Zin en onzin over PRISM, Patriot Act en de Wet

Zin en onzin over PRISM, Patriot Act en
de Wet bescherming persoonsgegevens
Wet-en regelgeving met betrekking tot het verwerken
van gegevens bij gebruik van IT-diensten
Samengesteld door
Schuberg Philis en Allen & Overy
Februari 2014
2
White paper | 2014
3
Inhoudsopgave
1. Inleiding
6
2. Soorten wet- en regelgeving
7
3.Wet bescherming persoonsgegevens & USA Patriot Act 8
4. Risico’s in de praktijk
11
5. Het beperken van risico’s
12
6. Conclusie
14
Annex 1 – Frequently Asked Questions m.b.t de Wbp
15
Annex 2 – Bepalingen van Amerikaans federaal recht
19
Annex 3 – Overzicht van bepalingen
23
Annex 4 – Cases
27
Annex 5 – Nieuwe wetgeving
31
Annex 6 – Risico’s voor Nederlandse bedrijven
33
4
White paper | 2014
5
Voorwoord
Het publiek is in 2013 opgeschrikt door schandalen en
bevestigde vermoedens van extreem gebruik en soms zelfs
misbruik van spionagesystemen, met betrekking tot veilig
geachte data in Nederland en daarbuiten. De balans tussen
de onderzoekscapaciteiten van overheden en rechterlijkeen politieke controlemechanismen lijkt verstoord, in
sommige gevallen is van controle zelfs geen sprake.
In dezelfde periode is Nederland geconfronteerd met een
hausse van DDoS-aanvallen op vitale onderdelen van de
samenleving, waaruit de kwetsbaarheid van onze
genetwerkte samenleving eens te meer blijkt.
Ondertussen gaat de technologische groei in fors tempo
door. Niet alleen groeit de hoeveelheid en het soort
gegevens dat wordt verzameld en bewust of onbewust
via netwerken toegankelijk wordt gemaakt, ook het
vermogen om uit al deze data iets zinnigs te halen maakt
een exponentiële ontwikkeling door: wat niet lang geleden
een onbruikbare berg gegevens zou zijn geweest, wordt
door de opkomst van nieuwe technologieën behapbaar,
inzichtelijk en waardevol. De meetbare mens en
maatschappij komen dichterbij...
kunnen wapenen tegen het schenden van de vele
regels en de risico’s van enorme boetes en hoe
zij het verlies van vertrouwen van consument en
burger kunnen minimaliseren.
Wij merken dat in de recente discussies over deze
ontwikkelingen zin en onzin nogal eens door elkaar lopen.
Dat heeft ons gemotiveerd om de feiten met betrekking
tot de nationale en internationale wet- en regelgeving
op een rij te zetten, in het bijzonder de Wbp en de USA
Patriot Act. Wij behandelen vragen als: welke eisen legt
de wetgever ons op? Wat is de relevantie van de USA
Patriot Act? Wat zijn Safe Harbor-principles? Op welke
wijze kan een Nederlands bedrijf zich wapenen tegen
onbedoeld niet nakomen van de regelgeving? Welke risico’s
lopen bedrijven en organisaties als persoonsgegevens
op straat komen te liggen?
Met dit document willen wij de lezer een houvast bieden
bij het navigeren tussen wetgeving, verantwoordelijkheid
en risico’s bij het contracteren van IT-diensten1.
Dit alles speelt in een periode dat de Wet bescherming
persoonsgegevens (Wbp) zal worden vervangen door
een Europese Verordening. Indien het vervangend
wetsvoorstel ongewijzigd blijft, kunnen als gevolg van
deze verordening boetes worden opgelegd voor
overtredingen, die tot maar liefst twee procent van de
internationale omzet van een bedrijf kunnen oplopen.
De maatschappij is geschrokken en het vertrouwen
in overheden en bedrijven om zorgvuldig met
persoonsgegevens om te gaan heeft een flinke
deuk opgelopen. De vragen die wij in dit white paper
behandelen zijn hoe bedrijven en overheden zich
1
Pim Berger
Herald Jongen
Managing Director
Schuberg Philis
Advocaat en Partner
Allen & Overy
Volledigheidshalve merken wij op dat dit document geen juridisch advies bevat. Voor het bepalen van uw exacte juridische
positie dient contact te worden opgenomen met de juridische afdeling of een advocaat.
6
White paper | 2014
1.Inleiding
Kenmerkend voor huidige IT-diensten is dat de technische
infrastructuur doorgaans geografisch sterk is verspreid
en dat de geleverde diensten zelf op hun beurt weer sterk
geabstraheerd zijn van de daadwerkelijke locatie van de
infrastructuur. Denk bijvoorbeeld aan de recente
ontwikkelingen op het gebied van SaaS- en clouddiensten.
Door het gebruik van deze diensten wordt het complexer
om te bepalen waar persoonsgegevens zich daadwerkelijk
bevinden. Dit geografisch verspreide karakter verhoudt
zich vaak slecht tot de op landsgrenzen gebaseerde
afbakening waarvan de meeste wetgeving uitgaat.
We behandelen in dit White Paper twee veel
besproken problemen die hiermee verband houden.
Ten eerste het verbod dat in de Wbp is opgenomen
om persoonsgegevens buiten de Europese Economische
Ruimte (EER)2 te verwerken. Ten tweede de mogelijkheid
voor buitenlandse overheden om zich toegang te
verschaffen tot persoonsgegevens die worden
gehost bij een IT-Service Provider (IT-SP)
In dit White Paper komt aan de orde:
––welke soorten wet- en regelgeving relevant zijn
voor overdracht van persoonsgegevens buiten
de EER, en toegang tot persoonsgegevens door
buitenlandse overheden;
––wat deWbp en de Patriot Act daarover bepalen;
––wat in de praktijk belangrijke risico’s zijn; en
––hoe die risico’s beperkt kunnen worden.
2
Dit zijn de landen van de Europese Unie, aangevuld met Noorwegen, Ijsland en Liechtenstein.
7
2. Soorten wet- en regelgeving
Door het geografisch verspreide karakter van IT-diensten
kunnen meerdere rechtstelsels van toepassing zijn op
de gegevens van organisaties die verwerkt worden of
opgeslagen zijn binnen een IT-dienst. In grote lijnen
kennen veel landen de volgende wetgevingskaders:
(a) wetgeving betreffende privacy en/of bescherming
van persoonsgegevens;
Deze wetgeving ziet enerzijds op bescherming van
privacy van de betrokken personen: het recht om
sommige zaken voor jezelf te houden. Anderzijds
ziet deze wetgeving erop toe dat personen controle
kunnen uitoefenen op gegevens die anderen over
hen bezitten. Deze wetgeving bevat in Europese
landen ook beperkingen om gegevens door te geven
buiten de EER.
Naast wetgeving betreffende privacy en bescherming
van persoonsgegevens, zijn ook relevant:
(b)wetgeving betreffende strafrechtelijke onderzoeken;
(c)wetgeving betreffende onderzoeken door
toezichthouders en belastingdiensten; en
(d)wetgeving betreffende inlichtingendiensten.
Deze soorten wetgeving zien op bescherming van
de algemene belangen, onder meer veiligheid, van
de maatschappij. Ze kennen bevoegdheden toe aan
overheden om inbreuk te maken op de privacy van
personen, maar ook van bedrijven, om het algemeen
belang te dienen. Deze bevoegdheden zijn met
waarborgen en controlemiddelen omkleed.
8
White paper | 2014
3.Wet bescherming persoonsgegevens
& usa Patriot Act
Voor een goed begrip van de hiervoor omschreven soorten
wetgeving behandelen we de relevante bepalingen van de
Wbp over doorgifte van persoonsgegevens buiten de EER
en bepalingen van de Amerikaanse Patriot Act die toegang
tot gegevens bij een IT-SP mogelijk maken. Deze
wetgeving wordt uitgebreider behandeld in Annex 1 en 2,
een overzicht van de relevante bepalingen
is opgenomen in Annex 3.
Wbp
Als een organisatie gebruik maakt van een IT-SP bij het
verwerken van persoonsgegevens voor haar activiteiten in
Nederland is de Wbp van toepassing. Persoonsgegevens
zijn heel ruim gedefinieerd (namelijk ieder tot een persoon
herleidbaar gegeven) zodat vrijwel alle verzamelingen van
data persoonsgegevens zullen bevatten (bijvoorbeeld in
een SAP bestand de namen van contactpersonen bij
crediteuren). Ook het begrip ‘verwerken’ is ruim
gedefinieerd. Zelfs het eenvoudig opslaan van een beperkt
aantal persoonsgegevens door een IT-SP valt vaak al onder
de reikwijdte van de Wbp3.
In de Wbp is een verbod opgenomen om
persoonsgegevens door te geven buiten de EER4.
Dat doorgeven kan al bestaan uit het simpelweg
buiten de EER raadpleegbaar maken van gegevens
via bijvoorbeeld een remote desktop. Door het eerder
genoemde geografisch verspreide karakter van IT-diensten,
lopen organisaties daarom het risico dat ze niet voldoen
aan de Wbp wanneer hun IT-SP gegevens wel buiten de
EER worden verwerkt. Ook bestaat door die geografische
spreiding het risico dat wet- en regelgeving van andere
landen van toepassing is en dat die conflicteert met de
Wbp. Dat kan onder andere het geval zijn als buitenlandse
regelgeving, zoals bijvoorbeeld delen van de Patriot Act,
3
4
5
6
een IT-SP verplicht om gegevens af te geven aan een
buitenlandse overheid terwijl de Wbp die doorgifte
juist verbiedt.
