[AVG] mag je persoonsgegevens in een NL datacentre hosten, bij een US partij?

[avgole]

We zitten bij een Nederlandse webhostingpartij waar we ontevreden over zijn, en zijn op zoek naar een nieuwe. We kijken o.a. naar Digital Ocean. Die zeggen zelf (https://www.digitalocean.com/legal/gdpr-faq#do-we-transfer-data-internationally) dat ze compliant zijn, maar als ik Google lijkt het dat geen enkele US partij compliant kan zijn, vanwege de ongeldigheid van Privacy Shield - ook niet als je alleen een NL datacentre gebruikt.

 

Hoe zit dat nou precies?

 

 

[RubenT]

Welkom op Higherlevel!

 

Ik zie zojuist dat er een opvolger is van de Privacy Shield, namelijk het Data Privacy Framework, die door de Europese Commissie is goedgekeurd om persoonsgegevens in de VS te laten verwerken.

 

Ik heb er nog geen goed artikel over kunnen vinden, maar bij deze wel het volledige besluit van de EC: https://commission.europa.eu/system/files/2023-07/Adequacy decision EU-US Data Privacy Framework.pdf

[Yorick10]

Welkom!

 

Ter aanvulling op @RubenT is sinds kort hier een kort artikeltje te vinden over het aannemen van de nieuwe regels, waarbij critici niet heel positief zijn, wellicht zoals te verwachten valt.

 

En geen direct antwoord maar wel een alternatief, om geen 'last' te hebben van deze regelgeving zou je Europese partijen kunnen overwegen, enkele grote jongens zoals Scaleway, OVH, TransIP en Hetzner bieden soortgelijke diensten aan DigitalOcean.

[MWormgoor]

Het nadeel van Digital Ocean is dat je, ondanks dat het datacenter in Nederland staat, zaken doet met een Amerikaanse partij. Mijn factuur komt van DigitalOcean LLC, gevestigd in New York.

Dat ligt wel anders als je zaken doet met een Europese partij. Als je een contract afsluit met een Nederlandse (of Ierse) entiteit, en de data opslaat binnen de EU, dan is het een ander verhaal, zelfs als die partij een Amerikaanse moedermaatschappij heeft. Een contract met Amazon of Microsoft (de Europese entiteit ervan) waarbij je data binnen de EU (keuze van de juiste datacenters) blijft lijkt me geen enkel probleem. 

[Peter73]

Ik vind dit moeilijk op de juiste waarde te schatten. Zelfs als het bij een Europese entiteit van een Amerikaans moederbedrijf staat zullen er medewerkers van het moederbedrijf technisch gezien toegang toe hebben. Ondanks dat er nu een nieuw verdrag opgetuigd is (https://www.nu.nl/tech/6271877/bedrijven-mogen-onze-gegevens-weer-in-de-vs-opslaan-dit-moet-je-weten.html) heb ik nog geen duidelijke onderbouwing kunnen vinden waarom de Patriot Act nu ineens niet meer zou gelden.

 

Het artikel zegt zelf ook "Hun toegang wordt volgens Brussel "beperkt tot wat noodzakelijk en evenredig is".  --> Juist, zelfs "vrijwel nooit" is nog steeds "de mogelijkheid is er dus wel". 

 

Het lastige daarvan is dat die Patriot Act alle andere zaken overruled en dat bedrijven hier ook niet open over mogen zijn. Dit was de reden dat Microsoft een tijd geleden een tijdje een "Duitse" cloud via Deutsche Telekom had. Dat was echt 100% gescheiden waardoor dit wel een garantie was. 

 

Nog wat achtergrondinfo: https://tweakers.net/nieuws/180140/meeste-europese-bedrijven-overtreden-avg-door-amerikaanse-clouddiensten.html

Het is al een wat ouder artikel maar de commentaren eronder geven wel een interessant beeld van de aspecten die erbij komen kijken. 

 

Mijn persoonlijke standpunt is dat ik op basis van de gegevens zou bepalen of ik me achter papieren compliance in de vorm van dat verdrag zou verschuilen of dat ik een tandje meer zekerheid zou willen. 

11 juli 2023 aangepast door Peter73

[Ward van der Put]

Voor hosting zou het niet mijn voorkeur hebben, maar het is technisch heel goed mogelijk om Amerikaanse cloudoplossingen AVG-proof te gebruiken. Coolblue heeft bijvoorbeeld een dataplatform in de Google Cloud en API-services van PostNL draaien op AWS van Amazon.