Zijn Amerikaanse
cloud providers veilig
voor jouw data?
Is het mogelijk om de cloud veilig te gebruiken? Wat is de Cloud Act en kan encryptie persoonlijke gegevens veilig houden voor Amerikaanse autoriteiten?
Waarom is de cloud zo aantrekkelijk? Simpel gezegd: gemak. Je bespaart geld op IT, het is toegankelijker, geen serveronderhoud ensamenwerking is nu een eitje. Er zijn gewoon veel voordelen aan het werken met de cloud.
Maar nadat Schrems II het Privacy Shield teniet verklaarde, voelt niet iedereen zich even veilig om de cloud te gebruiken. Schrems II kwam namelijk tot stand door de Amerikaanse CLOUD Act. Deze wet geeft Amerikaanse autoriteiten namelijk de mogelijkheid om data op te eisen die opgeslagen ligt in Amerikaanse cloud providers. Óók Europeaanse data. Dit is weer in direct conflict met de GDPR, die er is om de gegevens van Europese burgers te beschermen. Het Privacy Shield was niet voldoende om de GDPR te handhaven.
Veiligheid is voor veel organisaties een top prioriteit. Maar het valt niet te ontkennen dat Schrems II, hoe veilig het besluit ook was, ook de digitalisering voor veel Europese bedrijven heeft vertraagd. Veel cloud providers zijn nu eenmaal Amerikaans. Dat betekent dat we nu met veel nieuwe vragen zitten: is het mogelijk om de cloud veilig te gebruiken? Wat is de CLOUD act en kan versleutelde data jouw persoonlijke gegevens uit handen houden van Amerikaanse autoriteiten? Deze pagina helpt je deze vragen beantwoorden.
Hoe zit het nou eigenlijk met de cloud?
Wat is Schrems II? Welke gevolgen heeft de Cloudwet voor gegevensopslag in de cloud? Wat gebeurt er nu het Privacy Shield niet langer voldoet aan de eisen voor gegevensbescherming? Is de cloud nog wel veilig om te gebruiken?
Laten we bij het begin beginnen: Schrems I.
De rechtszaak waar het allemaal mee begon... Schrems I
Max Schrems. Bron: The Irish Times
Het begon allemaal met de Oostenrijkse advocaat en activist: Maximilian Schrems, die Facebook al langer niet vertrouwde. Hoewel Facebook een Amerikaans bedrijf is, is hun Europese hoofdkwartier gevestigd in Ierland. Hierbij stond het Facebook vrij om gegevens tussen Ierland en de VS uit te wisselen. Schrems, die op zijn zachtst gezegd niet blij was met de overdracht van zijn gegevens, diende in 2013 een klacht in bij de Ierse gegevensbeschermingsautoriteit. De claim werd ingediend om te voorkomen dat Facebook door zou gaan met het doorsturen van Europese gegevens naar de VS.
Verrassend was deze beslissing niet. Eerder dat jaar had klokkenluider Edward Snowden namelijk al bewezen dat Facebook betrokken was bij het omstreden massasurveillanceprogramma PRISM. Schrems betoogde in zijn klacht dat dit massasurveillancesysteem in strijd was met de EU-datawetgeving.
De zaak liep hoog op en kwam zelfs op het bordje te liggen van het Europese Hof van Justitie. Schrems won de zaak. De Safe Harbor-overeenkomst, die tot dan toe werd gebruikt voor de transatlantische gegevensoverdracht, bood niet voldoende bescherming tegen deze manier van gegevensoverdracht. De uitspraak werd bekend als Schrems I, vernoemd naar de Oostenrijkse advocaat. Tot dusver het begin.
Schrems II: Privacy Shield en the Cloud Act
Wat is nou een goed verhaal zonder sequel? Schrems I werd namelijk snel opgevolgd door Schrems II: De Terugkeer. Schrems I eindigde toen de Safe Harbor-overeenkomst werd ingetrokken. Daar kwam de handelsovereenkomst Privacy Shield voor in de plaats. Het Privacy Shield diende als framework dat Europese en Amerikaanse bedrijven in staat stelde gegevens uit te wisselen terwijl er aan bepaalde privacy-eisen werd voldaan.
De Europese Commissie had eerder besloten dat het Privacy Shield voldoende bescherming bood voor de verwerking van persoonsgegevens. Dat besluit werd echter in de zomer van 2020 vernietigd toen Schrems opnieuw een klacht indiende. Hij beargumenteerde dat het Privacy Shield geen beter alternatief was dan de Safe Harbor.
