Webdomeinen buiten de EU: waarom kan dit problematisch zijn? 

Webdomeinen buiten de EU
Webdomeinen buiten de EU

De Nederlandse Internet Cleanup Foundation heeft in augustus op hun website Basisbeveiliging.nl een applicatie geïntroduceerd die controleert aan welke landen de Nederlandse overheid online diensten verleent. Uit de metingen is gebleken dat maar liefs 1087 domeinen, van waaruit overheden online dienstverlening aanbieden, zich bevinden buiten de EU/EER. Deze resultaten zijn problematisch. 

In deze Blog zullen we dit fenomeen verder bespreken en uitleggen waarom deze resultaten zo problematisch zijn. 

Wat werd er concreet in Nederland vastgesteld?  

Uit de metingen van Basisbeveiliging.nl is gebleken dat 3 % van de overheidsdomeinen waar de Nederlandse overheid gebruik van maakt, afkomstig is uit de Verenigde Staten, daarnaast staat ook 10% van de mailservers van de Nederlandse overheid in de VS. Concreet staan er van de 3957 adressen van mailservers van de overheid:  

  • 1 in Azië  
  • 409 in Noord-Amerika 
  • 3547 in de EU 

De meeste van de Noord-Amerikaanse adressen leiden o.a. naar Google Servers, Google Cloud en Amazon.com. 

Kan men GDPR proof mailen als de data buiten Europa wordt opgeslagen? 

Elke website of e-mailprovider verwerkt inherent persoonsgegevens, denk bijvoorbeeld aan IP-adressen. Vanaf het moment dat de verwerkingsverantwoordelijke werkzaam is in de EER, is het overdragen van persoonsgegevens naar derde landen onderworpen aan de GDPR. Meer bepaald zijn de bepalingen van Hoofdstuk V van de GDPR van toepassing, In dit hoofdstuk worden verplichtingen rond doorgiften van persoonsgegevens aan derde landen of internationale organisaties vastgelegd.  

  • Andorra; 
  • Argentinië; 
  • Jersey; 
  • Nieuw-Zeeland; 
  • Uruguay; 
  • Japan; 
  • Verenigd Koninkrijk; 
Op heden werden er voor deze landen zulke besluiten goedgekeurd:  

Daarnaast is het ook belangrijk om na te gaan of de Europese Commissie een adequaatheidsbesluit goedgekeurd heeft voor dat betreffende derdeland.   

  • Canada (voor verwerkingen onderworpen aan de Canadese “Personal Information Protection and Electronic Documentation Act”); 
  • de Faeröereilanden; 
  • Guernesey; 
  • Israël; 
  • het eiland Man; 

De hoster uit het derde land zou ook gebonden moeten zijn als verwerker op grond van artikel 28 van de GDPR. 

Een Kritische Analyse van Beschikbare Mechanismen

Wanneer het Derdeland niet beschikt over zo een adequaatheidsbesluit, zal er op grond van artikel 46 van de GDPR een overeenkomst moeten worden opgesteld. Een modelovereenkomst hiervoor wordt ter beschikking gesteld door de Europese Commissie. Daarnaast kan men er ook voor opteren bindende ondernemingsregels aan te nemen. Tevens biedt artikel 49 van de GDPR de mogelijkheid om beroep te doen op bepaalde wettelijke afwijkingen.  

Toch zijn deze mogelijkheden niet waterdicht. Voor het aannemen van het nieuw Privacy Shield tussen de EU en de US maakte men op basis van deze artikelen gebruik van de standaardcontractbepalingen (SCC’s). In de nasleep van Schrems II werd het duidelijk dat deze SCC’s niet voldoende waren en de Amerikaanse inlichtingsdiensten zonder beperkingen gebruik konden maken van Europese data. Artikel 49 heeft dan wel wettelijke terugvalgrondslagen voor incidentele doorgiften, zoals de uitdrukkelijke toestemming van de betrokkene, maar deze waren hier niet nuttig. 

Complexiteiten en Beperkingen bij het Nemen van Aanvullende Maatregelen

In richtlijnen van toezichthouders, waaronder EDPB-aanbeveling 01/2020, wordt echter uitgelegd dat het de verantwoordelijkheid is van de verwerkingsverantwoordelijken om hun specifieke doorgiften te analyseren, indien nodig aanvullende maatregelen te nemen of doorgiften stop te zetten als dergelijke maatregelen onmogelijk zijn.  