De Wbp kent meerdere uitzonderingen op de regel dat
persoonsgegevens niet buiten de EER mogen worden
verwerkt. In de praktijk zijn de meest relevante
uitzonderingen de volgende5:
1)Om het mogelijk te maken een dienst af te nemen van
een IT-SP met een geografisch verspreide infrastructuur
kan gebruik worden gemaakt van modelcontracten die
de Europese Commissie heeft opgesteld. Op basis
van deze modelcontracten is de doorgifte van
persoonsgegevens naar landen buiten de EER
toegestaan6. Deze contracten dienen dan te worden
afgesloten met de IT-SP.
2)Als gebruik gemaakt wordt van een Amerikaanse IT-SP,
kan gekozen worden voor gebruik van een IT-SP die
mee doet aan het Safe Harbor-programma. Dat is een
zelfcertificeringsprogramma, waarin de Amerikaanse
IT-SP verklaart zich te houden aan de beginselen van
het Europese gegevensbeschermingsrecht. In beginsel is
doorgifte aan een Safe Harbor IT-SP toegestaan mits de
organisatie die de gegevens verstrekt controleert dat de
IT-SP zich daadwerkelijk houdt aan de beginselen van
het gegevensbeschermingsrecht. Dat kan bijvoorbeeld
door een verklaring van een auditor te vragen.
Deze oplossingen kunnen doorgifte buiten de EER
mogelijk maken. Een organisatie die persoonsgegevens
op deze basis doorgeeft moet zich overigens wel blijven
houden aan zijn verplichtingen onder de Wbp, en daarom
ook een vinger aan de pols houden of haar IT-SP ook in
overeenstemming met de Wbp handelt.
Article 29 Data Protection Working Party – Opinion 1/2010 on the concepts of ‘controller’ and ‘processor’- http://ec.europa.eu/justice/policies/privacy/
docs/wpdocs/2010/wp169_en.pdf. Aangenomen wordt dat enkel het eenvoudige doorgeven van persoonsgegevens geen verwerken van
persoonsgegevens is.
In andere landen binnen de EER bestaat wetgeving die gebaseerd is op dezelfde Europese regels als de Wbp en daarom erg vergelijkbaar is, ook voor
wat betreft het verbod op doorgifte van gegevens buiten de EER.
In Annex 1 is een volledige lijst van uitzonderingen opgenomen.
Deze modelcontracten zijn te vinden op http://ec.europa.eu/justice/data-protection/document/international-transfers/transfer/index_en.htm#h2-5. Het is
van belang dat de contracten wel bindend zijn voor de IT-SP, en dat de IT-SP gedwongen kan worden om zijn verplichtingen na te komen. Zie hierover
nader Annex 1.
9
Ook het begrip ‘verwerken’ is ruim gedefinieerd. Zelfs het eenvoudigweg opslaan
van een beperkt aantal persoonsgegevens door een IT-SP valt vaak al onder de
reikwijdte van de Wbp
USA Patriot Act
Ook de Patriot Act wordt vaak aangehaald als een grote
bedreiging voor het verwerken van persoonsgegevens
bij een IT-SP, doordat de wet allerlei nieuwe bevoegdheden
zou scheppen om Amerikaanse autoriteiten toegang te
verschaffen tot data die gehost wordt bij een IT-SP.
De Patriot Act is anders dan men vaak denkt geen wet die
allerlei nieuwe bevoegdheden schept, maar een samenstel
van (gewijzigde) bestaande bevoegdheden. Deze
bevoegdheden bespreken we hieronder op hoofdlijnen.
Kort gezegd hebben Amerikaanse autoriteiten de volgende
bevoegdheden met betrekking tot IT-SP’s:
––de bevoegdheid om opgeslagen gegevens te vorderen;
––de bevoegdheid om technische apparatuur of software te
(laten) installeren waarmee gegevensverkeer onderschept
kan worden; en
––de bevoegdheid om volledige geheimhouding te
vorderen van de IT-SP met betrekking tot
bovenstaande punten (gag order).
Mogelijke gegevens die verzameld kunnen worden, zijn
de identiteit van gebruikers of abonnees van een IT-SP en
verkeersgegevens (meta data), maar ook de daadwerkelijke
inhoud van opgeslagen of verzonden gegevens (content).
Onder Amerikaans recht is toegang tot content aan
zwaardere voorwaarden onderhevig dan toegang tot meta
data. Ook is het onderscheppen van gegevens tijdens
verzending of tijdens tijdelijke opslag gedurende
verzending7 onderhevig aan zwaardere voorwaarden dan
het toegang verschaffen tot gegevens die opgeslagen staan.
Opgeslagen gegevens kunnen worden gevorderd van een
bedrijf of persoon die onder de Amerikaanse rechtsmacht
valt en die ‘possession, custody or control’ over die
gegevens heeft. Met andere woorden, een bedrijf of
persoon die over die gegevens kan beschikken. Het is dus
niet direct relevant op welk grondgebied een Amerikaans
bedrijf zijn gegevens opslaat (het kan dus ook de
Nederlandse vestiging van een Amerikaans bedrijf
betreffen), hoewel gegevens op Amerikaans grondgebied
eerder onder ‘possession, custody or control’ van een
persoon of bedrijf zullen zijn. Het onderscheppen van
gegevens kan door middel van installatie van apparatuur
of software op Amerikaans grondgebied, ongeacht de
bestemming of oorsprong van die gegevens. Ook het
onderscheppen van gegevens door middel van gebruik
van apparatuur buiten de Verenigde Staten lijkt mogelijk.
De wet op grond waarvan dat mogelijk zou kunnen zijn,
de Foreign Intelligence Surveillance Act, is daarover echter
niet duidelijk8.
De waarborgen voor deze bevoegdheden zijn soms
beperkt. Niet in alle gevallen is er een specifiek gerechtelijk
bevel nodig. In sommige gevallen hoeft er zelfs geen
vermoeden van een misdrijf of een bedreiging voor de
nationale veiligheid te bestaan. Bij de uitoefening van
sommige bevoegdheden kan bovendien geheimhouding
worden opgelegd aan de betrokken IT-SP, zodat de klant
van die IT-SP niet op de hoogte mag worden gesteld van
de toepassing van die bevoegdheden door de autoriteit
(gag order).
Andere landen kennen vergelijkbare bevoegdheden als die
van de Amerikaanse autoriteiten. Wel bijzonder is de brede
Dat doorgeven kan al bestaan in het simpelweg buiten de EER raadpleegbaar
maken van gegevens via, bijvoorbeeld, een remote desktop
7
8
In de zaak United States vs. Councilman worden gegevens die ter transmissie vluchtig opgeslagen worden niet als ‘stored data’ gezien.
In beginsel mogen overheden niet ingrijpen op elkaars grondgebied, zo zou ook het zetten van een tap buiten Amerikaans grondgebied in beginsel niet
mogen. Het is echter denkbaar dat op grond van medewerkingsverplichtingen die aan de IT-SP opgelegd zijn bij de Amerikaanse wet een IT-SP op bevel
van een Amerikaanse autoriteit zelf een tap zet, of haar infrastructuur zo wijzigt dat vanuit Amerika getapt kan worden.
10
White paper | 2014
Het is dus niet direct relevant op
welk grondgebied een Amerikaans
bedrijf zijn gegevens opslaat
rechtsmacht die Amerikaanse autoriteiten hebben
om deze bevoegdheden toe te passen. Amerikaanse
autoriteiten hebben rechtsmacht over en kunnen dus
een bevel geven aan:
(a) rechtspersonen die zelf gevestigd zijn in de V.S.9;
(b)buitenlandse rechtspersonen die een vaste vestiging in
de V.S. hebben;
(c)buitenlandse rechtspersonen die stelselmatig en continu
hun bedrijf uitoefenen in de V.S.; en
(d)Amerikaanse burgers10.
Door deze ruime rechtsmacht zijn sommige
niet-Amerikaanse IT-SP’s blootgesteld aan vorderingen
tot het overleggen of onderscheppen van gegevens, zelfs
als zij geen vestiging in de Verenigde Staten hebben.
Bovendien is het mogelijk dat een Amerikaanse
werknemer, onderaannemer of groepsmaatschappij van
een niet-Amerikaanse IT-SP toegang tot gegevens moet
verschaffen als hij daarover ‘possession, custody or control’
kan uitoefenen.
Een ander belangrijk verschil met het recht van veel
andere landen, waaronder de Europese Unie als geheel,
is dat communicatie en gegevens van buitenlandse
personen naar Amerikaans recht minder bescherming
genieten dan communicatie waarbij Amerikanen betrokken
zijn. Dit komt doordat buitenlandse personen in beginsel
geen beroep kunnen doen op bescherming van de
Amerikaanse grondwet. Die verbiedt doorzoekingen en
inbeslagname zonder dat er sprake is van
(i) een sterk vermoeden dat daarbij bewijs van een misdrijf
zal worden gevonden;
(ii)een gerechtelijk bevel; en
(iii)een specificatie van de te doorzoeken locatie en
het gezochte.
Ook het aftappen of verzamelen van elektronische
gegevens wordt gezien als een doorzoeking die onder de
Fourth Amendement valt. Buitenlandse personen genieten
in principe geen bescherming tegen dergelijke praktijken.
Een indicatie van hoe ver de Amerikaanse autoriteiten
gaan bij het uitoefenen van de hierboven beschreven
bevoegdheden blijkt uit recente publicaties over
onder andere PRISM (het opvragen van gegevens bij
verschillende IT-SP’s zoals Google, Microsoft, Facebook),
MUSCULAR (het direct aftappen van verkeer in
datacenters van Yahoo en Google zonder hun medeweten)
en het zich toegang verschaffen tot Nederlandse en Franse
telefoongesprekken11. Ook moet worden opgemerkt dat
bekend is dat de NSA ook buiten het bereik van haar
toch al ruime bevoegdheden handelt12.
