Privacy in de praktijk II, afl. 1: Data delen met landen buiten de EU

In deze aflevering van 'Privacy in de Praktijk II' neemt host Robin Rotman je mee in het verhaal van Peter Kager. Peter is privacy- en ICT-jurist bij ICT Recht en vertelt over het delen en opslaan van data buiten de EU, waar de AVG/GDPR niet geldt. Hoe ga je daarmee om? En voor welke data moet je daarmee rekening houden? Niet zo eenvoudig, want deze situatie speelt zelfs als er van buiten de EU naar data wordt gekeken, die binnen de EU is opgeslagen. Zoals Peter zegt: ‘Ook al ben je de controle over je data kwijt, het blijft jouw verantwoordelijkheid’. Kortom, tijd voor uitleg.

Privacy in de praktijk II, afl. 1: Data delen met landen buiten de EU

KAGER: Hoe deel je data veilig met andere landen?
ROTMAN: Welkom bij Privacy in de Praktijk. Ik ben Robin Rotman
en in deze podcast van het Centrum Informatiebeveiliging
en Privacybescherming bespreek ik met deskundigen en betrokkenen
de meest interessante vragen rond privacy in de dagelijkse praktijk.
KAGER: Al ben je de controle over je data kwijt
het blijft jouw verantwoordelijkheid.
ROTMAN: Deze man kan niet alleen alles vertellen over data en privacy
hij kan ook nog eens rijmen.
Vandaag te gast: Peter Kager, privacy- en ICT-jurist bij ICTRecht.
Leuk dat je er bent. We praten vandaag over data delen met het buitenland.
Als je het hebt over data delen met het buitenland
heb je het eigenlijk over data stallen in het buitenland.
Niet delen, maar stallen, toch? Leg eens even uit: Hoe zit dat?
KAGER: Het is breder dan dat.
Niet alleen het stallen van data in het buitenland
maar überhaupt het delen of het doorgeven van data naar het buitenland.
In het ergste geval zelfs nog dat de data in Europa staat
en ingezien wordt vanuit buiten Europa, het buitenland.
ROTMAN: En dan gaat het over servers. Waar is die data?
Is dat de cloud? Waar hebben we het over hier?
KAGER: Ja. Ik roep altijd: De cloud is niet meer dan andermans computer.
Een server die ergens anders staat, die het voor jou mogelijk maakt
dat je data veilig overal, snel en makkelijk beschikbaar is.
Dat is inderdaad vaak het buitenland. Buiten Europa.
ROTMAN: Het grote boze buitenland. We hebben het ook over social media.
We hebben het over Microsoft 365, dan werk je dus in de cloud.
Die informatie komt dan in het buitenland terecht.
Dat grote boze buitenland, kan dat ook Europa zijn waarop jij gaat aanslaan?
Of is het eigenlijk vooral het verdere buitenland?
KAGER: Het verdere buitenland. Als het gaat over data
hebben we het in mijn geval vaak over persoonsgegevens
privacygevoelige gegevens. Daar hebben we in Europa de AVG voor.
De Algemene Verordening Gegevensbescherming.
Die beschermt de data binnen Europa.
Uitgangspunt is dat als je de data binnen Europa hebt staan,
dat dat valt onder de AVG en in ieder geval wettechnisch goed geregeld is.
ROTMAN: En jij werkt voor ICTRecht. Hoe kom jij dan in de picture?
Wie zijn dan jouw klanten als het gaat over partijen
die dus hun data kennelijk in het buitenland hebben gestald?
KAGER: Ja. Dat kan alles zijn.
Dat kunnen organisaties zijn binnen de overheid,
kunnen organisaties zijn buiten de overheid, commerciële organisaties.
Ik adviseer een betaaldvoetbalclub, een applicatie om veilig te mailen
een pensioenfonds, ministeries, gemeenten, provincies.
