Jump to content
  • Geen privédata meer naar Amerikaanse servers


    Frans Sijtsma

    Geen privédata meer naar Amerikaanse servers

     

    Korte samenvatting:

    "Persoonlijke gegevens van Europese internetgebruikers kunnen niet zomaar worden overgedragen aan de Verenigde Staten, zo bepaalde het Europees Hof van Justitie in Luxemburg dinsdag" aangezien Amerika niet beschikt over een privacywet.

     

    Waarom vind je dit interessant of wil je dit delen?:

    In het artikel wordt de nadruk gelegd op techreuzen als facebook en microsoft.

     

    Vanuit ondernemersoogpunt vraag ik me af wat op termijn de implicaties zijn voor (online) ondernemers.

     

    Kijk bijvoorbeeld eens welke privédata je hebt en waar ze opgeslagen worden. Gebruik je Mailchimp voor je nieuwsbrieven? Host je je Wordpress webshop bij Godaddy? Beiden Amerikaanse bedrijven met Amerikaanse servers.

     

    Interessant om te volgen welke kant dit op gaat, en gaan Europese bedrijven in het gat springen dat nu wellicht gaat ontstaan?

     

     




    User Feedback

    Recommended Comments

    Om te beginnen zou ik wachten op de toelichting van de rechters. Dinsdag 1500 uur staat er in het artikel, het is me niet duidelijk of dat vandaag of volgende week is.

     

    Je zou al een overzicht moeten hebben van welke soorten persoonsgegevens je verwerkt. Nee? Dan een audit doen.

     

    Ten slotte ga je niet-Europese leveranciers aanschrijven en vragen hoe zij de veiligheid van je persoonsgegevens waarborgen.

     

    Of je doet niets: dit is een uitspraak van het Europese Hof. De EC heeft al aangegeven het niet met hof eens te zijn. Kunnen we handhaving verwachten? Zo nee, dan is het belang van deze uitspraak wellicht vooral dat dit extra munitie is in rechtszaken. Ook het CBP zal wel blij zijn.

     

    In het gelinkte artikel wordt nog een probleem genoemd: zelfs als Amerikaanse aanbieders Europese servers gaan gebruiken voor Europese persoonsgegevens, heeft de Amerikaanse overheid daar geen boodschap aan. Die zegt gewoon tegen het bedrijf in Amerika: jij haalt die gegevens maar op, anders hang je.

     

    Hier is mogelijk een oplossing voor te bedenken: je stopt Europese persoonsgegevens in een aparte Europese rechtspersoon die weliswaar verplicht is ze voor je te beheren, maar waar je geen formele zeggenschap over hebt. Het Amerikaanse bedrijf kan dan tegen zijn overheid zeggen: ik heb het geprobeerd, maar ze willen niet!

    Share this comment


    Link to comment
    Share on other sites

    Om te beginnen zou ik wachten op de toelichting van de rechters.

     

    Uitspraak zelf: http://static.ow.ly/docs/schrems_3OHQ.pdf

     

    Hier is mogelijk een oplossing voor te bedenken: je stopt Europese persoonsgegevens in een aparte Europese rechtspersoon die weliswaar verplicht is ze voor je te beheren, maar waar je geen formele zeggenschap over hebt. Het Amerikaanse bedrijf kan dan tegen zijn overheid zeggen: ik heb het geprobeerd, maar ze willen niet!

     

    Voldoen de meeste grote "Amerikaanse" bedrijven daar nu al niet aan?

     

    Altijd apart gevonden dat deze wel bereid zijn te verdedigen dat hun Europeese tak een onafhankelijk Iers bedrijf met bestuur op Bermuda is, als er belasting betaald moet worden.

    Maar geen moeite doen dit vol te houden om de privacy van hun klanten te garanderen.

     

     

    Share this comment


    Link to comment
    Share on other sites

    Hoe ver zou dit moeten gaan, en wat zou het in de praktijk betekenen.

     

    Stel dat je gmail gebruikt (met je eigen domein), dan verplaats je gegevens van je klanten naar amerikaanse jurisdictie. Die klanten merken daar normaliter niets van, maar zou het strict genomen een overtreding zijn als je gmail of iets dergelijks zakelijk gebruikt?