Ter verduidelijking van deze materie zijn in Annex 4
drie voorbeeldcases opgenomen waarbij wordt
geanalyseerd of Amerikaanse autoriteiten toegang
kunnen krijgen tot gegevens bij een IT-SP.
Door deze ruime rechtsmacht staan sommige niet-Amerikaanse IT-SP’s bloot aan
vorderingen tot het overleggen of onderscheppen van gegevens, zelfs als zij geen vestiging
in de Verenigde Staten hebben. Bovendien is het mogelijk dat een Amerikaanse
werknemer, onderaannemer of groepsmaatschappij van een niet-Amerikaanse
IT-SP toegang tot gegevens moet verschaffen
9
10
11
12
International Shoe Co. v. Washington. Zie ook Goodyear Dunlop Tires Operations, S.A. v. Brown voor een beschouwing over de vraag of het enkel
hebben van een groepsmaatschappij in de VS rechtsmacht kan scheppen. Dit wordt vaak aangenomen, maar ligt genuanceerder.
USC Title 28 Section 1783.
Voor een beknopt overzicht van de verschillende onthulde NSA programma’s tot dusver, zie http://www.nrc.nl/nieuws/2013/10/31/dit-is-wat-we-nuweten-over-de-nsa-de-onthullingen-op-een-rijtje.
Zie Wired Magazine, ‘NSA Illegally Gorged on U.S. Phone Records for Three Years’, door David Kravets, Kim Zetter, Kevin Poulson, http://www.wired.
com/threatlevel/2013/09/nsa-violations.
11
4. Risico’s in de praktijk
Organisaties moeten bij het gebruiken van een leverancier
aandacht hebben voor de vraag of er persoonsgegevens
buiten de EER doorgegeven worden (waarbij alleen al het
toegankelijk maken van die gegevens genoeg kan zijn).
Zo nodig moeten ze daar ook maatregelen voor treffen.
Voldoen zij niet aan deze regels, dan kunnen zij
aansprakelijk zijn voor de schade die daaruit voortvloeit
(al is die vaak moeilijk te bewijzen) en kan er een boete
worden opgelegd. Niet onbelangrijk in deze context is de
inhoud van het huidige wetsvoorstel voor een Algemene
verordening gegevensbescherming (zie Annex 5), die de
Wbp zal gaan vervangen en ook beperkingen op doorgifte
buiten de EER bevat. In deze verordening is vastgelegd dat
de maximale boetes bij overtreding van regelgeving over
de bescherming van persoonsgegevens kunnen oplopen
tot 2% van de wereldwijde omzet van een organisatie.
Ook moet zeker de kans op reputatieschade niet uit het
oog verloren worden. Indien in de media breed uitgemeten
wordt dat een bedrijf privacy regelgeving overtreedt kan
dit grote schade opleveren. Naming and shaming wordt
niet voor niets gezien als een van de belangrijkste
handhavingsmiddelen van toezichthouders.
Het is daarnaast van belang dat organisaties beseffen dat
hun gecontracteerde IT-SP door Amerikaanse (of andere
buitenlandse) autoriteiten verplicht kan worden om
elektronische gegevens te verstrekken. Bovendien is het
mogelijk dat dit gebeurt zonder dat de IT-SP dit mag
mededelen aan de klant. Dit kan ertoe leiden dat de
doorgiftebeperkingen uit de Wbp worden overtreden.
In zo’n geval is het van belang dat de organisatie er alles
aan heeft gedaan om zorgvuldig met een dergelijke situatie
om te gaan. Bijvoorbeeld door gedegen onderzoek te
verrichten naar de IT-SP, het opleggen van een verplichting
13
14
aan de IT-SP om gedwongen verstrekkingen van
gegevens te melden (voor zover toegestaan) en om
dergelijke verstrekkingen zo beperkt mogelijk te houden.
Voor sommige gegevens moet een organisatie wellicht
zelfs overwegen om gegevens niet onder te brengen bij
een IT-SP.
Ook los van conflicten met de Wbp kan toegang tot
gegevens door de Amerikaanse (of andere) autoriteiten een
risico zijn waar een organisatie goed over na moet denken.
Een bedrijf dat bijvoorbeeld wapensystemen ontwikkelt
voor defensie, of informatie bijhoudt over de economische
stabiliteit of energieonafhankelijkheid van een land, doet er
waarschijnlijk goed aan om de exposure ten opzichte van
buitenlandse autoriteiten te beperken en moet twee keer
nadenken voor ze haar infrastructuur bij een IT-SP
onderbrengt en zo ja, bij welke.
Wel moet op worden gemerkt dat buitenlandse autoriteiten
ook buiten een IT-SP om direct via infrastructuur toegang
kunnen krijgen tot gegevens. Aftappen van de New York
Internet Exchange is een vaak genoemd voorbeeld.
Hoewel dat vergezocht lijkt, blijken taps op infrastructuur
inderdaad gebruikt te worden. Dat blijkt uit onthullingen
over Amerikaanse spionagepraktijken, waarbij inderdaad
taps op live internetverkeer zijn gezet13, en het Britse
spionageprogramma TEMPORA14, waarbij taps zijn gezet
op de trans-Atlantische internetkabels. Ook is het zo dat
tussen overheden al sinds jaar en dag verdragen bestaan
op grond waarvan ze elkaar onderling toestaan
opsporingsbevoegdheden op hun eigen territoir uit te
oefenen, of anderszins gegevens te delen. Dit zijn echter al
met al hogere drempels om te passeren dan simpelweg
afgifte van de gegevens bevelen van een IT-SP.
Wired Magazine, Declassified Documents Prove NSA Is Tapping the Internet, David Kravets, http://www.wired.com/threatlevel/2013/08/
nsa-tapping-internet/.
The Guardian, ‘GCHQ taps fibre-optic cables for secret access to world’s communications’, Ewen MacAskill, Julian Borger, Nick Hopkins,
Nick Davies and James Ball, http://www.theguardian.com/uk/2013/jun/21/gchq-cables-secret-world-communications-nsa#
12
White paper | 2014
5. Het beperken van risico’s
De hiervoor omschreven risico’s zijn niet helemaal uit te
sluiten. Ze zijn wel deels te beheersen. Wel moet hier een
onderscheid gemaakt worden tussen multinationals en
bedrijven die met name in Nederland of Europa opereren.
Nederlands- of Europees
opererende bedrijven
Organisaties die enkel binnen Nederland of op Europees
niveau opereren, zoals overheidsinstanties, hebben meer
mogelijkheden dan multinationals om de besproken risico’s
af te dekken.
Beperkingen van doorgifte die uit de Wbp voortvloeien,
kunnen het hoofd worden geboden door een beroep te
doen op één van de eerder genoemde uitzonderingen op
de Wbp en gebruik te maken van modelcontracten die de
Europese Commissie heeft opgesteld, of door middel van
het gebruik van een Amerikaanse IT-SP die voldoet aan de
Safe Harbor-principles. Europees- of enkel in Nederland
opererende bedrijven kunnen bovendien ook kiezen om
gebruik te maken van een IT-SP die geen infrastructuur
buiten de EER gebruikt bij zijn dienstverlening aan de
betreffende klant. Zo wordt de doorgifte beperking niet
overtreden. In dat geval is wel nodig dat de klant van de
IT-SP kan toetsen dat de persoonsgegevens inderdaad niet
buiten de EER worden verwerkt. Bij internationale IT-SP’s
die een wereldwijde infrastructuur hebben, maar een deel
daarvan afschermen als ‘European cloud’, waaronder
bijvoorbeeld Amazon, kan het lastig zijn om zo’n audit
uit te voeren, of wordt dit zelfs geweigerd. Dat gaat
gemakkelijker bij een puur lokale partij.
worden ontleend uit het kiezen van een lokale IT-SP die
niet onder buitenlandse regelgeving valt en daarom
niet mee hoeft te werken aan een bevel van buitenlandse
autoriteiten. Voor wat betreft Amerikaanse wetgeving zijn
de vereisten om buiten de Amerikaanse rechtsmacht te
vallen wel streng. Er moet een IT-SP geselecteerd worden
die amper of geen banden met Amerika heeft en die geen
Amerikaanse werknemers heeft, althans geen die toegang
hebben tot de gegevens (ring fencing).
Naast de selectie van de juiste IT-SP, kunnen ook
technische beschermingsmaatregelen nuttig zijn.
Versleuteling van gegevens kan op twee vlakken
behulpzaam zijn. Ten eerste zijn versleutelde gegevens
niet leesbaar voor derden zonder hulp van de organisatie
zelf, zodat er bescherming ontstaat tegen toegang door
buitenlandse autoriteiten. Er bestaat wel enige discussie
over hoe sterk de anti-encryptie capaciteiten van
bijvoorbeeld de Amerikaanse overheid inmiddels zijn15.
Ten tweede worden versleutelde gegevens niet als
persoonsgegeven gezien voor een persoon die ze niet
kan ontsleutelen, zodat doorgifte in versleutelde vorm
aan zo’n persoon geen doorgifte in de zin van de Wbp
is 16. De versleuteling moet in deze gevallen wel voor
verzending plaatsvinden en de gegevens moeten ook op
de plaats van opslag en tijdens de verzending van en naar
de plaats van opslag versleuteld blijven. De IT-SP moet de
gegevens niet kunnen ontsleutelen. In de praktijk zijn de
toepassingen hiervan dus grotendeels beperkt tot
eenvoudige opslag.
In Annex 6 is een schematisch overzicht opgenomen
van de risico’s voor Nederlandse bedrijven.
