Gegevensbescherming in Europa - sproof

Katharina Raabe-Stuppnig begon haar carrière in het mediarecht. Ze adviseerde uitgeverijen en telecommunicatiebedrijven op het gebied van mededingingsrecht, reclame en mediaverantwoordelijkheid. De brug naar gegevensbescherming kwam bijna vanzelf: "Veel klanten benaderden mij en zeiden: Jij kent onze processen en onze belangenafweging - kun je ons ook ondersteunen met gegevensbescherming?"

Toen de AVG van kracht werd, kwam gegevensbescherming meer centraal te staan in de bedrijfsrealiteit. Miljoenenboetes verhoogden de druk. Bedrijven hadden behoefte aan duidelijke concepten - en vertrouwden op bestaande partnerschappen. Als gevolg daarvan evolueerde de gegevensbeschermingswetgeving van een perifere kwestie naar het centrale aandachtspunt van hun activiteiten.

Sinds de invoering van de AVG in 2018 is de behoefte aan juridische ondersteuning enorm toegenomen - en blijft groot. Dit is niet in de laatste plaats te wijten aan het feit dat de verordening geen onderscheid maakt tussen grote bedrijven en kleine bedrijven. Iedereen moet aan dezelfde normen voldoen.

"Een goed functionerend beheersysteem voor gegevensbescherming is vandaag de dag een echte stimulans," legt Raabe-Stuppnig uit. "Het biedt bedrijven een overzicht van systemen, processen en risico's - en vormt de basis voor optimalisatie en meer efficiëntie."

Tegelijkertijd wordt de omgeving steeds complexer: nieuwe wetgeving zoals NIS-2, de Cyber Resilience Act, de AI Act en de Data Act stellen extra eisen aan bedrijven - in alle sectoren. Degenen die al een stabiele basis voor gegevensbescherming hebben gelegd, hebben nu een duidelijk voordeel.

De vragen waarmee bedrijven zich tegenwoordig tot het advocatenkantoor wenden, zijn talrijk:

• Welke invloed heeft NIS-2 op mij als ik een leverancier van kritieke infrastructuur ben?

• Welk beleid heb ik nodig voor de AI-wet?

• Hoe ga ik om met nieuwe toegangsrechten tot gegevens onder de Data Act - zonder het niveau van gegevensbescherming dat ik tot nu toe heb opgebouwd in gevaar te brengen?

Naast juridische beoordelingen spelen strategische vragen een steeds belangrijkere rol: Waar moeten verantwoordelijkheden binnen het bedrijf worden toegewezen? Hoe kunnen compliance, cyberveiligheid en het vermogen om te innoveren met elkaar in overeenstemming worden gebracht? Raabe-Stuppnig en haar team ondersteunen bedrijven niet alleen bij de implementatie, maar ook bij de positionering binnen het nieuwe wettelijke kader.

Het gebruik van software uit derde landen - bijvoorbeeld door Amerikaanse hyperscalers - is een bijzonder gevoelige kwestie. Hoewel er in de VS ook wetten voor gegevensbescherming zijn, legt Raabe-Stuppnig uit, is de bescherming voornamelijk van toepassing op Amerikaanse burgers. Deze regelgeving is aanzienlijk zwakker voor EU-burgers.

"Het probleem zit hem in de weging: de veiligheidsbelangen van de NSA hebben vaak voorrang op de gegevensbescherming van niet-Amerikanen. Het Europees Hof van Justitie heeft deze onevenredigheid al twee keer vastgesteld - en daarmee centrale principes zoals Safe Harbor en Privacy Shield ongedaan gemaakt."

Sinds de AVG van kracht is, is het bewustzijn in Europa merkbaar veranderd. Bedrijven gaan nu veel gevoeliger om met persoonlijke gegevens. De media-aandacht rond uitspraken over gegevensbescherming en prominente zaken heeft hierin een belangrijke rol gespeeld.

"We hebben een gouden standaard voor gegevensbescherming in Europa gecreëerd," vat Raabe-Stuppnig samen. "En het is verheugend om te zien hoeveel bedrijven er actief naar streven om niet alleen aan deze norm te voldoen, maar deze ook te gebruiken als concurrentievoordeel."

