Nieuw overeengekomen EU-VS-kader voor gegevensprivacy heft privacy-bureaucratische rompslomp op

Het nieuw overeengekomen EU-VS-kader voor gegevensprivacy maakt een einde aan de administratieve rompslomp op het gebied van privacy

Door John Leyden • 22 augustus 2023

Deskundigen hebben het akkoord verwelkomd over nieuwe, op privacy gerichte regels over de manier waarop persoonlijke gegevens tussen Amerikaanse en Europese bedrijven kunnen worden overgedragen.

Het EU-VS Data Privacy Framework is ontwikkeld ter vervanging van het Privacy Shield, dat in 2020 door een besluit van het Europese Hof van Justitie ongeldig werd verklaard.

De rechtbank handelde vanwege zorgen over een gebrek aan adequate waarborgen in zowel het Privacy Shield (en een eerdere Safe Harbor-overeenkomst), wat betekende dat persoonlijke gegevens die de EU-grenzen verlaten, onderworpen zouden kunnen worden aan verregaand toezicht van de Amerikaanse overheid.

Klaar om te verzenden

Het EU-VS-kader voor gegevensprivacy, dat vorig jaar door de Amerikaanse regering werd voorgesteld, werd in juli 2023 door de Europese Commissie bekrachtigd nadat zij had besloten dat de VS “een adequaat niveau van bescherming garandeert – vergelijkbaar met dat van de Europese Unie – voor persoonsgegevens. onder het nieuwe raamwerk overgedragen van de EU naar Amerikaanse bedrijven”.

Dit ‘adequaatheidsbesluit’ betekent dat persoonlijke gegevens ‘veilig van de EU naar Amerikaanse bedrijven die aan het raamwerk deelnemen’ kunnen stromen zonder dat er aanvullende gegevensbeschermingswaarborgen nodig zijn die vereist zijn op grond van tussentijdse maatregelen voorafgaand aan de overeenkomst.

Verplichtingen

De website van het DPF-programma biedt informatie over hoe bedrijven hun privacybeleid en -procedures kunnen bijwerken en veiligheidsmaatregelen kunnen implementeren voordat ze zichzelf certificeren als conform en zich aansluiten bij het DPF-programma. Europese organisaties kunnen dezelfde website gebruiken om de DPF-programmaverplichtingen van een partner te controleren.

Het raamwerk verleent EU-individuen wier gegevens worden overgedragen aan deelnemende bedrijven in de VS verschillende nieuwe rechten, zoals het recht op toegang, correctie en verwijdering van hun persoonlijke gegevens.

De trans-Atlantische datastroomovereenkomst belooft bestaande bureaucratische obstakels en onzekerheden weg te nemen.

Onzekerheden verminderen

Becky White, een advocaat op het gebied van gegevensbescherming en privacy bij het Britse advocatenkantoor Harper James, zei dat het raamwerk beloofde het zakendoen tussen Europese en Amerikaanse bedrijven te vereenvoudigen, terwijl hij waarschuwde dat een aantal potentiële obstakels voor de implementatie ervan nog moeten worden overwonnen.

“Hoewel de voorgestelde databrug welkom nieuws is voor organisaties in zowel de VS als het VK, vooral in het licht van de aanhoudende onzekerheden met betrekking tot internationale gegevensoverdrachten, en zou moeten betekenen dat het contractproces met leveranciers of klanten in de VS veel eenvoudiger en eenvoudiger wordt. Omdat het minder tijdrovend is voor Britse bedrijven, moet Groot-Brittannië een aantal cruciale hindernissen overwinnen voordat het wordt geïmplementeerd. Aspecten van het werk aan de aanpassing van beleid en wetgeving aan beide zijden van de Atlantische Oceaan blijven onvolledig, waarschuwde White

“Ten eerste zal het afhangen van de Amerikaanse aanwijzing van Groot-Brittannië als kwalificerende staat onder president Biden’s Executive Order 14086 (die waarborgen voor gegevensbescherming voor Amerikaanse inlichtingendiensten instelde)”, legde White uit.

“Bovendien staat de door de Britse regering voorgestelde Data Protection and Digital Information Bill (DPDI 2) vrij dicht bij inwerkingtreding, en hoewel de regering blijft beweren dat de geplande veranderingen in het Britse gegevensbeschermingsregime de adequaatheid van de EU niet in gevaar zullen brengen, is er geen bevestiging van die door de EU is gemaakt.”