Ook bij deze rechtszaak oordeelde de rechter opnieuw in het voordeel van Schrems. Waarom? De VS CLOUD Act, ingevoerd in 2018. Deze wet geeft Amerikaanse autoriteiten namelijk de mogelijkheid om Europese gegevens op te vragen als die zijn opgeslagen bij Amerikaanse cloud providers, wat lijnrecht ingaat tegen de GDPR. Ook het Privacy Shield werd daarmee onderuit gehaald.
Officieel heet het vonnis C-311/18, maar staat beter bekend als Schrems II... Hoewel wij persoonlijk van mening zijn dat Schrems II: De Terugkeer een stuk dramatischer had geklonken.
Wat waren de consequenties?
Schrems II vertraagde de digitalisering voor organisaties die al naar de cloud waren overgestapt of van plan waren dat te doen. Clouds waren immers gebonden aan de US CLOUD Act en mogelijke dataverzoeken van de Amerikaanse overheid. De grootste vraag was of het mogelijk was om GDPRcompliant te zijn in de cloud of dat het tijd is om op zoek te gaan naar een andere oplossing buiten de cloud.
Wat zegt het Europees Comité voor gegevensbescherming?
Met dit in ons achterhoofd, wat zegt de GDPR eigenlijk over dataopslag in een derde land of bij een Amerikaanse cloud provider? Het Europees Comité voor gegevensbescherming (EDPB) heeft een aantal criteria opgesteld over hoe dit eruit zou moeten zien:
1. Persoonsgegevens moeten worden versleuteld voordat zij worden verzonden.
2. Het gebruikte encryptie-algoritme moet van een hoog niveau zijn en bestand zijn tegen de analyse van de encryptie door de autoriteiten in het ontvangende land.
3. Bij de kracht van de encryptie moet rekening gehouden worden met de tijdsduur waarin de vertrouwelijkheid van de versleutelde data bewaard moet worden.
4. Het encryptie-algoritme moet foutloos worden geïmplementeerd. Software moet regelmatig worden geüpdatet en geverifieerd door bijvoorbeeld certificering.
5. De encryptiesleutels moeten op een betrouwbare manier worden opgeslagen.
6. Alleen de data-exporteur en de gemachtigde ontvangers mogen toegang hebben tot de encryptiesleutels. Zij moeten zich bevinden binnen de EER of in een derde land waar een passend beschermingsniveau wordt gehandhaafd, zoals vereist in artikel 45 van de GDPR.
Perfect – kort en bondig
Dus hoe gaan we om met deze regels? Het antwoord ligt, zoals de EDPB al aangeeft, in de versleuteling en het beheer van encryptiesleutels.
Biedt data encryptie bescherming tegen de CLOUD Act?
Encryptie is een vereiste voor veilige communicatie. Waarom? Zonder encryptie kan iedereen jouw informatie bekijken. Zie het als je voordeur niet op slot doen, iedereen kan zo inbreken en kijken wat je zoal in huis hebt. E-mail werkt op dezelfde manier.
Encryptie is bedoeld om je informatie op zo'n manier te versleutelen dat alleen bevoegde personen hier toegang toe hebben. Oké, dat klinkt simpel, maar het is ingewikkelder dan dat. Er zijn namelijk veel verschillende soorten encryptie. Sommige beschermen je alleen tegen hackers, maar niet tegen de Amerikaanse overheid. Om je aan de GDPR te houden, is het belangrijk dat je gegevensbescherming gebruikt met encryptie, zo ben je namelijk ook beschermd tegen de CLOUD Act.
Cloud Act
The CLOUD Act geeft Amerikaanse autoriteiten het recht om jouw gegevens op te vragen als je gebruik maakt van een Amerikaanse cloudprovider. Dit geldt ongeacht waar de gegevens zijn opgeslagen. Als jouw cloud provider een van oorsprong Amerikaans bedrijf is, maakt het niet uit of je data in Europa opgeslagen is. Om jezelf tegen de CLOUD Act te beschermen, heb je gegevensbescherming nodig die gebruik maakt van zero knowledge encryptie.
Zero Knowledge
Zero knowledge betekent dat niemand, behalve de verzender en de ontvanger, toegang heeft tot de encryptiesleutels om je data te decoderen. En nee, de encryptie provider ook niet.