Het debat over gegevensbescherming tussen de EU en de VS is complex - en vooral zeer dynamisch vanuit een juridisch perspectief. In tegenstelling tot landen als Zwitserland, waarvoor de EU-Commissie een zogenaamde adequaatheidsbeschikking heeft afgegeven, was en is de situatie met de VS veel gecompliceerder. Een dergelijk besluit stelt dat persoonsgegevens naar een derde land mogen worden doorgegeven omdat het niveau van gegevensbescherming daar vergelijkbaar is met dat in de EU. In landen als China of Rusland - en lange tijd ook in de VS - bestond een dergelijk besluit niet.

Zodra bedrijven werken met dienstverleners voor gegevensverwerking in bijvoorbeeld de VS, moeten ze extra beschermende maatregelen nemen om het door de AVG vereiste niveau van gegevensbescherming te handhaven. Dit betekent meer inspanning, meer verplichte controles - en meer risico.

Een praktisch voorbeeld: zelfs als u voor Amerikaanse cloudproviders een serverlocatie binnen de EU kiest, bestaat het probleem nog steeds - bijvoorbeeld als de Europese dochteronderneming onder controle staat van een Amerikaans moederbedrijf. In geval van nood zouden Amerikaanse autoriteiten zoals de NSA toegang tot de gegevens kunnen eisen - zelfs via een interne commandostructuur. Een serverlocatie in de EU verkleint het risico, maar sluit het niet volledig uit.

De geschiedenis van gegevensbeschermingsovereenkomsten tussen de EU en de VS leest als een reeks juridische tegenslagen:

• Safe Harbor was de eerste overeenkomst die op vrijwillige basis bepaalde gegevensbeschermingsnormen aan Amerikaanse bedrijven oplegde. Het werd in 2015 ingetrokken door het Schrems I-arrest.

• Privacy Shield was de opvolger - een herziene versie van Safe Harbor. Deze overeenkomst werd echter ook ongeldig verklaard door het Europese Hof van Justitie in het Schrems II-arrest in 2020.

• Als reactie hierop werd het Data Privacy Framework van kracht, op basis waarvan de EU-Commissie opnieuw een adequaatheidsbesluit voor de VS aannam.

Dit komt omdat het Data Privacy Framework gebaseerd is op een uitvoerend bevel van de Amerikaanse president - een bevel dat theoretisch op elk moment ingetrokken kan worden. Critici twijfelen daarom aan de stabiliteit van dit kader op de lange termijn. Er is al een rechtszaak tegen de adequaatheidbeschikking aangespannen bij het Europese Hof van Justitie - de uitkomst is onzeker.

Bovendien is de verantwoordelijke Amerikaanse toezichthoudende autoriteit, de PCLOB, momenteel niet in staat om op te treden omdat drie van haar vijf directeuren door voormalig president Trump zijn ontslagen. Het resultaat: grote onzekerheid over hoe stabiel het mechanisme voor gegevensbescherming in de VS werkelijk is.

Als u plannen maakt voor de lange termijn en zich wilt richten op gegevensbeveiliging, moet u niet blindelings vertrouwen op het Data Privacy Framework. Net als in het verleden kan de juridische situatie snel veranderen. De kosten van Data Transfer Impact Assessments (TIA) zijn hoog, en overtredingen kunnen leiden tot zware boetes tot 4% van de wereldwijde jaaromzet.

Clouddiensten van Amerikaanse providers kunnen momenteel worden gebruikt in overeenstemming met **de regelgeving inzake gegevensbescherming, mits **passende beschermingsmaatregelen zoals standaard contractuele clausules en technische beveiligingsmaatregelen worden geïmplementeerd. Maar er is nog steeds een restrisico. Het is vooral problematisch dat er nog steeds geen end-to-endencryptie is die geschikt is voor dagelijks gebruik voor alle soorten gebruik - bijvoorbeeld voor de lopende verwerking van gegevens ("gegevens in gebruik").

Het gebruik van Amerikaanse diensten moet daarom altijd individueel worden beoordeeld: Hoe gevoelig zijn de gegevens die verwerkt worden? Welke veiligheidsmaatregelen worden er genomen? En in hoeverre is het bedrijf daadwerkelijk in staat om de risico's te beperken?