Die hebben allemaal te maken met:
Hé, op enig moment hebben we misschien iets van data in de cloud staan
dus moeten we weten: Waar staat het?
Staat het er veilig? Staat het er goed?
ROTMAN: Wanneer ga jij aan? Wanneer denk je: Oké, nu moet ik opletten.
Wat zijn een beetje de haken en ogen?
KAGER: Op het moment dat ik echt aansla op dit stuk van 'waar staat data'
is het vaak: Hé, wat voor applicaties gebruik je, wat voor software?
Zit je in Office365 van Microsoft of heb je 'n eigen applicatie gemaakt of bedacht?
Altijd even checken: Waar staat de data uiteindelijk?
Onderaan de streep, als je iets met het internet wil verbinden
moet de data ergens staan om te zorgen dat het via internet beschikbaar is.
ROTMAN: Bij welke landen ga jij dan aan?
Dat je denkt: Nu moeten we opletten.
KAGER: Nou, met stip op 1 natuurlijk de Verenigde Staten.
ROTMAN: De Amerikanen? Zijn dat de databoefjes?
KAGER: Dat zijn niet direct databoefjes, het ligt eraan hoe je 't bekijkt
maar die hebben wel een iets andere kijk
op privacy en omgang met persoonsgegevens dan wij in Europa.
ROTMAN: Wat is dan voor jou je belangrijke punt?
Gaat het dan over de opsporingsdiensten misschien?
Of überhaupt de moraal als het gaat over privacy?
KAGER: Nee. Niet zozeer de moraal, maar vooral de opsporingsdiensten.
Ze hebben in Amerika wetgeving die iets anders in elkaar steekt
qua opsporing dan wij in Europa kennen.
We hebben uitspraken gezien van een Oost-Europese rechter
die zegt: Door die Amerikaanse wetgeving
kan eigenlijk onze Europese data niet zo veilig in Amerika opgeslagen worden.
ROTMAN: Wat is dan het probleem? Ze kunnen erbij?
Dat is het een beetje? Want het blijft een beetje ongrijpbaar.
'Ze kunnen erbij.' Dat is het eigenlijk, hè?
KAGER: Ja. Heel plat gezegd:
De Amerikaanse opsporing kan bij die data.
In Europa hebben wij daar het stelsel van checks and balances voor.
Je hebt het openbaar ministerie
opsporingsinstanties die zich aan regels moeten houden.
Maar die regels in Amerika zijn gewoon net iets breder en ruimer.
Je zou het bijna in Europa wel kunnen vertalen als een soort sleepnet.
We halen alles binnen en kijken of we er iets aan hebben.
ROTMAN: Toen ik dit voorbereidde, dacht ik:
Dit gaat over de Chinezen, maar jij zegt 'met stip op 1 de Amerikanen'.
KAGER: Ja.
-Hoe komt dat?
KAGER: Omdat wij qua uitbesteding van onze dienstverlening
veel meer gebruikmaken van de Amerikanen dan van de Chinezen.
Iedereen kent wel de diensten van Amazon, Microsoft, Google.
Ik ken de cijfers niet exact, maar dat is wel veel meer gebruikelijk
dan de diensten van de Chinezen.
ROTMAN: Heb jij de indruk dat wij ons met z'n allen
en al die bedrijven die je adviseert en die overheden
dat ze zich voldoende bewust zijn dat dit best wel tricky is misschien?
KAGER: Ja, ze zijn zich wel voldoende bewust dat er risico's aan kleven.
Men weet wel: Over het algemeen, data in Amerika, daar moeten we iets mee.
Maar wat je er dan uiteindelijk mee moet en dat het juridisch gezien
behoorlijk problematisch is, dat is nog niet bij iedereen helemaal bekend.
ROTMAN: Even kijken of we twee casussen kunnen bespreken
om een beetje te illustreren waarom dit best wel tricky is.
Zonder dat mensen dat in de gaten hebben.
Een overheid, die heeft dus kennelijk data in het buitenland.
Op welke manier? Hoe werkt dat?
KAGER: Ja, nou, er zijn de afgelopen drie, vier jaar
diverse onderzoeken uitgevoerd in opdracht van de rijksoverheid
vooral ten aanzien van diensten van Microsoft:
Office 365, Microsoft Teams, OneDrive, SharePoint.
Uit die onderzoeken kwamen DPIA's, data protection impact assessments
mooi woord voor privacyrisicoanalyse.
Daar is wel uit gebleken dat Microsoft onder water
bepaalde data toch naar Amerika stuurt.
Eén waren ze daar niet heel transparant over.
Maar twee is dat ook, zeker gelet op de uitspraken
die in de zomer van vorig jaar zijn gedaan, heel problematisch.
ROTMAN: En de overheid, de Nederlandse overheid, de ministeries, de gemeentes
de provincies werken met software van Microsoft
en jij zegt eigenlijk: Ja jongens, de Amerikanen kijken wel mee.
KAGER: Ja, nou, kijk, uit die risicoanalyses is dus gebleken:
De Amerikanen kunnen meekijken.
Want tegelijkertijd moet ook gezegd worden:
Het risico is geadresseerd van: Hé, de Amerikanen kunnen meekijken
omdat Microsoft onder water bepaalde data naar Amerika stuurt.
Dan moet je denken aan analysedata of telemetriedata zoals ze dat noemen.
Dus hoe worden onze diensten gebruikt?
Maar in gesprekken die de rijksoverheid met Microsoft heeft gevoerd
heeft Microsoft ook meteen cijfers aangegeven en gezegd van:
In theorie zouden de Amerikanen data op kunnen vragen
maar het is in onze praktijk nog nooit gebleken dat de Amerikaanse overheid
data heeft opgevraagd van Nederlandse overheidsinstellingen.
Dus dat maakt het risico ook meteen een stuk kleiner.
In theorie bestaat het, maar de kans dat het daadwerkelijk gebeurt is heel klein.
ROTMAN: Wat zegt je gut feeling? Gebeurt het ook inderdaad echt niet?
KAGER: Nee, nee. Kijk, je weet niet...
-Zeg dan alsjeblieft van:
Ja, het gebeurt aan de lopende band.
-Nee, dat kan ik niet
want Microsoft is daar ook wel de partij in die daar transparant in is
en ook bekend staat als voorvechter voor de Europese privacyrechten.
ROTMAN: Dit is typisch 'n voorbeeld van een Amerikaans bedrijf.
Die data zit daar ergens op die servers in Amerika.
Wij maken daar massaal gebruik van.
En zo zijn er nog meer voorbeelden van allerlei organisaties.
Oké, anders. Een bedrijf, een casus, noem eens wat.
KAGER: Ja, ik, ik, ik.... Wat ik veel zie, is ook bijvoorbeeld
het uitbesteden van bepaalde diensten of onderdelen van dienstverlening
en klantenservice, telefonische klantenservice
afhandeling van e-mail, chat, wordt ook vaak uitbesteed.
En of dat nu is naar India of naar Turkije
je ziet dat dat de landen zijn met wat lagere lonen
en dat mensen toch denken: Misschien moeten we daar kijken voor uitbesteding.
Het probleem is dat als je dat doet
dat je ook persoonsgegevens buiten Europa brengt
en dat je dus afspraken moet maken dat ook als die gegevens
buiten Europa gebracht worden dat ze daar ook veilig zijn.
Als dat naar landen gebeurt die niet zulke strenge privacyregels hebben
als wij in Europa dan zit je met een probleem.
ROTMAN: En wanneer komen de mensen bij jou terecht?
'We willen een klantenservice ergens in Turkije gaan onderbrengen.
Hoe doen we dat het veiligst?'
Of komen ze bij jou als ze het gevoel hebben van:
Hé, dit doen allemaal niet zo handig. Help, weet je, zo.