Het risico van toegang door buitenlandse autoriteiten is
moeilijker te beheersen. Hier kan met name bescherming
15
16
Er zijn redenen om te vermoeden dat de NSA veel soorten versleuteling inmiddels kraken kan. Zie onder meer Wired Magazine, NSA’s Decade-Long
Plan to Undermine Encryption Includes Backdoors, Stolen Keys, Manipulating Standards, Kim Zetter, http://www.wired.com/threatlevel/2013/09/
nsa-backdoored-and-stole-keys/, en The New York Times, N.S.A. Able to Foil Basic Safeguards of Privacy on the Web, Nicole Perlroth, Jeff Larson,
Scott Shane, http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html?page1&_r=0. Er wordt echter ook anders over gedacht.
Zie bijvoorbeeld Wired Magazine, What Exacly Are the NSA’s Groundbreaking Cryptanalytic Capabilities?, Bruce Scheier, http://www.wired.com/
opinion/2013/09/black-budget-what-exactly-are-the-nsas-cryptanalytic-capabilities/.
Article 29 Data Protection Working Party – Opinion 4/2007 on the concept of personal data” http://ec.europa.eu/justice/policies/privacy/docs/
wpdocs/2010/wp169_en.pdf. Aangenomen wordt dat enkel het eenvoudige doorgeven van persoonsgegevens geen verwerken van persoonsgegevens
is, blz. 18.
13
Multinationals
Voor multinationals met vestigingen buiten Nederland
en Europa zijn de risico’s minder goed beheersbaar.
Vanuit het perspectief van de Wbp bezien zullen deze
bedrijven soms niet de optie hebben gegevens enkel
binnen de EER te verwerken, omdat de gegevens nu
eenmaal ook buiten de EER nodig zijn. Gebruik van een
aanbieder die zijn gehele relevante infrastructuur voor de
verwerking van gegevens enkel in Nederland of Europa
heeft is daardoor niet altijd mogelijk (of wenselijk).
Doorgaans zullen multinationals modelcontracten
gebruiken die doorgifte buiten de EER mogelijk maken.
Die contracten kunnen met de nodige aanpassingen
ook in worden gezet voor gebruik met een IT-SP.
Voor wat betreft Amerikaanse
wetgeving zijn de vereisten om buiten de
Amerikaanse rechtsmacht te vallen wel
streng. Er moet een IT-SP geselecteerd
worden die amper of geen banden met
Amerika heeft en die geen Amerikaanse
werknemers heeft, althans geen die
toegang hebben tot de gegevens
(ring fencing)
Naast de selectie van de juiste
IT-SP, kunnen ook technische
beschermingsmaatregelen nuttig zijn
Voor wat betreft toegang door andere overheden hebben
multinationals een beduidend lastiger positie dan
organisaties die binnen één, of slechts een paar landen
opereren. Omdat multinationals in meerdere landen
vestigingen hebben, kunnen ze in die landen zelf bevolen
worden gegevens af te geven of te laten onderscheppen.
Neem het voorbeeld van toegang door Amerikaanse
autoriteiten: er is een goede kans dat een multinational
met een vestiging of dochtermaatschappij in Amerika
zelf vatbaar is voor een bevel om gegevens te verstrekken
die zich in Europa bevinden bij een groepsmaatschappij,
met name als die dochter of vestiging technisch in directe
verbinding staat met de rest van het bedrijfsnetwerk.
Het gebruik van een puur Nederlands opererende IT-SP
zonder banden met het buitenland kan daartegen dan geen
bescherming bieden. Een extra nadeel dat geldt bij het
opvragen van de gegevens bij een IT-SP, is dat het mogelijk
is dat de multinational hiervan niet op de hoogte is en zich
er daarom niet tegen kan proberen te verzetten.
14
White paper | 2014
6.Conclusie
Organisaties moeten bij het gebruik van IT-SP’s aandacht
hebben voor privacywetgeving die de verwerking van
gegevens buiten de EER verbiedt. Organisaties dienen zich
ook bewust te zijn van het risico dat gegevens die zij bij
een IT-SP opslaan in sommige gevallen toegankelijk zullen
kunnen zijn voor de Amerikaanse overheid. Dat is geen
specifiek Amerikaanse bevoegdheid, veelal zullen ook
andere overheden zich toegang kunnen verschaffen.
Al met al moeten de risico’s gemoeid met het inschakelen
van een IT-SP worden afgewogen tegen de operationele
voordelen die het gebruik van die IT-SP mee kan brengen.
Een beperkt risico op overtreding van de Wbp, of toegang
tot gegevens door buitenlandse autoriteiten, zal in
sommige gevallen moeten wijken om de grotere risico’s
te mitigeren die door een instabiel of onveilig IT-systeem
worden veroorzaakt. Een voorbeeld van een dergelijke
afweging is het gebruik van een IT-dienst van een
Amerikaanse dienstverlener om het risico van DDoSaanvallen op een Nederlandse site te beperken. Daarbij
moet er acht op worden geslagen dat de risico’s verschillen
voor multinationals enerzijds en slechts op Nederlands
of Europees niveau opererende organisatie anderzijds.
Voor Nederlands of Europees opererende bedrijven en
overheden zijn de risico’s beter te beheersen. Met name
kan het voor hen voordelen hebben om een lokale IT-SP
te gebruiken die geen banden heeft met het buitenland,
zijn infrastructuur ook lokaal heeft en geen Amerikaanse
werknemers heeft, althans geen die toegang hebben tot
bepaalde gegevens (ring fencing).
Een beperkt risico op overtreding van
de Wbp, of toegang tot gegevens door
buitenlandse autoriteiten, zal in sommige
gevallen moeten wijken om de grotere
risico’s te mitigeren, die door een
instabiel of onveilig IT-systeem
worden veroorzaakt
15
Annex 1
Frequently Asked Questions m.b.t. de Wbp
16
White paper | 2014
Wat is de Wbp?
1)De Wbp regelt hoe en wanneer persoonsgegevens gebruikt mogen worden. Het is de Nederlandse
implementatie van Europese Richtlijn 95/46/EC. Deze Richtlijn is in de hele Europese Unie en een aantal
andere landen geïmplementeerd in eigen wetgeving. De basisprincipes zijn daardoor binnen de Europese
Unie grotendeels gelijk. Op detailniveau bestaan er wel verschillen.
Wat is een persoonsgegeven?
2)Een persoonsgegeven is elk gegeven dat door diegene die erover beschikt, met de middelen die hem ter
beschikking staan, redelijkerwijs te herleiden is tot een identificeerbaar natuurlijk persoon.
Wanneer heb ik te maken met de Wbp?
3)Als je een persoonsgegeven verwerkt. Bijna iedere handeling met betrekking tot een persoonsgegeven is
een verwerking: opslaan, kopiëren, vergelijken, verzenden, comprimeren, versleutelen, enzovoorts. Ook het
doorgeven van persoonsgegevens aan een derde is een verwerking. De enige uitzondering van het begrip
‘verwerken’ is het simpelweg toestaan dat persoonsgegevens over jouw infrastructuur worden doorgegeven
zonder dat jij invloed op de gegevens kúnt hebben.
Wat zijn mijn verantwoordelijkheden?
4)De partij die de doelen en de middelen van de verwerking van persoonsgegevens bepaalt (“wij gaan
e-mailadressen verwerken om mailings te kunnen sturen door middel van CRM-Systeem ABC”), is
eindverantwoordelijk voor de verwerking: de verantwoordelijke. Als je een IT-SP inschakelt, ben jij dat
meestal. De Wbp legt dan meerdere verplichtingen op die je na moet komen:
(a) je mag alleen voor een specifiek doel persoonsgegevens verwerken en alleen de gegevens die voor dat
doel echt nodig zijn;
(b) je mag de gegevens niet verder verwerken voor doelen die onverenigbaar zijn met degene waarvoor je ze
hebt verzameld (als vuistregel, om verenigbaar te zijn moet de betrokken persoon verdere verwerking
redelijkerwijs hebben kunnen verwachten toen hij zijn gegevens verstrekte);
(c) je moet de verwerking, het doel ervan en je identiteit als verantwoordelijke melden aan de betrokken
personen en (soms) inschrijven in het openbare meldingen register;
(d) de verantwoordelijke moet zorgen voor afdoende technische en organisatorische beveiliging (ook tegen
verlies) van de persoonsgegevens en de juistheid en nauwkeurigheid van de te verwerken gegevens;
17
(e) je moet een legitieme reden (grondslag in het jargon) hebben om persoonsgegevens voor dat doel te
verwerken, de meest voor de hand liggende zijn:
(i)je hebt toestemming17;
(ii)je moet de gegevens verwerken om een contract uit te kunnen voeren;
(iii)je moet de gegevens verwerken om een wettelijke verplichting na te komen; of
(iv)je hebt een gerechtvaardigd belang om de gegevens te verwerken, terwijl de privacy van de betrokkene
minder zwaar weegt.
(f ) je moet de betrokken personen hun gegevens laten inzien en waar nodig corrigeren (of verwijderen als je
ze niet meer nodig hebt)
Waarop moet ik letten als ik een IT-SP inschakel:
5) Als je een IT-SP inschakelt om gegevens voor je te verwerken doet deze dat onder jouw verantwoordelijkheid,
namelijk als bewerker. Je moet dan met de IT-SP een bewerkersovereenkomst sluiten.
In deze bewerkersovereenkomst moet je opnemen dat de IT-SP de persoonsgegevens vertrouwelijk behandelt,
dat hij deze adequaat beveiligt en dat de persoonsgegevens alleen op jouw instructie verwerkt worden. Je moet
er ook op toezien dat de IT-SP deze verplichtingen naleeft, bijvoorbeeld door een audit. Met betrekking tot
IT-SP’s is er bovendien een aantal andere zaken waarop je extra moet letten (deze kunnen zelfs relevant zijn als
je geen persoonsgegevens, maar andere gegevens laat verwerken). Het is belangrijk dat je in de overeenkomst
met de IT-SP bepalingen opneemt over18:
(a) beveiliging tegen verlies van de gegevens (zoals availability en back-up eisen);
(b) de juistheid en integriteit van de gegevens (zoals beveiligingseisen, logging en auditing);
(c) de mogelijkheid om je gegevens in een gangbaar formaat terug te vragen van de IT-SP, of bij een
andere IT-SP onder te brengen indien nodig (ook na beëindiging van het contract);
(d) de mogelijkheid de gegevens te verwijderen wanneer ze niet meer nodig zijn, inclusief eventuele back-ups
van die gegevens en log data (recht op verwijdering);
(e) de mogelijkheid om het inschakelen van derden door de IT-SP goed-of af te keuren en daaraan
voorwaarden te verbinden;
(f ) de mogelijkheid om informatie te krijgen over de locaties waar de IT-SP de gegevens verwerkt
(hiernaar moet je voorafgaand aan het aangaan van je contract ook informeren);
(g) meldingen als er ongeoorloofde toegang is geweest tot de gegevens of als de IT-SP gegevens heeft moeten
verstrekken op grond van een wettelijk verplichting; en
verplichtingen voor de IT-SP alle handelingen uit te voeren die nodig zijn voor jou om aan de Wbp
(en eventueel andere wetgeving, zoals de Wet op het financieel toezicht) te voldoen (zoals het laten inzien,
corrigeren en verwijderen van gegevens door betrokken personen).
17
18
Toestemming geldt alleen als de betrokken persoon volledig geïnformeerd is en daadwerkelijk een keuze had. Als hij niet anders kan dan toestemming
geven om je dienst te blijven gebruiken, geldt dat bijvoorbeeld niet en moet er een andere grondslag gebruikt worden.
Article 29 Data Protection Working Party – Opinion 05/2012 on Cloud Computing - http://ec.europa.eu/justice/data-protection/article-29/
documentation/opinion-recommendation/files/2012/wp196_en.pdf.
18
White paper | 2014
Wanneer mag ik gegevens buiten de EER verwerken (volledige opsomming)?
6) Als je persoonsgegevens buiten de EER wilt (laten) verwerken, moet een van de volgende uitzonderingen
van toepassing zijn19:
(a) de overdracht vindt plaats naar een bewerker of andere verantwoordelijke waarmee een contract is
afgesloten waarin de modelcontractbepalingen voor doorgifte zijn opgenomen, zoals die zijn vastgesteld
door de Europese Commissie;
(b) de overdracht vindt plaats naar een bewerker in de VS, die gecertificeerd is in het Safe Harbor-programma;
(c) je hebt een vergunning van de Minister van Justitie voor de overdracht;
(d) je kunt zelf garanderen dat het land een passend beschermingsniveau biedt (dit kan eigenlijk niet zonder
volledige analyse van wetgeving en toezicht in dat land);
(e) je hebt voor de overdracht ondubbelzinnige toestemming gekregen van de betrokken personen;
(f ) de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen jou en de betrokken
personen, of voor het nemen van precontractuele maatregelen die noodzakelijk zijn voor het sluiten
van een overeenkomst, naar aanleiding van een verzoek van de betrokken persoon;
(g) de doorgifte is noodzakelijk voor de sluiting of uitvoering van een in het belang van de betrokken
persoon tussen jou en een derde gesloten of te sluiten overeenkomst;
(h) de doorgifte is noodzakelijk vanwege een zwaarwegend algemeen belang, of voor de vaststelling,
de uitvoering, of de verdediging in rechte van enig recht;
(i) de doorgifte is noodzakelijk ter vrijwaring van een vitaal belang (een belang van leven of dood)
van de betrokken persoon; of
(j) de doorgifte geschiedt vanuit een register dat bij wettelijk voorschrift is ingesteld en dat voor eenieder, dan
wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd,
voor zover in het betrokken geval is voldaan aan de wettelijke voorwaarden voor raadpleging.
7) Let wel, overdracht op grond van (e) tot en met (h) is alleen toegestaan voor overdrachten die niet
grootschalig of regelmatig plaatsvinden20. Met betrekking tot verwerking door IT-SP’s bieden deze
gronden daarom doorgaans geen uitkomst.
8) Bij IT-SP’s zal met name het gebruik van modelcontracten (uitzondering (a)) een goede basis bieden.
Safe Harbor-certificatie (uitzondering (b)), waarin een IT-SP zelf aangeeft een toereikend beschermingsniveau
te bieden, biedt alleen uitkomst als de gegevens alleen in de VS worden verwerkt en dat zal juist bij IT-SP’s niet
altijd zo zijn. Bovendien dien je te onderzoeken of die IT-SP inderdaad aan zijn Safe Harbor-verplichtingen
voldoet, bijvoorbeeld door een verklaring van een auditor te vragen. Het aanvragen van een vergunning bij de
Minister van Justitie (uitzondering (c)) maakt ook alleen uitvoer van gegevens naar een specifiek land mogelijk.
Er moet daarbij ook rekening gehouden worden met het feit dat een dergelijk aanvraag een lange
administratieve procedure is.
9) Let wel, als verwerking buiten de EER mogelijk is door toepassing van een van deze uitzonderingen, ontslaat
dat je nog niet van de verplichtingen ten aanzien van de verwerking van persoonsgegevens zoals we hierboven
al opsomden.
19
20
Behalve Andorra, Argentinië, Australië, Canada, Faroer Eilanden, Guernsey, Isle of Man, Israel Jersey, Uruguay, Zwitersland. Deze landen beschermen
persoonsgegevens voldoende.
Article 29 Data Protection Working Party Working Document 12/1998: Transfers of personal data to third countries: Applying Articles 25 and 26
of the EU data protection directive, Adopted by the Working Party on 24 July 1998 (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/
1998/wp12_en.pdf).
19
Annex 2
Bepalingen van Amerikaans
federaal recht
20
White paper | 2014
Hieronder behandelen we de bepalingen onder Amerikaans federaal recht die de meest vergaande bevoegdheden
scheppen voor toegang tot data bij een IT-SP. We gaan niet in op bepalingen die met uitgebreide waarborgen
omkleed zijn, bepalingen die niet zien op inhoudelijke gegevens maar enkel verkeersgegevens of identificerende
gegevens van gebruikers21, of bepalingen waarvan het onwaarschijnlijk is dat ze tegenover een IT-SP zullen
worden toegepast22.
ECPA 2703
1)Op grond van ECPA 2703 mogen Amerikaanse overheidsinstanties opgeslagen elektronische gegevens
opvragen in het kader van een onderzoek. De wijze waarop dit kan verschilt naar gelang (i) het soort gegevens
(inhoud van de communicatie, gebruikersgegevens, of andere gegevens), (ii) de duur waarvoor de gegevens
opgeslagen zijn geweest (korter of langer dan 180 dagen) en (iii) de gebruiker van wie de gegevens opgevraagd
worden daarvan melding krijgt. Voor IT-SP’s is het met name van belang dat alle soorten elektronische
gegevens die langer dan 180 dagen opgeslagen zijn geweest bij een IT-SP door een bevoegd ambtenaar zonder
gerechtelijk bevel opgevraagd kunnen worden. Voorwaarde is wel dat daarvan melding gemaakt wordt aan de
betrokken gebruiker en dat deze gegevens enige relevantie hebben voor het lopende onderzoek. Met een
gerechtelijk doorzoekingsbevel, de zwaarste rechterlijke toets, kunnen alle soorten gegevens opgevraagd
worden, ongeacht de duur van de opslag.
Foreign Intelligence Surveillance Act (FISA), Section 1861
2)Op grond van USC Title 50, Section 1861 kan de directeur van de FBI of een gemandateerde agent
van toereikend niveau van eenieder, waaronder een IT-SP, alle soorten opgeslagen elektronische gegevens
opvragen. Voorwaarde is dat de gegevens relevant zijn voor een onderzoek naar spionage of terrorisme,
of om foreign intelligence information te verzamelen met betrekking tot een buitenlands persoon. Foreign
intelligence information wordt ruim uitgelegd. Hieronder wordt kortweg alle informatie verstaan die relevant
is voor de Verenigde Staten om zich te verdedigen tegen (i) aanvallen van andere landen en terroristen,
(ii) spionage, en (iii) de verspreiding van massavernietigingswapens, evenals alle informatie met betrekking tot
een land of regio die relevant is voor de buitenlandse betrekkingen van de Verenigde Staten. Voor toepassing
van deze bevoegdheid moet de FBI wél een gerechtelijk bevel vragen van de Foreign Intelligence Surveillance
Court. De waarborgen hiervan zijn echter beperkt tot het voldoen aan de formele criteria die hierboven
vermeld zijn. Deze beperkte toetsing is een gevolg van het feit dat, anders dan Amerikaanse burgers,
buitenlandse personen geen beroep toekomt op bescherming door de Fourth Amendment van de
Amerikaanse grondwet. De Fourth Amendment ziet toe op het verbod op doorzoekingen en inbeslagname
zonder dat er sprake is van (i) een sterk vermoeden dat daarbij bewijs van een misdrijf zal worden gevonden,
(ii) een gerechtelijk bevel en (iii) een specificatie van de te doorzoeken locatie en het gezochte. Ook het
verzamelen van elektronische gegevens valt hieronder23.
21
22
23
NB Ook verkeersgegevens en identificerende gegevens (meta data) kunnen een belangrijke informatiebron vormen. Dergelijke informatie kan met name
nuttig zijn om netwerken en verbanden te ontdekken en zo doelwitten te identificeren voor verdergaand toezicht.
Federal Rules of Criminal Procedure, Rule 41, Title 18 Section 2516, Title 18 Section 2709, Title 18 Section 3123, Title 50 Section 1804,
Title 50 Section 1842. We laten de bepalingen van afzonderlijke Staten buiten beschouwing.
Buitenlandse personen kunnen überhaupt geen beroep doen op de bescherming van de Amerikaanse grondwet. Ze worden ook in andere wettelijke
bepalingen achtergesteld bij Amerikaanse staatsburgers. De definitie van Foreign Intelligence Information ten aanzien is bijvoorbeeld subtiel anders,
ten aanzien van Amerikanen. Bij hen dient de gezochte informatie niet relevant, maar noodzakelijk te zijn.
21
FISA 1881a
3)Section 1881a maakt het mogelijk voor de Director of National Intelligence of de Attorney General om
zonder een specifiek gerechtelijk bevel een IT-SP te bevelen om medewerking te verlenen aan het verzamelen
van elektronische gegevens betreffende bepaalde personen, groepen, of regio’s24. In plaats van een gerechtelijk
bevel, wordt er een jaarlijkse autorisatie gevraagd om gegevens betreffende bepaalde doelwitten te verzamelen.
De specifieke aanbieder bij wie de gegevens verzameld worden hoeft echter niet opgenomen te zijn.
De verzameling van gegevens moet voornamelijk, maar niet uitsluitend, noodzakelijk zijn met het oog op
het verzamelen van ‘foreign intelligence information’. Verder mag de verzameling van gegevens niet bewust
gericht zijn op Amerikaanse personen of op binnenlandse communicatie in de Verenigde Staten en mag de
Fourth Amendment van de Amerikaanse grondwet niet geschonden worden. Zoals hierboven vermeld,
biedt de Fourth Amendment voor buitenlandse personen helaas geen bescherming.
4)De precieze bevoegdheden onder Section 1881a en de manier waarop ze worden toegepast zijn op dit
moment onduidelijk. De bewoording lijkt breed genoeg om zowel tapbevoegdheden als toegang tot opgeslagen
gegevens te omvatten25. Bovendien veronderstelt subsection (h)(1)(A) een vergaande medewerkingsplicht
van de IT-SP. Het lijkt erop dat deze gedwongen kan worden om specifiek voor het gebruik van deze
bevoegdheden faciliteiten te bieden. Onthullingen over onder meer het PRISM-programma lijken daar op te
wijzen, maar duidelijk is dit nog niet.
Gag order
5)Met betrekking tot de beide FISA-bepalingen kan tevens steeds een zogenaamde gag order worden opgelegd.
Dit is een verbod om melding te maken van ontvangst van het verzoek om gegevens. Hiertegen kan een IT-SP
zich verzetten. Hier geldt echter wederom dat buitenlandse personen in ieder geval geen bescherming toekomt
op grond van de Fourth Amendment.
Frequentie van gebruik
6)Er is beperkt informatie bekend over het gebruik van de FISA-bevoegdheden. Jaarlijks wordt er namelijk een
rapportage opgesteld met betrekking tot FISA-orders26. Daaruit blijkt dat over 2012 op grond van FISA 1861
212 verzoeken zijn gedaan. Al deze verzoeken zijn toegewezen. Over het algemeen kan dus worden gezegd dat
het aantal informatieverzoeken op grond van deze bepaling redelijk beperkt is (over het volume per verzoek is
weinig te zeggen). Over het gebruik van FISA 1881a bestaan helaas geen statistieken. De onthullingen over
het live tappen van internet 27 en overige spionageprogramma’s van de NSA in de zomer van 2013 wijzen erop
dat van deze bevoegdheid grootschalig gebruik wordt gemaakt.
24
25
26
27
Dit komt niet duidelijk uit de wettekst naar voren, maar blijkt uit het handboek ‘David S. Kris J. Douglas Wilson - National Security Investigations
and Prosecutions.
Erwin, Marshall C. en Liu, Edward C., NSA Surveillance Leaks: Background and issues for Congress, (July 2, 2013), blz. 7 en Van Hoboken, Joris V. J.,
Arnbak, Axel and Van Eijk, Nico, Cloud Computing in Higher Education and Research Institutions and the USA Patriot Act (November 27, 2012).
Available at SSRN: http://ssrn.com/abstract=2181534 or http://dx.doi.org/10.2139/ssrn.2181534, blz 19.
Statistieken voor meerdere jaren zijn beschikbaar op: http://www.fas.org/irp/agency/doj/fisa/.
Wired Magazine, Declassified Documents Prove NSA Is Tapping the Internet, David Kravets, http://www.wired.com/threatlevel/2013/08/
nsa-tapping-internet/.
22
White paper | 2014
23
Annex 3
Overzicht van bepalingen
White paper | 2014
Amerikaans Federaal Recht
Bepalingen buiten het strafrecht en de regulering van inlichtingen en veiligheidsdiensten laten we hier buiten beschouwing
LOCATIE DATA
Gegevens worden opgeslagen in de Nederland of door
Nederland getransporteerd
Machtiging rechter
noodzakelijk
ONDERSCHEPPEN OF
TOEGANG?
Gegevens worden niet opgeslagen in de Nederland of door
Nederland getransporteerd
Machtiging rechter
niet noodzakelijk
Machtiging rechter
noodzakelijk
Machtiging rechter
niet noodzakelijk
Verdenking van
een strafbaar feit
niet noodzakelijk
Verdenking van
een strafbaar feit
noodzakelijk
Verdenking van
een strafbaar feit
niet noodzakelijk
Verdenking van
een strafbaar feit
noodzakelijk
Verdenking van
een strafbaar feit
niet noodzakelijk
Verdenking van
een strafbaar feit
noodzakelijk
Verdenking van
een strafbaar feit
niet noodzakelijk
Verdenking van
een strafbaar feit
noodzakelijk
van inhoud
USC Title 50,
section 18021
USC Title 18,
section 2516
USC Title 50,
section 1881a
N/A
USC Title 50,
section 18021
N/A
USC Title 50,
section 1881a3
N/A
van
meta data
USC Title 50,
section 1842
USC Title 18,
section 3123
USC Title 50,
section 1881a
N/A
USC Title 50,
section 1842
N/A
USC Title 50,
section 1881a3
N/A
Amerikaanse IT-SP, of IT-SP
met vestiging in Amerika
Onderscheppen
tot opgeslagen
inhoudelijke
gegevens
USC Title 50,
section 18021
USC Title 50,
section 1861
USC Title 18,
section 27032
USC Title 50,
section 1881a
USC Title 18,
section 27032
USC Title 50,
section 18021
USC Title 18,
section 27032
USC Title 50,
section 1861
USC Title 18,
section 27032
USC Title 50,
section 1881a
Toegang
tot opgeslagen
meta data
USC Title 50,
section 1861
USC Title 18,
section 27032
USC Title 18,
section 27032
USC Title 18,
section 27032
USC Title 50,
section 1861
Als hierboven uiteengezet,
indien (1) er genoeg
banden tussen de IT-SP en
de VS zijn om rechtsmacht
te scheppen of (2) de VS
rechtsmacht heeft over
een derde die het
onderscheppen
kan faciliteren.
Als hierboven uiteengezet, indien (1) er genoeg banden tussen de IT-SP en
de VS zijn om rechtsmacht te scheppen, of (2) de VS rechtsmacht heeft over
derde die het onderscheppen kan faciliteren.
van meta data
Toegang
tot opgeslagen
inhoudelijke
gegevens
tot opgeslagen
meta data
1
2
USC Title 18,
section 27032
USC Title 18,
section 27032
USC Title 18,
section 27032
USC Title 18,
section 27032
N/A
N/A
Als hierboven uiteengezet,
indien (1) er genoeg
banden tussen de IT-SP en
de VS zijn om rechtsmacht
te scheppen of (2) de VS
rechtsmacht heeft over
een derde die het
onderscheppen
kan faciliteren.
N/A
N/A
Als hierboven uiteengezet, indien (1) er genoeg banden tussen de IT-SP en
de VS zijn om rechtsmacht te scheppen of (2) de VS rechtsmacht heeft over
een derde die possession, custody or control van de gegevens heeft.
Als hierboven uiteengezet, indien (1) er genoeg banden tussen de IT-SP en
de VS zijn om rechtsmacht te scheppen, of (2) de VS rechtsmacht heeft over
een derde die possession, custody or control van de gegevens heeft.
De machtiging van een rechter is niet noodzakelijk indien de communicatie onderschept wordt van apparatuur die uitsluitend door
of tussen buitenlandse mogendheden gebruikt wordt, of de gegevens uitsluitend verzameld worden van een locatie die openlijk en
exclusief onder de beschikkingsmacht van een buitenlandse mogendheid valt.
Afhankelijk van de mate van gerechtelijk toezicht, de duur van de opslag van de gegevens, en een eventuele mededeling aan de
USC Title 18,
section 27032
USC Title 18,
section 2709
van inhoud
Onderscheppen
USC Title 50,
section 1881a
USC Title 50,
section 1881a
USC Title 18,
section 2709
Niet-Amerikaanse IT-SP,
zonder vestiging in Amerika
24
3
persoon wie de gegevens betreffen, kunnen meer of minder soorten gegevens opgevraagd worden op grond
van Title 18, Section 2703.
Ervan uitgaande dat een IT-SP op grond van Title 50, Section 1881a verplicht kan worden apparatuur te
installeren die onderschepping van communicatie in het buitenland faciliteert.
25
Nederlands Recht
Amerikaanse IT-SP, of IT-SP
met vestiging in Amerika
LOCATIE DATA
Gegevens worden opgeslagen in de Nederland of door
Nederland getransporteerd
Machtiging rechter
noodzakelijk
ONDERSCHEPPEN OF
TOEGANG?