    Share this comment


    Link to comment
    Share on other sites

    Stel dat je gmail gebruikt (met je eigen domein), dan verplaats je gegevens van je klanten naar amerikaanse jurisdictie. Die klanten merken daar normaliter niets van, maar zou het strict genomen een overtreding zijn als je gmail of iets dergelijks zakelijk gebruikt?

    Inderdaad. En wat te denken van Google Analytics of Google AdSense voor publishers? Of van de vele toestemmingen die je moet geven om een beetje fatsoenlijke app voor iOS of Android te kunnen gebruiken? Of meer technisch: van een CDN voor jQuery, Bootstrap of een Google-webfont?

     

    Share this comment


    Link to comment
    Share on other sites

    Of een CDN een probleem is, is denk ik een andere kwestie. Dat slaat normaliter geen gegevens op (hooguit technische), en bovendien is het voor een cdn juist aantrekkelijk om geografisch dicht bij de gebruiker te zitten.

     

    Analytics en adsense zijn sowieso al problematisch qua privacy, tracking en cookies. Daar zou nu nog bij kunnen komen dat de binnengehaalde gegevens in de vs worden opgeslagen.

     

    De vraag is natuurlijk vooral wie er aansprakelijk is: heb je een probleem als gmail of analytics gebruiker, of heeft google een probleem maar de gebruikers niet? Mij is het vooralsnog niet duidelijk.

    Share this comment


    Link to comment
    Share on other sites

    Of een CDN een probleem is, is denk ik een andere kwestie. Dat slaat normaliter geen gegevens op (hooguit technische), en bovendien is het voor een cdn juist aantrekkelijk om geografisch dicht bij de gebruiker te zitten.

    Een CDN en bijvoorbeeld ook de Google-webfonts hebben naar mijn smaak toch iets van een paard van Troje. Ze gedragen zich namelijk op een wijze die technisch niet voor de hand ligt en toch nadelig voor de privacy kan zijn.

     

    [*] Ze zetten vaak tracking cookies, hoewel je die voor JavaScript, een plaatje of een font niet nodig hebt.

    [*] Ze hebben een relatief korte freshness, hoewel je voor maximale performance een Expires tot in lengte der dagen zou verwachten. Ergo: de client maakt een meetbaar uitstapje naar een server dat nergens anders toe lijkt te dienen dan de hit op de server meten.

    [*] Het zou fijn zijn als ze inderdaad dicht bij de gebruiker zitten, hier in de EU, maar de meestgebruikte CDN's zitten in de VS. Hoewel er bijvoorbeeld "maar" een lettertype wordt opgevraagd, gaat daarmee toch weer informatie over de gebruiker, het gebruiksmoment en de gebruikscontext over the wire naar de Verenigde Staten.

     

    Dat Google Analytics zichtbaar meet, inclusief zwaar dichtgetimmerde gebruiksvoorwaarden met een vrijwaringsverklaring voor Google, is misschien minder een probleem dan wat er allemaal onzichtbaar via de achterdeur lekt.

     

    Share this comment


    Link to comment
    Share on other sites

    Of een CDN een probleem is, is denk ik een andere kwestie. Dat slaat normaliter geen gegevens op (hooguit technische)

     

    Lijkt me toch een risico, op het moment dat je een CDN gebruikt voor meer dan het hosten van statische bestanden.

     

    Als je een dienst als Cloudflare voor je site zet, stuur je bewust alle (persoons)gegevens die een bezoeker op jouw site invult langs het CDN, en wordt je zelfs gevraagd om even je SSL sleuteltjes met ze te delen.

    Hoe weet jij zo zeker dat ze niets opslaan?

     

    Share this comment


    Link to comment
    Share on other sites


    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Restore formatting

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


  • Bring your business plan to a higher level!

    On this forum all subjects are discussed related to entrepreneurship.

    Growing together with other entrepreneurs

    ✓     Ask your entrepreneur questions

    ✓     Share your answers

    ✓     Low profile

    ✓     Transparant

    ✓     At your convenience

    ✓     Always based on relevance, substance and expertise

×

Cookies on HigherLevel.nl

Cookies are necessary for Higherlevel.nl to function properly. By using HigherLevel.nl you declare to have read and accepted our terms and conditions.

 More information   I accept