De realiteit heeft meer dan eens uitgewezen dat er geen technische maatregelen zijn die zouden kunnen helpen in een cloud- of SaaS-setting, en daar kan webhosting ook bij betrokken worden. Dit is des te problematischer wanneer de verwerkingsverantwoordelijke, zoals bijvoorbeeld de Nederlandse overheid, beschikt over gevoelige persoonsgegevens. 

Biedt het nieuw Privacy Shield de oplossing? 

De meeste webservers en mailservers bevinden zich in Amerika. Dat zagen we ook in de meetresultaten van de Nederlandse overheid.  

Zoals reeds aangehaald, heeft de Europese Commissie op 10 juli het adequaatheidsbesluit voor het nieuwe EU-U.S. Data Privacy Framework (“Privacy Shield”) goedgekeurd. Het besluit bevestigt dat de Verenigde Staten een passend beschermingsniveau garanderen – dat vergelijkbaar is met dat van de EU – voor persoonsgegevens die naar Amerika worden doorgegeven. Op basis van dit nieuwe adequaatheidsbesluit kunnen persoonsgegevens veilig worden doorgegeven van de EU naar bedrijven en organisaties in de VS die deelnemen aan het Privacy Shield, zonder dat er nog extra waarborgen voor de gegevensbescherming nodig zijn. 

Betekent dit nu dat Amerikaanse webdomeinen veilig zijn?

Wij durven hier nog niet positief op te antwoorden. Het is namelijk nog niet heel duidelijk hoe stabiel dit verdrag werkelijk is. 

Privacyorganisatie noyb heeft namelijk aangekondigd dit verdrag opnieuw te willen aanvechten bij het Europees Hof van Justitie. De vorige verdragen tussen de EU en de US kwamen op dezelfde manier tot hun einde. 

Welke Webdomeinen worden best gebruikt?   

In essentie mogen persoonsgegevens op basis van de GDPR Europa niet verlaten, echter is het gebruiken van servers buiten de EER niet verboden. Toch is dit niet slim om te doen. Het is belangrijk op te merken dat bepaalde landen geheel andere wetten hebben, denk bijvoorbeeld aan het feit dat de Amerikaanse inlichtingsdiensten tot voor kort onbeperkte toegang hadden tot Europese data en dat Amerikaanse bedrijven zelfs verplicht waren dit aan de inlichtingsdiensten te bezorgen. Als uw gegevens worden verwerkt op servers buiten de EU, zal u niet alleen moeten waarborgen dat de gegevens toereikend beschermd worden, maar moet u er ook zeker van zijn dat de service ook op alle andere gebieden aan de GDPR voldoet. 

Impact op Gegevensdoorgifte en Dienstverlening

Als u een webhostingprovider gebruikt waarvan de servers zich binnen de EU bevinden, kunt u er zeker van zijn dat de serverlocatie in ieder geval voldoet aan de regels vanuit het perspectief van “overdracht van gegeven”, dat is al een ding minder waar u zich zorgen over moet maken.  U moet wel nog steeds due diligence uitvoeren bij deze providers, aangezien u er zeker van moet zijn dat de andere aspecten van hun diensten voldoen aan uw verplichtingen om te voldoen aan de GDPR. 

Het zou daarom verstandig zijn om een in een derde land gehoste website te migreren naar een server in de EER of in een land dat een duidelijk en stabiel adequaatheidsbesluit heeft.  

Voor meer informatie hieromtrent, contacteer een erkend DPO. 

Delen:

Meer berichten

DORA

Hoe te voldoen aan DORA vereisten

Inleiding: In de snel evoluerende digitale wereld van vandaag is cybersecurity een prioriteit geworden voor organisaties van elke omvang en in elke

de toekomst van GDPR

De Toekomst van Gegevensbescherming

Inleiding: Sinds de implementatie in 2018 heeft de Algemene Verordening Gegevensbescherming (GDPR) een aanzienlijke impact gehad op de manier waarop organisaties wereldwijd

Meer info: