Webdomeinen buiten de EU: waarom kan dit problematisch zijn? 

Wat werd er concreet in Nederland vastgesteld?  

Uit de metingen van Basisbeveiliging.nl is gebleken dat 3 % van de overheidsdomeinen waar de Nederlandse overheid gebruik van maakt, afkomstig is uit de Verenigde Staten, daarnaast staat ook 10% van de mailservers van de Nederlandse overheid in de VS. Concreet staan er van de 3957 adressen van mailservers van de overheid:  

• 1 in Azië  
• 409 in Noord-Amerika 
• 3547 in de EU 

De meeste van de Noord-Amerikaanse adressen leiden o.a. naar Google Servers, Google Cloud en Amazon.com. 

Kan men GDPR proof mailen als de data buiten Europa wordt opgeslagen? 

Elke website of e-mailprovider verwerkt inherent persoonsgegevens, denk bijvoorbeeld aan IP-adressen. Vanaf het moment dat de verwerkingsverantwoordelijke werkzaam is in de EER, is het overdragen van persoonsgegevens naar derde landen onderworpen aan de GDPR. Meer bepaald zijn de bepalingen van Hoofdstuk V van de GDPR van toepassing, In dit hoofdstuk worden verplichtingen rond doorgiften van persoonsgegevens aan derde landen of internationale organisaties vastgelegd.  

Op heden werden er voor deze landen zulke besluiten goedgekeurd:  

Daarnaast is het ook belangrijk om na te gaan of de Europese Commissie een adequaatheidsbesluit goedgekeurd heeft voor dat betreffende derdeland.   

De hoster uit het derde land zou ook gebonden moeten zijn als verwerker op grond van artikel 28 van de GDPR. 

Een Kritische Analyse van Beschikbare Mechanismen

Wanneer het Derdeland niet beschikt over zo een adequaatheidsbesluit, zal er op grond van artikel 46 van de GDPR een overeenkomst moeten worden opgesteld. Een modelovereenkomst hiervoor wordt ter beschikking gesteld door de Europese Commissie. Daarnaast kan men er ook voor opteren bindende ondernemingsregels aan te nemen. Tevens biedt artikel 49 van de GDPR de mogelijkheid om beroep te doen op bepaalde wettelijke afwijkingen.  

Toch zijn deze mogelijkheden niet waterdicht. Voor het aannemen van het nieuw Privacy Shield tussen de EU en de US maakte men op basis van deze artikelen gebruik van de standaardcontractbepalingen (SCC’s). In de nasleep van Schrems II werd het duidelijk dat deze SCC’s niet voldoende waren en de Amerikaanse inlichtingsdiensten zonder beperkingen gebruik konden maken van Europese data. Artikel 49 heeft dan wel wettelijke terugvalgrondslagen voor incidentele doorgiften, zoals de uitdrukkelijke toestemming van de betrokkene, maar deze waren hier niet nuttig. 

Complexiteiten en Beperkingen bij het Nemen van Aanvullende Maatregelen

In richtlijnen van toezichthouders, waaronder EDPB-aanbeveling 01/2020, wordt echter uitgelegd dat het de verantwoordelijkheid is van de verwerkingsverantwoordelijken om hun specifieke doorgiften te analyseren, indien nodig aanvullende maatregelen te nemen of doorgiften stop te zetten als dergelijke maatregelen onmogelijk zijn.  

De realiteit heeft meer dan eens uitgewezen dat er geen technische maatregelen zijn die zouden kunnen helpen in een cloud- of SaaS-setting, en daar kan webhosting ook bij betrokken worden. Dit is des te problematischer wanneer de verwerkingsverantwoordelijke, zoals bijvoorbeeld de Nederlandse overheid, beschikt over gevoelige persoonsgegevens. 

Biedt het nieuw Privacy Shield de oplossing? 

De meeste webservers en mailservers bevinden zich in Amerika. Dat zagen we ook in de meetresultaten van de Nederlandse overheid.  

Zoals reeds aangehaald, heeft de Europese Commissie op 10 juli het adequaatheidsbesluit voor het nieuwe EU-U.S. Data Privacy Framework (“Privacy Shield”) goedgekeurd. Het besluit bevestigt dat de Verenigde Staten een passend beschermingsniveau garanderen – dat vergelijkbaar is met dat van de EU – voor persoonsgegevens die naar Amerika worden doorgegeven. Op basis van dit nieuwe adequaatheidsbesluit kunnen persoonsgegevens veilig worden doorgegeven van de EU naar bedrijven en organisaties in de VS die deelnemen aan het Privacy Shield, zonder dat er nog extra waarborgen voor de gegevensbescherming nodig zijn. 

Betekent dit nu dat Amerikaanse webdomeinen veilig zijn?

Wij durven hier nog niet positief op te antwoorden. Het is namelijk nog niet heel duidelijk hoe stabiel dit verdrag werkelijk is. 

Privacyorganisatie noyb heeft namelijk aangekondigd dit verdrag opnieuw te willen aanvechten bij het Europees Hof van Justitie. De vorige verdragen tussen de EU en de US kwamen op dezelfde manier tot hun einde. 

Welke Webdomeinen worden best gebruikt?   

In essentie mogen persoonsgegevens op basis van de GDPR Europa niet verlaten, echter is het gebruiken van servers buiten de EER niet verboden. Toch is dit niet slim om te doen. Het is belangrijk op te merken dat bepaalde landen geheel andere wetten hebben, denk bijvoorbeeld aan het feit dat de Amerikaanse inlichtingsdiensten tot voor kort onbeperkte toegang hadden tot Europese data en dat Amerikaanse bedrijven zelfs verplicht waren dit aan de inlichtingsdiensten te bezorgen. Als uw gegevens worden verwerkt op servers buiten de EU, zal u niet alleen moeten waarborgen dat de gegevens toereikend beschermd worden, maar moet u er ook zeker van zijn dat de service ook op alle andere gebieden aan de GDPR voldoet. 

Impact op Gegevensdoorgifte en Dienstverlening

Als u een webhostingprovider gebruikt waarvan de servers zich binnen de EU bevinden, kunt u er zeker van zijn dat de serverlocatie in ieder geval voldoet aan de regels vanuit het perspectief van “overdracht van gegeven”, dat is al een ding minder waar u zich zorgen over moet maken.  U moet wel nog steeds due diligence uitvoeren bij deze providers, aangezien u er zeker van moet zijn dat de andere aspecten van hun diensten voldoen aan uw verplichtingen om te voldoen aan de GDPR. 

Het zou daarom verstandig zijn om een in een derde land gehoste website te migreren naar een server in de EER of in een land dat een duidelijk en stabiel adequaatheidsbesluit heeft.  

Voor meer informatie hieromtrent, contacteer een erkend DPO.