Verslag Workshop Dataprivacy met bureau Brandeis

Adres
Radisson Blu Hotel, Schiphol-Rijk
Datum(s)
12 november 2015 - 12 november 2015
Tijd(en)
12.30 - 15:30
Organisator
Interxion en bureau Brandeis
Contact

Andrea Wigman

Website
Dataprivacy Workshop
Locatie
Netherlands

Na het tumult en de media-aandacht rondom de NSA-onthullingen, de Patriot Act – inmiddels opgevolgd door de USA Freedom Act – en PRISM, vragen veel bedrijven en organisaties zich af of hun gegevens wel veilig zijn. Door de onrust voelen ze de urgentie om passende maatregelen te treffen voor de bescherming van confidentiële data en klantgegevens. Bijvoorbeeld door hun gegevens op te slaan binnen de landsgrenzen of tenminste binnen de Europese Unie. De vraag is of hiermee hun data wél veilig zijn en welke garanties lokale opslag nu precies biedt.

Om bedrijven en organisaties te helpen wegwijs te worden in de complexe dataprivacywet- en regelgeving, feiten en perceptie van elkaar te scheiden en hen praktische handvaten te bieden, organiseerde Interxion, een Europese leverancier van cloud- en carrier-neutrale datacenterdiensten en advocatenkantoor bureau Brandeis een kennissessie over dataprivacy. Plaats van handeling was het Radisson Blu Hotel in Schiphol-Rijk. Onder de bijna veertig geïnteresseerden die op de sessie waren afgekomen, waren directeur-eigenaren, CIO’s, IT-managers en security- en legal-specialisten van IT-dienstverleners en cloud-leveranciers, alsmede vertegenwoordigers van belangenorganisaties als NFIA en Nederland ICT.

Na te zijn welkom geheten door Michael van den Assem, algemeen directeur van Interxion Nederland, verzorgden Machteld Robichon en Vita Zwaan van bureau Brandeis een presentatie waarin zij dieper ingingen op de actuele ontwikkelingen in de Nederlandse, Europese en Amerikaanse wet- en regelgeving. Maurice Tijhuis, medeoprichter van Twinfield, internationaal aanbieder van online boekhoudoplossingen voor ondernemers en accountants en onderdeel van Wolters Kluwer, vertelde welke stappen zijn bedrijf heeft genomen om de privacygevoelige gegevens van klanten veilig te stellen.

Toepassing US Freedom Act en situatie in Nederland, Machteld Robichon en Vita Zwaan

Robichon en Zwaan beginnen hun presentatie met het nieuws dat Microsoft de gegevens van Europeanen gaat opslaan in datacentra in Duitsland, om zijn klanten te beschermen tegen surveillance van de VS. De datacenters zullen onder toezicht staan van telecomprovider Deutsche Telekom. Op deze manier zou de data van Europese Microsoft-klanten zowel technisch als juridisch in Europese landen bewaard worden en zo buiten het bereik van de VS vallen. Als dit voorbeeld nog niet afdoende duidelijk had gemaakt dat veel bedrijven en organisaties zoekende zijn als het gaat om het beschermen van privacygevoelige gegevens, blijkt dat wel uit de stortvloed aan vragen die bij het begin van hun presentatie op de beide advocaten wordt afgevuurd. De vragen hebben onder meer betrekking op de consequenties van een Amerikaans investeringsbelang van twintig procent, een revenu-stroom richting Amerika en toegang tot gegevens via reguliere rapportages.

Patriot Act en Freedom Act
Dit soort vragen zijn het gevolg van Amerikaanse regelgeving die is opgesteld na de aanslagen van 9/11 en die voorziet in ruimere bevoegdheden voor Amerikaanse overheidsinstanties en opsporingsautoriteiten. Het begon met de Patriot Act, met aanpassingen aan de Foreign Intelligence Surveillance Act (FISA) en National Secruity Letters (NSL’s). De Patriot Act heeft geen extraterritoriale werking, maar wel extraterritoriale gevolgen. Concreet komt het hier op neer dat Amerikaanse autoriteiten onder bepaalde voorwaarden de bevoegdheid hebben om gegevens op te vragen bij een Amerikaanse entiteit die een zekere band heeft met een bedrijf dat zelf niet in de VS is gevestigd. Hierbij valt te denken aan een hoofdkantoor, een bijkantoor of een cloud service provider buiten Amerika. Hiervoor moet de betrokken entiteit natuurlijk wel onder de Amerikaanse rechtsmacht vallen. Of de Amerikaanse entiteit vervolgens inderdaad gedwongen kan worden om gegevens te overhandigen die buiten de VS zijn opgeslagen, wordt in de huidige rechtspraak bepaald aan de hand van drie criteria, namelijk Possession, Custody en Control. Possession heeft betrekking op de eigendom van gegevens en omvat naast het juridische eigendom en de fysieke toegang ook de mogelijkheid om materiaal praktisch gezien in handen te krijgen. Het maakt daarbij niet uit of de entiteit de gegevens voor zichzelf houdt of dat voor een ander doet (custody). Bij control ten slotte, gaat het om de mate van controle die er is en de mogelijkheid om bepaalde gegevens te verkrijgen, bijvoorbeeld bij een entiteit buiten de VS. De Patriot Act is inmiddels opgevolgd door de Freedom Act.