De vraag of bedrijven alleen software en clouddiensten van Europese oorsprong mogen gebruiken - een "helemaal of helemaal niet" - klinkt op het eerste gezicht als een duidelijk standpunt. Maar dit is precies waar gegevensbeschermingsdeskundige Katharina Raabe-Stuppnig voor waarschuwt. Een dergelijk principe is niet alleen onpraktisch, maar ook moeilijk te rechtvaardigen voor de autoriteiten. In plaats daarvan moet elke beslissing over het gebruik van software of clouddiensten per geval worden genomen - afhankelijk van hoe gevoelig de verwerkte gegevens zijn en welke specifieke beschermingsmaatregelen kunnen worden genomen.

Een ander onderwerp dat veel bedrijven momenteel bezighoudt: Wat gebeurt er als het Europese Hof van Justitie (EHvJ) het nieuwe Data Privacy Framework tussen de EU en de VS vernietigt - zoals het eerder deed met "Safe Harbor" en "Privacy Shield"? Het antwoord is duidelijk: er zou opnieuw enorme rechtsonzekerheid ontstaan. Dit is precies de reden waarom Kargl bedrijven nu al adviseert om niet alleen op het raamwerk te vertrouwen, maar om aanvullende standaard contractuele clausules (SCC's) overeen te komen. Deze moeten altijd een overdrachtseffectbeoordeling (TIA) bevatten - d.w.z. een risicoanalyse voor gegevensoverdracht naar derde landen.

De jurist maakt echter ook duidelijk dat, mocht het Data Privacy Framework daadwerkelijk vallen en de proportionaliteit van gegevensdoorgifte naar de VS fundamenteel in twijfel worden getrokken, de TIA's ook hun grenzen zouden bereiken. De hoop is dan gevestigd op aanvullende technische en organisatorische maatregelen - vooral encryptie.

De gegevensbeschermingsautoriteiten en het Europees Hof van Justitie eisen een duidelijke oplossing van Amerikaanse cloudproviders: gegevens mogen alleen versleuteld worden opgeslagen en de sleutel moet buiten de provider worden beheerd - idealiter in Europa en onder controle van het bedrijf dat verantwoordelijk is voor de gegevens of een Europese beheerder. Het doel van deze zogenaamde "externe sleutelbeheer"-oplossing is om ervoor te zorgen dat zelfs in het geval van toegang door Amerikaanse autoriteiten zoals de NSA, alleen versleutelde, d.w.z. onbruikbare, gegevens kunnen worden doorgegeven.

In de praktijk kan dit type versleuteling volgens Katharina Raabe-Stuppnig echter alleen echt worden geïmplementeerd voor back-upgegevens. Zodra gegevens in het dagelijks leven actief worden verwerkt, is toegang tot onversleuteld materiaal vereist. Dit is precies waar het probleem ligt: de technologie die volledige gegevensverwerking in een versleutelde staat mogelijk maakt, bestaat momenteel slechts in zeer beperkte mate - bijvoorbeeld voor eenvoudige berekeningen of schattingen in specifieke scenario's. De stand van de techniek is nog niet voldoende voor wijdverbreid gebruik, zoals in het bedrijfsleven vereist is.

Ondanks deze uitdagingen is de advocaat optimistisch over de toekomst: de EU Data Act zal een belangrijke koers uitzetten. Cloudproviders worden verplicht om multicloudstrategieën mogelijk te maken, d.w.z. om het overstappen tussen providers te vergemakkelijken - zonder hoge overstapkosten. Dit is een actieve poging om de Europese soevereiniteit in de digitale ruimte te versterken en op de lange termijn meer alternatieven te creëren voor Amerikaanse hyperscalers.

De vraag blijft of Europa op termijn in staat zal zijn om onafhankelijker en veiliger op te treden in de digitale ruimte. Mevrouw Raabe-Stuppnig heeft er echter vertrouwen in: "De politieke wil is er - en met gerichte steun en regelgeving zouden er snel levensvatbare Europese alternatieven kunnen komen.

Een algemeen afzien van oplossingen uit derde landen is niet praktisch en ook niet wettelijk verplicht. Bedrijven moeten zorgvuldig afwegen hoe gevoelig hun gegevens zijn, welke partners geschikt zijn - en welke specifieke beschermingsmaatregelen ze kunnen implementeren. Degenen die al vertrouwen op SCC's, TIA's en encryptie zitten niet alleen juridisch aan de veilige kant, maar versterken ook de positie van Europa in de digitale concurrentie.