KAGER: Allebei. Ja.
Het beste is de situatie als ze vooraf bij mij komen natuurlijk.
Als ze zeggen: We willen dit gaan uitbesteden
en dat ik zeg: Dan gaan we naar de contracten kijken.
Waar staat de data? Hoe gaan we daarmee om?
En dan moet je soms ook een, ja, echt een risicoanalyse maken
van de situatie in dat land.
De DTIA is daar een mooi nieuw voorbeeld van.
De data transfer impact assessment.
Wat heeft het voor gevolg als wij data naar Turkije, India
of waar ook ter wereld brengen?
Wat voor wetgeving hebben ze? Dat moet je in kaart brengen.
Dat is de meest ideale situatie, dat ik vooraf daarbij betrokken wordt.
In de praktijk gebeurt het ook vaak
dat dat al in een iets verder gevorderd stadium is
en in het ergste geval dat de diensten al afgenomen worden
en dat ik dan de boeman moet spelen en zeggen:
Ja, ho even. We moeten hiermee stoppen, want we hebben ons huiswerk niet gedaan.
ROTMAN: Dat is de enige manier om het te repareren achteraf?
-Ja.
En in hoeverre zijn al die andere landen of die diensten
neem Microsoft, nou daadwerkelijk transparant over wat ze doen?
Je zei net een beetje van: Ze zijn wel, ze zijn niet transparant.
KAGER: Nou kijk, de diensten, als je het hebt over de grote jongens
en ik heb laatst nog opgezocht: Wat zijn nu de grote jongens qua videobellen?
Dan kom je bij Microsoft uit met Teams, dan kom je bij Zoom uit
en die delen wel data over: Hoeveel van die verzoeken krijgen wij?
Maar er zit toch altijd een soort zweem: Oké, maar mogen ze alles wel delen?
Microsoft kan bijvoorbeeld niet de absolute aantallen delen
maar die biedt dan bandbreedtes. Dus die zegt:
Oké, deze maand tussen de 0 en 450 verzoeken.
Afgelopen maand was dat tussen de 450 en 999 verzoeken.
Dus ze proberen echt wel hun best te doen om transparantie te bieden.
Dat is logisch, want de Europese klant heeft daar behoefte aan.
Dus daar, ja, gaan ze toch op inspringen.
ROTMAN: En die AVG hier binnen Europa zegt: Daar heb ik vertrouwen in.
Dat is goed. We hebben het goed gedaan eigenlijk hier in Europa.
KAGER: Qua wetgeving is het goed gedaan. Het staat goed op papier.
De vraag is alleen: kunnen we het goed in de praktijk toepassen
en op de juiste manier handhaven?
ROTMAN: Want betekent dit ook
dat als ik met mijn organisatie, met mijn club of met mijn overheidsdienst
data ergens in, weet ik veel, Duitsland, Frankrijk, in Europese landen heb staan
dat jij zegt van: Nou, dat zit wel goed. Die AVG doet z'n ding, komt goed.
Of denk je: Nou, wakker blijven.
KAGER: Niet dat het altijd goed gaat. Je moet altijd wakker blijven, scherp blijven
en je hebt zelfs de verplichting om te controleren of het nog wel goed gaat.
Wat je afgesproken hebt, wordt dat nog wel nageleefd?
Kunnen we even met elkaar om tafel
want we hebben afgesproken dat het zo zou gaan.
Laat maar zien dat dat in de praktijk daadwerkelijk gebeurt.
Het is nooit een kwestie van stilzitten. Het is altijd: Het is jouw data.
Jij moet er bovenop zitten. Jij bent er verantwoordelijk voor.
ROTMAN: Tips en tricks. Iedereen voelt 't aan z'n water.
Iedereen weet het, we weten het allemaal wel een beetje.
Pas nou op met die data die naar het buitenland gaat op die servers
bij die Amerikanen, misschien bij de Chinezen
misschien bij de Turken, in ieder geval ergens.
Er is data, we weten allemaal: opletten, opletten, opletten.
Wat zijn nou de tips en tricks? Ik kan me zo voorstellen inderdaad:
Wees je er in ieder geval van bewust. Dat is natuurlijk altijd tip één
maar dat is kennelijk niet vanzelfsprekend.
Het is een dingetje als je die data in het buitenland opslaat.
Is dat een belangrijke tip?
KAGER: Ja, dat is... Ik heb verschillende tips
maar ik zou altijd beginnen met te definiëren van:
Weet met wie je zaken doet en waar je data staat.
Weten met wie je zaken doet, is vaak in de praktijk:
Oké, je sluit in mijn praktijk een overeenkomst met partij XYZ.
En dan denk je: Oké, dat is het.
Maar ga altijd even doorvragen, diepe vragen:
Wie schakelen zij allemaal nog in?
Het kan zijn dat er een keten van partijen is
die met jouw data aan de slag gaat, zeker in de digitale wereld.
ROTMAN: En misschien is het ook 'n tip...
Kun jij bijvoorbeeld afdwingen van: Oké, ik ga met jou in zee.
We gaan je software gebruiken. We hebben dat getest
we hebben een analyse gedaan. Dit werkt voor ons doel het beste.
Maar je gaat je wel aan onze privacyregels houden
anders zoek ik iemand anders. Kan je dat afdwingen op die manier?
KAGER: Kan je 't afdwingen? Sterker nog, je moet 't afdwingen.
Zeker als je buiten Europa gaat met je data, moet je 't afdwingen.
Dat ben je wettelijk verplicht. Er is ook een modelovereenkomst
the standard contractual clauses heten die dingen in mooi Engels
die je dan verplicht of bijna verplicht moet sluiten.
Er zijn wat alternatieve details daargelaten
maar je bent verplicht dat af te spreken met de partij.
Daar zit ook de moeilijkheid, want dan...
ROTMAN: Dan stuur je de AVG mee en zeg je...
KAGER: Daar komt het op neer, maar daar zit de moeilijkheid
want in die overeenkomst staat ook van: Hallo, als er wetgeving in het land
waar we de data naartoe sturen is, die botst met bijvoorbeeld de AVG,
moeten we met elkaar wel even om tafel gaan.
Daar zit in Amerika de moeilijkheid.
-Dan zeggen we: De AVG is leidend.
Anders zoeken we wel een concurrent van je, toch?
KAGER: Dat zou kunnen. Alleen is nog steeds wel de prijs-kwaliteitverhouding
van de grote bekende jongens, die staan vrij bovenaan.
ROTMAN: Oké, dus tip één: Wees je bewust en kijk waar je data heen gaat
krijg er een mooi overzicht in. En de andere tip is: Dwing het af.
Zorg er gewoon voor... We eisen dat op.
Andere tips. Wat zijn nog belangrijke tips van: Oké, dat moet je doen.
KAGER: Kijk naar de beveiliging die je zelf toe kan passen.
Onder andere Microsoft biedt standaard encryptieversleuteling van je data
maar dat is wel encryptie waar Microsoft de sleutel van heeft.
En in het puur theoretische geval zou de Amerikaanse overheid bijvoorbeeld
ook de sleutel kunnen opvragen
zouden ze Microsoft kunnen dwingen die sleutel af te geven.
Dus zorg ervoor dat niet Microsoft de sleutel heeft, maar jijzelf.
ROTMAN: Dus 't IT-team van je organisatie kan zeggen:
we gaan die spulletjes gewoon versleutelen.
Dan pas gaat het ergens op een server in Amerika staan.
Versleutel het zelf al aan de voorkant.
-Ja, absoluut. Absoluut, ja.
ROTMAN: Dus versleutelen. Wees je bewust waar het staat.
Krijg inzicht. Ken de regels, weet waar je aan toe bent. Dwing het af.
Verder nog belangrijke dingen?
