In reactie op deze zorgen heeft de Nederlandse overheid een data protection impact assessment (DPIA) laten uitvoeren door Privacy Company. Dit onderzoek identificeerde oorspronkelijk zeven hoge risico's, maar na overleg tussen Amazon en de Nederlandse overheid zijn deze risico's opgelost. Er zijn nog steeds negen andere risico's, maar deze worden als laag beschouwd. De oplossingen omvatten het versleutelen van gevoelige persoonsgegevens en de encryptie van accountgegevens van beheerders.
Vergelijking met andere Europese landen
Hoewel de aanpassingen die Amazon heeft gedaan in theorie van toepassing zouden moeten zijn op de rest van Europa, is de praktijk vaak complexer. Neem bijvoorbeeld België, waar de regels rondom Google Workspace, een vergelijkbare cloudservice, hetzelfde zouden moeten zijn als in Nederland. Echter, Vlaanderen staat het gebruik van Google Workspace niet toe zonder dat scholen eerst zelf een privacyonderzoek uitvoeren.
Dit laat zien dat, hoewel de AVG een universele regelgeving is die bedoeld is om in de hele EU te worden toegepast, de interpretatie en implementatie hiervan kunnen variëren tussen lidstaten. Dit kan leiden tot inconsistenties en onzekerheden, vooral voor bedrijven die in meerdere EU-landen actief zijn.
Zorgen over datadoorgifte naar Amerikaanse bedrijven
Er zijn verschillende zorgen over datadoorgifte, waaronder de doorgifte van data naar Amerikaanse bedrijven. Een van de belangrijkste zorgen is de toegang tot persoonlijke gegevens door de Amerikaanse overheid. Onder de Amerikaanse wetgeving, zoals de Foreign Intelligence Surveillance Act (FISA) en de USA PATRIOT Act, kunnen Amerikaanse inlichtingendiensten toegang krijgen tot gegevens die worden opgeslagen door Amerikaanse bedrijven, ongeacht waar die gegevens zich fysiek bevinden. Dit roept vragen op over de privacy en veiligheid van persoonsgegevens die worden overgedragen vanuit de EU naar de VS.
Het Schremms II-besluit en de impact voor organisaties
Een van de meest invloedrijke ontwikkelingen op het gebied van de AVG is het Schrems II-besluit van het Hof van Justitie van de Europese Unie (HvJEU) in juli 2020. In deze zaak oordeelde het Hof dat het Privacy Shield Framework, wat datadoorgifte tussen de EU en de VS mogelijk maakte, ongeldig was vanwege zorgen over de toegang tot gegevens door de Amerikaanse overheid. Dit heeft geleid tot aanzienlijke onzekerheid en complexiteit voor bedrijven die gegevens overdragen tussen de EU en de VS.
Organisaties die voortaan persoonsgegevens van de EU naar de VS doorgeven, moeten nu een Data Transer Impact Analyse (DTIA) uitvoeren. Een DTIA is een proces dat organisaties moeten doorlopen om de risico's voor de privacy van individuen te beoordelen wanneer hun persoonsgegevens worden overgedragen naar een derde land. De AVG definieert een derde land als elk land dat geen lid is van de Europese Economische Ruimte (EER). De EER omvat de EU-lidstaten, evenals IJsland, Liechtenstein en Noorwegen.
In het Schrems II-besluit is niet expliciet vermeld dat een DTIA verplicht is voor alle doorgiften buiten de EER. De EDPB heeft wel verklaard dat organisaties een DTIA moeten uitvoeren voor alle doorgiften buiten de EER, tenzij ze kunnen aantonen dat de doorgifte geen hoog risico inhoudt.
Conclusie
In conclusie, datadoorgifte en de AVG-naleving is complex en voortdurend in ontwikkeling. Het vereist een gebalanceerde benadering die de voordelen van digitale technologieën en datadoorgifte inziet, en tegelijkertijd de privacy en rechten van individuen beschermd. De situatie van de Nederlandse overheid en AWS biedt waardevolle inzichten in deze uitdaging en wijst op mogelijke veranderingen voor in de toekomst.
Bronnen:
- https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091nl.pdf
- https://tweakers.net/nieuws/211160/nederlandse-overheid-mag-aws-blijven-gebruiken-na-oplossen-van-privacyrisicos.html
- https://tweakers.net/nieuws/210958/toezichthouder-gebruik-van-google-in-vlaams-onderwijs-is-in-strijd-met-avg.html
- https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/praktisch-avg/data-protection-impact-assessment-dpia#:~:text=Is%20een%20organisatie%20van%20plan,(DPIA)%20uit%20te%20voeren.
- https://www.dpoconsultancy.com/nl/gdpr-compliant-international-data-transfers-conducting-tias/