Nederlandse wet- en regelgeving
Bedrijven die in Nederland opereren, hebben in de eerste plaats natuurlijk van doen met de Nederlandse en Europese wet- en regelgeving. Nederlandse wetten die in het kader van het opvragen van gegevens door opsporingsinstanties en de bescherming van persoonsgegevensvan belang zijn, zijn het Wetboek van Strafvordering, de Wet op de inlichtingen- en veiligheidsdiensten (Wiv), de Telecommunicatiewet (Tw) en de Wet bescherming persoonsgegevens (Wbp). Aan de ene kant staat Nederland als ‘vrij streng’ te boek als het gaat om de bescherming van de privacy op grond van de Wbp. De handhaving in Nederland gebeurt door het CBP. Vanaf 1 januari 2016 kan het CBP boetes tot maximaal 810.000 euro of tien procent van de jaaromzet opleggen. Vanaf deze datum geldt ook een meldplicht voor datalekken. Aan de andere kant is er een aantal wetsvoorstellen aanhangig dat de bevoegdheden voor opsporingsinstanties om toegang tot gegevens te krijgen aanzienlijk verruimt, zoals het wetsvoorstel computercriminaliteit III en de nieuwe Wiv. Het verzet vanuit de markt hiertegen is echter groot, waardoor het nog allerminst zeker is in welke vorm dit wetsvoorstel er door komt. Nederland heeft hierbij te opereren binnen de kaders die door de Europese Unie worden gesteld.

Europese Verordening
Op dit moment is de Europese Privacyrichtlijn nog van toepassing. Verplichtingen die hierin zijn opgenomen, hebben onder meer betrekking op het melden van het gebruik van persoonsgegevens bij de toezichthouder en het informeren van klanten over welke persoonsgegevens voor welke doeleinden worden gebruikt door de organisaties die de gegevens gebruiken. Ook omvat de Richtlijn bepalingen over welke data bewaard mogen worden en voor hoe lang. Elke lidstaat heeft de Europese Privacyrichtlijn omgezet in zijn eigen nationale wetgeving (voor Nederland is dit de Wbp), waardoor er per land dus verschillen in wet- en regelgeving kunnen bestaan. De EU is momenteel echter druk doende om de sterk verouderde richtlijn te vervangen en de bescherming van persoonsgegevens binnen de Europese Unie te regelen in de zogenaamde Privacy Verordening. Deze Verordening moet voorzien in een overkoepelende set van regels waar alle Europese landen zich aan dienen te houden. Het moet de rechten van individuen beter borgen en de nationale Data Privacy Agency’s (DPA’s) zouden hiermee effectiever en beter moeten kunnen samenwerken. Indien het voorstel wordt aangenomen, kunnen bedrijven boetes opgelegd krijgen voor overtredingen, die maar liefst twee tot vijf procent van hun wereldwijde omzet kunnen bedragen. De verwachting is overigens dat de Privacy Verordening niet voor de eerste helft van 2018 in werking gaat treden.

Doorgifte naar derde landen
Met name het doorgeven van persoonsgegevens aan derde landen is op het moment een hot issue. De huidige situatie bestaat er uit dat dit is toegestaan als het derde land een “passend beschermingsniveau” biedt. Maar ook als dit niet het geval is zoals in de VS, zijn er een aantal uitzonderingen om gegevens toch door te geven. Deze uitzonderingssituaties zijn: ondubbelzinnige toestemming van de betrokkene, Binding Corporate Rules binnen een organisatie, Safe Harbor voor de VS (beschikking Europese Commissie 2002) en het modelcontract van de Europese Commissie. Het Europese Hof van Justitie heeft echter op 6 oktober 2015, in de zogenoemde Schrems-zaak, de doorgifte van gegevens op basis van de Safe Harbor-beschikking onrechtmatig verklaard, op basis van het feit dat de Amerikaanse wetgeving de uitzonderingsituaties altijd overruled. Vooralsnog geldt dat de overige uitzonderingen toegestaan blijven, maar waar het de doorgifte van gegevens naar de VS betreft, geldt ook hierbij dat deze oplossingen niet voldoende waarborgen bieden vanwege de verstrekkende Amerikaanse wetgeving. Op dit moment onderhandelen de Europese Commissie en de VS over een Safe Harbor 2.0. De nieuwe Safe Harbor moet voor het eind van januari 2016 zijn opgesteld. De Europese toezichthouders hebben aangekondigd vanaf februari 2016 op te zullen treden tegen bedrijven die gegevens doorgeven aan de VS op grond van de oude Safe Harbor beschikking.

Ter afsluiting stellen Robichon en Zwaan dat het, in het licht van de internationale dataprivacywetgeving en de actuele ontwikkelingen daarin, te allen tijde zaak is om een zo goed mogelijke scheiding aan te brengen tussen enerzijds de bedrijfsvoering in Nederland dan wel Europa en anderzijds de bedrijfsvoering in Amerika. Dit betekent een scheiding in zeggenschap of command structure, een scheiding in mensen én een scheiding in IT. Op welke manier dat het beste ingevuld kan worden, verschilt per case, omdat het bovenal maatwerk is.

Meer uitgebreide en gedetailleerde informatie vindt u in de whitepaper Dataprivacy van Interxion. Ook kunt u contact opnemen met Interxion via 061 162 0239 of floors@interxion.com of bureau Brandeis via 020 7606 505 of machteld.robichon@bureaubrandeis.com / vita.zwaan@bureaubrandeis.com. Een volgende kennissessie over het thema Dataprivacy staat gepland voor februari / maart, wanneer als het goed is de opvolger van Safe Harbor bekend is en er wellicht ook al meer duidelijkheid is over hoe de Nederlandse en Europese wetgeving zich gaat ontwikkelen. Houd voor de exacte datum de website van Interxion Nederland (www.interxion.nl) in de gaten.

Interxion Attendees

Extra Informatie