KAGER: Nou, kijk ook...
Schroom niet om ook te kijken naar Europese oplossingen.
Puur Europese oplossingen.
-Alternatieven die binnen de AVG vallen.
KAGER: Ja, zoek alternatieven die binnen AVG vallen
en niet te maken hebben met andere rechtsstelsels
of andere invloeden van buitenaf.
Maar die, ja, eigenlijk dezelfde kwaliteit van dienstverlening bieden
die we van de Amerikaanse jongens kennen.
ROTMAN: Nu weet ik dat veel Europese politici, Europarlementariërs...
In Europa, in Brussel, wordt veel gepraat over data, over privacy.
Allemaal regelgeving wordt er over ons uitgestrooid.
Dat is niet iets per se waar bedrijven en organisaties zelf iets aan kunnen doen.
Maar ze zeggen wel vaak:
We zijn te afhankelijk van al die buitenlandse spelers.
We zouden zelf wat meer van dit soort software moeten bouwen in Europa.
We moeten dat stimuleren, er misschien wat geld in steken.
We moeten misschien zelf die platforms gaan bouwen.
Is dat iets waarvan van jij dan als jurist vrolijk wordt?
Dat je denkt: Ja, eigenlijk wel.
KAGER: Enerzijds word ik daar wel vrolijk van
want dat is natuurlijk als je 't vanuit een privacybril bekijkt
wel een hele goede oplossing.
In ieder geval een stuk veiligere oplossing juridisch technisch.
Anderzijds denk ik ook dat je je niet moet vergissen in de positie, de kennis
de macht die de grote Amerikaanse jongens al hebben op bepaalde vlakken
en dat we daar niet zo heel snel en heel gemakkelijk met een paar euro
een Europees alternatief op kunnen zetten.
-Ze lopen een jaar of tien voor.
KAGER: Ze lopen 'n behoorlijk stuk voor op kennis, kwaliteit
en ja, vooral ook de schaalgrootte.
ROTMAN: Hoe kijkt de Europese rechter hiernaar?
Als ik dan m'n verhaal zou willen halen, als overheidsclub of als bedrijf?
Wat vindt de rechter ervan?
KAGER: Nou ja, die is eigenlijk klip en klaar. Die zegt van: joh...
Als we 'm helemaal plat slaan, zegt de Europese rechter op dit moment:
Europese persoonsgegevens veilig in Amerika stallen, is gewoon een no go.
Dat doe je niet, dat krijgen we niet voor elkaar.
ROTMAN: Het gebeurt niet. Dus die zegt van: Ja jongens, let op.
Oké, dan nog heel eventjes terug. We hadden als vraag opgeworpen:
Hoe stal je je data veilig in het buitenland?
En je had een soort antwoord geformuleerd dat rijmde.
Nog eventjes terughalen?
-Ja, ja, ja.
Ook al ben je de controle over je data kwijt
het blijft jouw verantwoordelijkheid.
ROTMAN: Oké. Dus je zegt: Je geeft een deel van je controle op
maar je blijft verantwoordelijk.
-Altijd.
ROTMAN: Dat is ook een somber beeld eigenlijk, of niet?
KAGER: Geen somber beeld.
Je legt de verantwoordelijkheid bij de partij die aan de knoppen zit.
Als jij besluit om bepaalde delen van je dienstverlening uit te besteden
of een derde in te schakelen, blijft 't jouw verantwoordelijkheid
dat je goede afspraken maakt met die derde.
ROTMAN: Peter Kager. Privacy- en ICT- jurist bij ICTRecht. Dank voor je verhaal.
Ik hoop dat we 'n beetje wijzer zijn geworden.
Ik in ieder geval wel. KAGER: Mooi.
ROTMAN: Luister ook andere afleveringen van Privacy in de Praktijk.
Ga hiervoor naar cip-overheid.nl/uitgelicht.
Dank je wel. KAGER: Graag gedaan.