Machtiging rechter
niet noodzakelijk
Machtiging rechter
noodzakelijk
Machtiging rechter
niet noodzakelijk
Verdenking van
een strafbaar feit
niet noodzakelijk
Verdenking van
een strafbaar feit
noodzakelijk
Verdenking van
een strafbaar feit
niet noodzakelijk
Verdenking van
een strafbaar feit
noodzakelijk
Verdenking van
een strafbaar feit
niet noodzakelijk
Verdenking van
een strafbaar feit
noodzakelijk
van inhoud
N/A
126l, 126s, 126zf, 126m,
126t, 126zg WvSv**
126ne lid 3,
126ue lid 3 WvSv
251 WIV
126l, 126s, 126zf, 126m,
126t, 126zg WvSv**
126ne, 126ue,
126zm WvSv
N/A
N/A
Verdenking van
een strafbaar feit
niet noodzakelijk
van
meta data
N/A
126ne lid 3,
126ue lid 3 WvSv
251 WIV
126ne, 126ue,
126zm WvSv
N/A
126ne lid 3,
126ue lid 3 WvSv
N/A
126ne, 126ue,
126zm WvSv
tot opgeslagen
inhoudelijke
gegevens
N/A
125i, 125j, 126a,
126nd lid 6, 26nf, 126uf,
126zn, 126ng lid 2, 126ug
lid 2, en 126zo lid 2 WvSv
243, 212 WIV
125i, 125j, 126nd, 126ud,
126zl WvSv
N/A
125j, 126a, 126nd lid 6,
26nf, 126uf, 126zn,
126ng lid 2, 126ug lid 2,
126zo lid 2 WvS
243, 212, WIV
125j, 126nd, 126ud,
126zl WvSv
N/A
125i, 125j, 126a,
126nd lid 6, 126nf, 126uf,
126zn, 126zo lid 1 WvSv
243, 212 WIV
125i, 125j, 126n, 126u,
126zh WvSv**
126na, 126ua, 126nc,
126uc, 126zk, 126nd,
126ud, 126zl, 126ng lid 1,
126ug lid 1 WvSv
N/A
126a, 126nd lid 6, 126nf,
126uf, 126zn,
126zo lid 1 WvSv
243, 212 WIV
126n, 126u,
126zh WvSv** 126na,
126ua WvSv, 126nc,
126uc, 126zk 126nd,
126ud, 126zl, 126ng lid1,
126ug lid 1 WvSv
126l, 126s, 126zf, 126m,
126t, 126zg WvSv**
251 WIV
126l, 126s, 126zf, WvSv**
126m, 126t, 126zg WvSv
N/A
N/A
251 WIV
N/A
N/A
N/A
251 WIV
N/A
251 WIV
Verdenking van
een strafbaar feit
noodzakelijk
N/A
Onderscheppen
Toegang
tot opgeslagen
meta data
van inhoud
Niet-Amerikaanse IT-SP,
zonder vestiging in Amerika
Gegevens worden niet opgeslagen in de Nederland of door
Nederland getransporteerd
Onderscheppen
van meta data
Toegang
251 WIV
tot opgeslagen
inhoudelijke
gegevens
125i, 125j WvSv
243, 212 WIV
125i, 125j WvSv
N/A
N/A
243, 212 WIV
N/A
tot opgeslagen
meta data
125i, 125j WvSv
243, 212 WIV
125i, 125j WvSv
N/A
N/A
243, 212 WIV
N/A
* Artikelen die zowel met als zonder gerechtelijke machtiging kunnen worden uitgevoerd geven verdergaande toegang tot
gegevens indien er een gerechtelijke machtiigng verkregen is.
** Een IT-SP kan waarschijnlijk niet verplicht worden om het onderscheppen van gegevens te faciliteren. Opsporingsambtenaren
zullen zelf de onderschepping in moeten richten. Dit kan complex, zo niet onmogelijk zijn, zonder hulp van de IT-SP.
WIV: Wet op de Inlichtingen en Veiligheidsdiensten
WvSv: Wetboek van Strafvordering
Let op, in beginsel moet er vanuit gegaan worden dat de WIV artikelen in beginsel geen werking hebben buiten Nederland,
nu Nederland daar geen rechtsmacht heeft. Het is echter aannemelijk dat er ook in het buitenland gebruik wordt gemaakt
deze bevoegdheden.
26
White paper | 2014
27
Annex 4
Cases
28
White paper | 2014
De materie met betrekking tot toegang tot gegevens in de cloud door Amerikaanse autoriteiten is redelijk
complex en abstract. Om het begrijpelijker te maken behandelen wij hieronder drie cases. De eerste twee zijn
fictief, de laatste gaat over het daadwerkelijk gebruik van de IT-diensten van Akamai door Schuberg Philis. In
deze cases wordt de uitgebreidere informatie meegenomen van de bepalingen van Amerikaans Federaal Recht
die zijn beschreven in Annex 2.
Case 1 (fictief): Amazon Elastic Compute Cloud
Een in Nederland gevestigd encryptie-softwarebedrijf,
zonder vestigingen in de Verenigde Staten, wat daar ook
niet continu en stelselmatig zaken doet. Haar
werknemers zijn Nederlanders. Het softwarebedrijf
beschikt in haar Nederlandse kantoor over een bestand
met persoonsgegevens van haar klanten. Het bedrijf
heeft een applicatie ontwikkeld om voor elke klant
relevante aanbiedingen te selecteren en verzenden.
Deze applicatie draait binnen de Amazon Elastic
Compute Cloud-dienst (EC2) op een cloud
infrastructuur die geheel binnen Europa gesitueerd is.
Ongeacht welke Amazon-entiteit exact de EC2 -dienst
levert, er zal waarschijnlijk in ieder geval één Amazonentiteit onder de rechtsmacht van de Verenigde Staten
vallen die ‘possession, custody or control’ over de
gegevens heeft. Dit is onder meer waarschijnlijk doordat
de regio-organisaties van Amazon in het geval van
calamiteiten toegang hebben tot de cloudinfrastructuur
Case 2 (fictief): Ministerie
Het Ministerie van Binnenlandse zaken heeft
biometrische gegevens, vingerafdrukken om specifiek
te zijn, van de gehele Nederlandse bevolking in beheer.
Zij heeft de informatietechnologie voorziening hiervoor
geoutsourcet naar Belfast, bij een lokale ITdienstverlener. Die verzorgt de opslag van al deze
gegevens en het hosten van de applicatie waarmee
deze benaderd kunnen worden voor identiteitsverificatie.
De IT-dienstverlener heeft geen vestigingen of
groepsmaatschappijen in de Verenigde Staten, doet daar
ook niet continu en stelselmatig zaken en heeft geen
Amerikaanse werknemers. Zij maakt echter wel gebruik
van een onderaannemer waar in parallel een back-up van
de applicatie en de databank met persoonsgegevens
draait. De onderaannemer kan zich toegang verschaffen
tot die applicatie en databank voor supportdoeleinden.
in andere regio’s als back-up. De regionale netwerken
zijn dus niet in die mate afgescheiden dat er geen
communicatie over en weer kan optreden. Het is voorts
niet ondenkbaar dat het bestand van personen die
encryptiesoftware hebben aangeschaft relevant is voor
het vermogen van de Verenigde Staten om zich te
verdedigen tegen aanvallen. Als bijvoorbeeld wordt
nagegaan of bekende terroristengroeperingen software
aankopen, dan is dat foreign intelligence information.
Autoriteiten in de Verenigde Staten kunnen daarom in
beginsel toegang krijgen hiertoe, onder andere door
gebruik van FISA 1881a. Als alternatief kan ook FISA
1861 aangewend worden. ECPA 2703 is ook bruikbaar
als de informatie relevant is bij een strafrechtelijk
onderzoek. Indien Amerikaanse autoriteiten inderdaad
toegang verzoeken, is het goed mogelijk dat er een
gag order opgelegd wordt. Dan zal het Nederlandse
bedrijf in beginsel nooit te weten komen dat deze
persoonsgegevens bij Amazon worden opgevraagd
en kan het dit dus ook niet aan haar klanten mede delen.
Deze onderaannemer heeft een vestiging in de
Verenigde Staten.
Ook hier kan de Amerikaanse overheid zich toegang
verschaffen tot de opgeslagen gegevens, nu de
onderaannemer onder de Amerikaans rechtsmacht valt
en toegang heeft tot de gegevens. Ook hier valt goed te
beargumenteren dat deze gegevens foreign intelligence
information bevatten. Om een dwarsstraat te noemen,
de Verenigde Staten zouden bij hen bekende
vingerafdrukken van vermeende terroristen tegen
de Nederlandse databank af kunnen willen zetten.
Toegang via FISA 1881a en FISA1861a lijkt dus open
te staan. Hier geldt wederom dat door een gag order op
te leggen, het mogelijk is dat het Nederlandse ministerie
nooit op de hoogte zal geraken van toegang door de
Amerikaanse autoriteiten. ECPA 2703 is hier in beginsel
ook bruikbaar indien de informatie relevant is bij een
strafrechtelijk onderzoek.
29
Case 3: Akamai
Schuberg Philis maakt voor sommige
veiligheidstoepassingen gebruik van de diensten van
Akamai, een Amerikaanse IT-SP. De dienst van Akamai
bestaat er in de basis uit dat verkeer tussen een gebruiker
en het netwerk van een bedrijf eerst via het netwerk van
Akamai wordt geleid. Het netwerk van Akamai bestaat
uit verschillende servers over de hele wereld (nodes).
Het verkeer van de gebruiker komt meestal bij de fysiek
dichtstbijzijnde Akamai-node binnen. Dit verkeer wordt
geïnspecteerd door Akamai. Akamai kan ook versleuteld
verkeer inspecteren. Hiervoor wordt zeer kortstondig de
versleuteling van het verkeer ongedaan gemaakt, waarna
het verkeer opnieuw versleuteld wordt. Noch de sleutels,
noch de ontsleutelde gegevens worden opgeslagen in
vast geheugen. Alles blijft in volatiel geheugen en
bevindt zich daarom maar zeer kortstondig op de server.