Het is wél belangrijk te vermelden dat zero knowledge encryptie niet voorkomt dat een derde partij toegang krijgt tot jouw data. Ze hebben alleen niks aan de informatie: ze kunnen alleen de versleutelde gegevens bekijken. De gedecodeerde gegevens kunnen alleen worden gelezen door de zender en ontvanger door middel van de encryptiesleutel.
Kort samengevat: met zero knowledge encryption kunnen de Amerikaanse autoriteiten nog wel bij je informatie, maar ze kunnen het niet lezen. Slim, toch?
Biedt versleutelde gegevensbescherming daarom bescherming tegen de CLOUD Act?
We laten GDPR- en gegevensbeveiligingsdeskundige Alexander Hanff aan het woord:
"Absoluut, omdat het (gegevensbescherming) de gegevens onleesbaar of onbruikbaar maakt."
CLOUD Act vs. GDPR - Hoe bescherm je jouw data? Met data en privacy expert, Alexander Hanff
Betekent Schrems II dat organisaties de GDPR schenden? Wat kan je opslaan in de cloud? Is het mogelijk om van de voordelen van de cloud gebruik te maken met de juiste databescherming?
Krijg antwoord op al deze vragen met onze webinar!
Waar moet ik aan denken bij de keuze voor een encryptie oplossing?
Dat was een hoop informatie! Dus in het kort: de cloud biedt een simpele, goedkopere en snellere manier van werken, maar moet wel voldoen aan de GDPR. Daarom hebt je versleutelde gegevensbescherming nodig. Dus als je eraan toe bent om een encryptieprovider te kiezen, overweeg dan het volgende:
Awareness
Hoe ervaren is je provider? Vraag hen hoe zij hun encryptiesleutels beheren. Welk type encryptie gebruiken ze? Zijn zij zich bewust van eventuele toekomstige risico's die aan dit type encryptie zijn verbonden? Updaten zij hun oplossing regelmatig?
Opslag van encryptiesleutels
Uw provider moet end-to-end encryptie gebruiken met zero knowledge. Dit is een vereiste! Door end-to-end-encryptie met zero knowledge te gebruiken, kan niemand, behalve geautoriseerde personen, op een zinnige manier toegang krijgen tot uw gegevens. Zo ben je zowel GDPR-compliant als beschermd tegen de CLOUD Act.
Smartlockr en encryptie
Tot slot zijn we gearriveerd bij Smartlockr. Hoe gaan wij om met jouw data? Smartlockr's ijzersterke
e-mailoplossing gebruikt end-to-end encryptie met zero knowledge.
End-to-end encryptie
Door je e-mails beveiligd te versturen met Smartlockr zorgen wij ervoor dat de gehele e-mail is versleuteld: zowel het bericht als eventuele bijlagen je verstuurt. Dit geldt voor het hele proces.
In het verleden lag de nadruk meestal op het beveiligen van de verbinding tussen de verzender en de ontvanger om de veiligheid te waarborgen. Helaas betekende dit dat als iemand tijdens het verzenden toegang kreeg tot de e-mail, het risico groot was dat de informatie in de e-mail gelekt kon worden. End-to-end encryptie betekent dat het hele bericht wordt versleuteld vóór, tijdens en na het verzenden.
Zero knowledge
"Zero knowledge" betekent niks meer dan dat de encryptiesleutels gescheiden van de provider worden opgeslagen. Alleen geautoriseerde ontvangers hebben toegang tot de sleutels. Als een derde partij toegang zou krijgen tot jouw e-mail of een bijlage is de informatie waardeloos, aangezien deze wordt versleuteld en dus onleesbaar is. Tot slot zijn we gearriveerd bij Smartlockr. Hoe gaan wij om met jouw data? Smartlockr's ijzersterke e-mailoplossing gebruikt end-to-end encryptie met zero knowledge.
- Voldoe aan alle wet- en regelgeving: AVG, NTA 7516, Wvggz;
- Gebruiksvriendelijkheid op de eerste plaats zodat de beveiliging ook echt gebruikt wordt;
- Vergroot de bewustwording en maak van je eigen mensen je beste beveiliging tegen datalekken;
- Volledig geïntegreerd in je werkproces, je e-mailomgeving en mobiele telefoon, zonder extra gedoe. Zo kan iedereen dit makkelijk gebruiken;
- Houd de controle over je data. Volg en blokkeer je e-mail, ontvanger(s) en/of bijlage(n) als het nodig is.