaat halen, kan ik zo niet inschatten. In het bronartikel bij Der Bund staat nog dat het voorstel tegen een arrest van de hoogste Zwitserse rechter in gaat, maar dat is natuurlijk geen argument. Een wetgever mág wetten maken die jurisprudentie aan de kant schuift, dat is hun goed recht. Tenzij de wet tegen hoger recht aanbotst, zoals het EVRM (waar Zwitserland bij zit), maar dat is hier geen uitgemaakte zaak.

Arnoud

Hoe kan ik met SCC’s nou regelen dat de NSA van mijn data afblijft?

Een lezer vroeg me:

Mocht het Data Privacy Framework (DPF) komen te vervallen, dan schrijft het kabinet dat we kunnen terugvallen op de modelcontractbepalingen (SCC’s) in onze contracten met cloud-providers om de privacy te waarborgen. Echter, hoe kan een contract met een cloud-provider nu zaken opvangen als het inperken van de toegang tot EU-gegevens door Amerikaanse inlichtingendiensten, zoals nu door DPF wordt gedaan?
Het Data Privacy Framework of DPF is een set afspraken tussen de VS en de EU, waarmee een zogeheten “adequaat niveau” van omvang met persoonsgegevens in de VS wordt vastgelegd. Op grond van het DPF is vervolgens door de Europese Commissie gesteld dat de VS een adequaat land is om persoonsgegevens heen te brengen, mits je dat doet binnen de kaders van het DPF.

Recent heeft president Trump leden van het voor het DPF essentieel orgaan, de Privacy and Civil liberties Oversight Board (PCLOB), ontslagen. Hierdoor is er geen quorum meer voor deze board om beslissingen te nemen, zodat ze effectief machteloos is geworden. Daarmee lijkt het DPF niet meer te voldoen aan de afspraken en is de kans groot dat het adequaatheidsbesluit moet worden ingetrokken.

Als dat gebeurt, kun je dus geen persoonsgegevens meer overbrengen naar de VS. Oftewel: geen US clouddiensten gebruiken voor opslag of verwerking daarvan. (Bij Europese dochterbedrijven met datacenters alhier is een ander verhaal.)

Naast dat adequaatheidsbesluit zijn er ook de zogeheten modelcontractbepalingen (SCC’s). Hiermee regel je het zelf: je spreekt met je Amerikaanse wederpartij regels af waarmee zij zich conformeren aan de AVG, kort gezegd. Daaronder valt ook het nemen van maatregelen die AVG overtredingen borgen, zoals het in strijd met de AVG afgeven van persoonsgegevens aan Amerikaanse justitie.

Een terecht punt is hoe je dat doet als de lokale wetgeving je daartoe juist verplicht. Dat punt was even minder relevant, omdat de redenering was dat dóórdat het DPF en het adequaatheidsbesluit er waren je mocht aannemen dat dit niet zomaar zou gebeuren. Een adequaat land mág haar justitie dingen laten vorderen, die kaders zijn gewoon AVG-conform – dat is het punt van het land adequaat achten. Het zit wel goed daar.

Dat argument staat natuurlijk op losse schroeven als dat adequaatheidsbesluit nu ingetrokken wordt door het wegvallen van het DPF. Wat heb je dan nog om te zeggen, mijn Amerikaanse wederpartij kan zich gewoon aan de SCC afspraken houden?

In een recente kamerbrief zegt onze staatssecretaris Digitalisering en Koninkrijksrelaties daarover dat “Mocht het DPF komen te vervallen, dan zal mogelijk middels een DTIA gekeken moeten worden naar de vraag of er (en zo ja welke) aanvullende waarborgen of maatregelen moeten worden genomen om de in de AVG vereiste rechtsbescherming voor natuurlijke personen te waarborgen.” Dat schuift dus het probleem voor ons uit.

Terzijde: Of Amerikaanse inlichtingendiensten stiekem bij data kunnen is volledig irrelevant voor deze discussie. Dat is een beveiligingskwestie, maar staat los van de vraag of je van de AVG je data mág opslaan daar. Die vraag gaat pas spelen als overheidsinstellingen op grond van de wet vorderen dat ze data mogen hebben, dus juridisch in plaats van gewoon praktisch er bij willen. De NSA is hetzelfde als iedere willekeurige indringer van buitenaf.

Arnoud