Gevaarlijk verkeer, zoals voorkomt bij een DDoS-aanval,
wordt door het Akamai-netwerk na inspectie niet verder
doorgeleid naar de servers van het bedrijf. Zo worden de
systemen van het bedrijf beschermd. Mocht bovendien
een Akamai-node onverhoopt onbeschikbaar worden
door een aanval, dan kunnen gebruikers via een andere
node toch bij het netwerk van het bedrijf komen. Zo
wordt de beschikbaarheid van de dienst veilig gesteld.
Door Akamai veilig bevonden verkeer wordt doorgeleid
naar één van een aantal vaste nodes in het Akamainetwerk die vertrouwd worden door het netwerk van
het bedrijf. Vanuit die nodes worden de gegevens het
bedrijfsnetwerk ingestuurd.
Akamai is een Amerikaans bedrijf en valt onder de
Amerikaanse rechtsmacht. Zij heeft ook op een vluchtig
moment ‘control’ over ontsleutelde gegevens. Voor
zover de gegevens foreign intelligence zouden bevatten,
of strafrechtelijk relevant zouden zijn, is toegang
voorstelbaar. Het is de vraag of een verzoek op basis
28
van EPCA 2703 of FISA 1861a succesvol kan zijn,
omdat de gegevens niet daadwerkelijk opgeslagen
worden bij Akamai, anders dan zeer tijdelijk in volatiel
geheugen28. Op basis van FISA 1881a kunnen
Amerikaanse autoriteiten Akamai echter verzoeken om
faciliteiten te bieden om deze gegevens te verstrekken,
waardoor toegang toch mogelijk lijkt.
Hier past wel de kanttekening dat de netwerkstructuur
van Akamai het onderscheppen van gegevens moeilijk
maakt. Het is niet altijd duidelijk op welke Akamai-node
het verkeer van een gebruiker binnen zal komen, omdat
zelfs binnen een geografische regio een groot aantal van
die nodes bestaat. Bovendien kunnen de verschillende
pakketten waaruit de gegevens bestaan via verschillende
nodes gerouteerd worden. Onderscheppen van gegevens
is daarom eigenlijk alleen doenlijk aan het eind van de
keten, bij nodes die vertrouwd worden door het
bedrijfsnetwerk. Wat meespeelt, is dat de gegevens bij
aankomst daar weer versleuteld zijn. Bovendien levert
een constante dump van gegevens voor Amerikaanse
autoriteiten nog geen bruikbaar en samenhangend beeld
op van het aangeboden verkeer.
Toegang door Amerikaanse autoriteiten valt desondanks
niet uit te sluiten, omdat het precieze bereik van de
medewerkingsplicht van een IT-SP onder FISA 1881a
nog niet geheel duidelijk is. De onthullingen met
betrekking tot het PRISM-programma in 2013 duiden
wel op een vergaande medewerkingsplicht. De afweging
die klanten van Schuberg Philis daarom moeten maken,
is welke dreiging zij belangrijker achten: een netwerk dat
plat gaat, of toegang tot gegevens door Amerikaanse
autoriteiten. Hierbij zal het soort gegevens een rol
spelen, maar ook bijvoorbeeld de exposure
die de klant van zichzelf al heeft richting de
Amerikaanse autoriteiten.
In de zaak United States v Councilman worden gegevens die ter transmissie vluchtig opgeslagen werden niet als ‘stored data’ gezien.
30
White paper | 2014
31
Annex 5
Nieuwe wetgeving
32
White paper | 2014
In januari 2012 is het eerste concept van de Algemene verordening gegevensbescherming (de Verordening)
gepubliceerd. Het doel van de Verordening is om (i) de persoonsgegevens van de EU-burgers beter te
beschermen, (ii) de huidige Richtlijn en nationale wetgeving (zoals de Wbp) te vervangen en (iii) de
gegevensbescherming aan te passen aan de technologische ontwikkelingen en globalisering in de 21e eeuw.
Let wel, de tekst van de Verordening is nog niet definitief. Gezien het aantal amendementen dat is ingediend
(> 3000) is het waarschijnlijk dat de uiteindelijke tekst van de Verordening afwijkt van het concept.
Dit zijn de meest relevante bepalingen van de concept Verordening:
1)De Verordening is rechtstreeks van toepassing in de hele Europese Unie en geldt voor (a) een
verantwoordelijke die is gevestigd in een lidstaat van de EU, ongeacht of het verwerken van gegevens in de EU
plaatsvindt of niet en (b) een verantwoordelijke die is gevestigd in een niet-EU-lidstaat die gegevens verwerkt
in verband met het aanbieden van goederen of diensten aan personen binnen de EU, of die gegevens verwerkt
in verband met het observeren van hun gedrag, al dan niet via internet. Er is een focus op harmonisatie van de
wetgeving aangaande dataprotectie binnen EU-lidstaten.
2)Een verantwoordelijke dient een beleid te ontwikkelen en effectieve maatregelen te nemen om ervoor
te zorgen dat de verwerking van persoonsgegevens in overeenstemming gebeurt met de Verordening.
De Verordening vereist verder dat een onderneming inzichtelijk maakt op welke wijze zij voldoet aan de
bepalingen van de Verordening (bijvoorbeeld een beschrijving van alle verwerkingen van gegevens die
plaatsvinden onder het gezag van de verantwoordelijke).
3)Iedere onderneming of vestiging met meer dan 250 werknemers, dan wel organisaties waarvan de
kernactiviteit bestaat uit het stelselmatig en systematisch monitoren van personen, is verplicht een functionaris
gegevensbescherming (data protection officer) aan te wijzen. Deze functionaris houdt toezicht op de naleving
van de Verordening binnen de organisatie en brengt rechtstreeks verslag uit aan de leidinggevende.
4)Er is een verplichting om zonder onnodige vertraging en – indien mogelijk – binnen 24 uur aan de
toezichthouder te melden als er een inbreuk is gemaakt op de databescherming. De verantwoordelijke moet in
principe ook de betrokkenen informeren over een datalek indien dit datalek negatieve gevolgen heeft voor de
privacy van de betrokkenen. Voor ondernemingen die in meerdere EU-lidstaten gegevens verwerken is een
melding aan de toezichthouder in het land waar de hoofdvestiging staat van die onderneming afdoende.
5)De beveiligingsbepaling in de Verordening is gelijk aan die uit de Richtlijn. Nieuw is wel dat er een evaluatie
moet worden gemaakt van de risico’s die de verwerking en de aard van de te beschermen persoonsgegevens
met zich meebrengt. Hierop moeten de beveiligingsmaatregelen gebaseerd worden.
6)De boetes voor het niet naleven van de bepalingen van de Verordening variëren tussen de 0,5% en de
2% van de wereldwijde omzet van een onderneming. Voor ondernemingen of vestigingen met minder
dan 250 werknemers wordt bij een eerste niet opzettelijke overtreding een waarschuwing gegeven
33
Annex 6
Risico’s voor Nederlandse bedrijven
34
White paper | 2014
Matrix: Risico op conflicterende wet- en regelgeving bij het verwerken van persoonsgegevens van Nederlanders
Situatie: NL organisatie (bijv. Ministerie of financiële dienstverlener) besteedt verwerking van persoonsgegevens uit
Persoonsgegevens en verwerking in NL
IT-SP = 100% NL
Van toepassing: Wbp*
IT-SP ≠ NL
Van toepassing: Wbp* + regelgeving
land herkomst IT-SP
NL IT-SP verwerkt NL
data in DC/Cloud in NL
BE IT-SP verwerkt
NL data in DC in NL
Persoonsgegevens en verwerking in VS
IT-SP = 100% US
Van toepassing: Wbp* + VS regelgeving
Van toepassing: Wbp* + lokale regelgeving
+ regelgeving land herkomst IT-SP
IT-SP ≠ US
≠
Geen enkele verbinding
Laag risico op conflict van regelgeving en/
of inmenging van niet NL entiteiten
Wezenlijk risico op conflict van regelgeving en/
of inmenging van niet NL entiteiten
Hoog risico op conflict van regelgeving en/
of inmenging van niet NL entiteiten
*Deze slide is niet uitputtend wat betreft toepasselijke NL regelgeving anders dan de Wbp.
Persoonsgegevens en verwerking binnen EER buiten NL
Van toepassing: Wbp* + lokale regelgeving
Van toepassing: Wbp* + lokale regelgeving +
regelgeving land herkomst IT-SP (bijv Patriot Act)
NL IT-SP verwerkt NL data in DC/
Cloud in Frankrijk
BE IT-SP verwerkt NL data
in DC in Belgie
Persoonsgegevens en verwerking buiten VS
VS IT-SP verwerkt NL
data in cloud in VS.
Van toepassing: Wbp* + VS regelgeving +
lokale regelgeving
VS IT-SP verwerkt NL data in
DC op de Kaaimaneilanden
EER IT-SP verwerkt NL
data in cloud in VS
Van toepassing: Wbp* + lokale regelgeving +
regelgeving land herkomst IT-SP
EER IT-SP verwerkt NL data in DC
op de Kaaimaneilanden
35
VOOR MEER INFORMATIIE KUNT U CONTACT OPNEMEN MET:
Pim Berger
Herald Jongen
Managing Director
Schuberg Philis
Advocaat en Partner
Allen & Overy
Tel +31 20 750 6500
Tel +31 20 674 1614
[email protected]
[email protected]
In dit document staat Allen & Overy voor Allen & Overy LLP en/of de daaraan gelieerde ondernemingen. De term partner wordt gebruikt als verwijzing
naar een lid van Allen & Overy LLP dan wel een medewerker of consultant met vergelijkbare kwalificaties in een van de aan Allen & Overy LLP gelieerde
ondernemingen.
Dit document is louter voor algemeen gebruik en is geen advies.
© Allen & Overy LLP / Schuberg Philis 2014 | CS1402_CDD-38275

Download Report