Samenwerken met de VS: een goed gesprek over gegevensbeveiliging

Gegevensbeveiliging data vs

Hoe borg je gegevensbescherming op internationaal niveau? Aan het eind van 2022 stond deze vraag centraal tijdens de discussie ‘De Nederlandse en Amerikaanse benadering van gegevensbescherming: samen vooruit’. Nederlandse data privacy experts, waaronder Sandy Janssen van SURF, gingen tijdens de bijeenkomst in op samenwerkingen tussen Nederlandse en Amerikaanse organisaties, en hoe zij hun databeveiliging en privacy kunnen verbeteren. De sessie werd gemodereerd door Josh Kallmer, Head of Global Public Policy en Government bij Zoom. Zoom heeft in 2022 hun databeleid en uitvoering hiervan in overeenstemming met de AVG verbeterd. 

Security gaat hand in hand met privacy

De basis van privacy en security start met technologie en gaat over technische maatregelen om gegevens te beschermen zoalsde veiligheid van een website, netwerk of database in de cloud, dat is het belangrijkst. Marlon Domingus, Data Protection Officer bij de Erasmus Universiteit Rotterdam (en voorzitter van de SURF Taskforce Beyond Privacy Shield) benadrukt dat security hand in hand gaat met privacy: “Er is geen sprake van een zero-sum game. Privacy is net zo belangrijk als bijvoorbeeld security: beide moeten evenveel prioriteit krijgen.” 

Dataminimalisatie moet standaard zijn

Een van de pijlers van privacy is dataminimalisatie. "Is het echt nodig dat je vastlegt wanneer een gebruiker een document opent en sluit, of wanneer de documentnaam gewijzigd wordt", vraagt Sjoera Nas, Senior Privacy Advisor bij Privacy Company zich af. Als je als internationaal bedrijf een analyse maakt van het type data en waarom je die verzamelt, wordt een gesprek over privacy met de lokale databeschermingsautoriteiten veel productiever. Tobias Guenther, Privacy Counsel bij Zoom is het daarmee eens: “Bij internationale technologiebedrijven die zich willen houden aan sterke privacy- en beveiligingsnormen, moet minimalisering van dataverzameling een standaardinstelling en een van de basisprincipes zijn, om afspraken met klanten na te kunnen komen”.

Data-inventarisatie

Een andere belangrijke stap voor ‘privacy by design’ is de inventarisatie van de data die een bedrijf verwerkt. “Het is belangrijk dat bedrijven verder kijken dan persoonsgegevens in de content en dat ze ook andere soorten persoonsgegevens (bijvoorbeeld telemetriedata) meenemen in hun privacy-assessments”, zegt Sjoera Nas. 

Transparantie over dataverwerking

Daarnaast is diepgaande transparantie over dataverwerking op de lange termijn belangrijk. “Gebruikers willen niet verrast worden dat de provider die ze vertrouwde, dingen met hun data doet die ze niet zijn overeengekomen”, aldus Marlon Domingus. “Verzuimen om transparant te zijn, heeft tot gevolg dat gebruikers hun vertrouwen verliezen.”

Dataprivacyplan met langetermijnstrategie

Het ontwikkelen van een robuust dataprivacyplan, betekent dat er ook een langetermijnstrategie ontwikkeld moet worden: wat gebeurt er over 5 of 10 jaar met privacy onder invloed van machine learning of AI? Kunnen we dat nu al voorzien en daarop inspelen? Rob van Eijk, Managing Director for Europe bij het Future of Privacy Forum: “De belangrijkste vraag is of er aanvullende controle-eisen ontwikkeld moeten worden voor zulke innovatieve technologieën die veel bedrijven nu beginnen op te starten. Het kan zeer kostbaar zijn om aan deze vereisten te voldoen, vooral voor kleine en middelgrote ondernemingen die misschien niet over de middelen beschikken om een Data Protection Impact Assessment (DPIA) uit te voeren voor de AI-gebaseerde oplossingen die zij gebruiken.”

Bedrijven en privacycommunity’s moeten met deze ontwikkelingen rekening houden. Daar moet je goed bovenop zitten, volgens Sandy Janssen, Legal Counsel bij SURF. “Afspraken over gegevensbescherming gaan verder dan alleen juridische afspraken, ze gaan ook over afspraken over het nemen van technische maatregelen. De leverancier moet zorgen voor een privacyvriendelijke uitvoering van de applicatie voor de gebruikers die de data toevertrouwen aan de leverancier. Dit was ook een van de pijlers in onze samenwerking met Zoom, dat hard werkte om te voldoen aan de verwachtingen van onze SURF-leden.” Zo heeft Zoom zijn verwerkersafspraken aangepast, is sinds november 2020 end-to-end encryptie mogelijk in zowel één-op-één gesprekken als in groepsgesprekken, is het straks mogelijk om de meeste data in Europa op te slaan en zullen helpdeskverzoeken in de EU worden afgehandeld.

Overheid

Naast deze inspanningen vertrouwen de privacycommunity en -industrie op de overheid gezien zij de cruciale rol hebben om juridische en ethische kaders vast te stellen, en om zo toekomstige beleid vorm te geven. Een constante, internationale dialoog over de meest acute dataprivacyvragen, vormen de basis voor een sterke, effectieve en wereldwijde samenwerking.

Executive order draagt bij aan implementatie EU-VS Data Privacy Framework

Tijdens het bespreken van voorbeelden van zulke samenwerkingen, blijkt dat de experts blij zijn met de nieuwe executive order die recent is ondertekend door de Amerikaanse president Biden. Deze draagt namelijk bij aan de implementatie van het EU-VS Data Privacy Framework. Volgens Rob van Eijk is het een bijzonder decreet: “Het framework geeft voorrang aan proportionaliteit van het verzamelen en opslaan van data, en niet van redelijkheid, wat een veel ruimer begrip is. Dit maakt dat het nu minder ruimte voor interpretatie biedt, wat burgers meer mechanismen biedt om controle uit te oefenen op hun data. Daardoor wordt privacy in deze overeenkomst een fundamenteel recht.”

Samenwerking tussen Nederlandse en Amerikaanse organisaties

Aan de andere kant signaleren de experts dat het privacybeleid in de VS en EU beter op elkaar afgestemd moet worden. “In de VS worden data bijvoorbeeld opgeslagen ‘voor het geval dat’ en die data kunnen vervolgens gebruikt worden voor innovaties, onderzoek en verschillende andere doeleinden. In de EU pakken we het voorzichtiger aan en baseren we ons beleid op het principe dat data aan de gebruiker toebehoren. Het EU-VS Data Privacy Framework is een stap in de goede richting en brengt twee privacy-aanpakken dichter bij elkaar. Er is nog werk te verzetten en hierom adviseert Sjoera Nas dat Nederlandse en Amerikaanse organisaties actief blijven samenwerken, om zo te zorgen voor de hoogste dataprivacy en -securitystandaarden.”