Het opbouwen van veerkracht op het gebied van cyberbeveiliging

Het bundelen van inlichtingen en het delen van gegevens is van cruciaal belang voor het opbouwen van een robuuste cyberbeveiligingsverdediging.

Jon France, CISO bij de professionele ontwikkelings- en certificeringsvereniging (ISC)² voor de cyberbeveiligingsindustrie, vertelde ISMS.online dat het wegnemen van obstakels voor het delen van gegevens over de Atlantische Oceaan de samenwerking op het gebied van cyberbeveiliging zal verbeteren.

“Het adequaatheidsbesluit over het EU-VS-dataprivacykader introduceert aanzienlijke verbeteringen voor bedrijven aan beide zijden van de Atlantische Oceaan”, aldus Frankrijk. “Het is bemoedigend dat we een toestand bereiken waarin grensoverschrijdende gegevensstromen zijn gewaarborgd en bedrijven die aan het raamwerk deelnemen de vrijheid hebben om gegevens veilig over te dragen.”

Frankrijk vervolgde: “In de veiligheidswereld is toegang tot gegevens van cruciaal belang voor het detecteren en verhelpen van aanvallen. Het vermogen om dergelijke gegevens tussen transatlantische partijen te verplaatsen, zowel in de publieke als de private sector, zal de verdediging op beide continenten verbeteren.”

De belofte van verbeterde veiligheid die het raamwerk biedt, zal alleen worden waargemaakt als organisaties hun eigen huis op orde krijgen, waarschuwde Frankrijk.

“Het handhaven van privacy is afhankelijk van en vereist effectieve cyberbeveiliging; die twee gaan hand in hand”, aldus Frankrijk. “Organisaties hebben de verantwoordelijkheid om een adequaat niveau van bescherming van persoonsgegevens te handhaven, inclusief strikte verplichtingen inzake het delen met derden, en moeten voldoen aan privacyprincipes, zoals beperkingen op het bewaren van gegevens.”
Frankrijk concludeerde: “In essentie moeten bedrijven robuuste cyberbeveiligingspraktijken toepassen om gegevens te beschermen en digitaal vertrouwen op te bouwen.”

Beleidsharmonisatie

Sam Peters, ISMS.online's CPO verwelkomde de overeenkomst als een nuttig hulpmiddel bij het navigeren door de ingewikkelde regels voor gegevensbescherming.
“De recente overeenkomst over de toereikendheid van gegevens tussen de EU en de VS markeert een belangrijke mijlpaal in het internationale landschap van gegevensprivacy”, legt Peters uit. “Het schetst een cruciaal raamwerk dat niet alleen tot doel heeft persoonlijke gegevens die over de Atlantische Oceaan worden overgedragen te beschermen, maar ook de naleving, transparantie en verantwoordelijkheid voor Amerikaanse bedrijven te verbeteren.”

Peters vervolgde: “De overeenkomst is niet zomaar een bureaucratische hindernis, maar een essentieel instrument om door de complexiteit van gegevensbescherming in onze steeds meer onderling verbonden digitale wereld te navigeren. Deze overeenkomst biedt een solide raamwerk voor het harmoniseren van het beleid inzake gegevensoverdracht over de Atlantische Oceaan, waarbij strenge privacyverplichtingen worden opgelegd aan deelnemende Amerikaanse bedrijven.”

grondbeginselen

De overeenkomst biedt een raamwerk voor de toepassing van best practices op het gebied van privacybescherming.

“De kern van deze overeenkomst is het EU-VS Data Privacy Framework”, aldus Peters. “Deze regeling stelt Amerikaanse bedrijven in staat hun toewijding aan een uitgebreide reeks privacyverplichtingen te valideren. Het pleit voor doelbinding, dataminimalisatie en dataretentie en schetst specifieke verplichtingen met betrekking tot databeveiliging en het delen met derden.”

Peters voegde hieraan toe: “Dergelijke maatregelen illustreren de intentie van de overeenkomst om de gegevensbescherming te versterken. Deze toezeggingen zijn niet alleen maar principes op papier; ze beïnvloeden rechtstreeks de operationele strategieën van bedrijven.”

Het Amerikaanse ministerie van Handel zal de administratie van het raamwerk verzorgen, toezicht houden op het certificeringsaanvraagproces en toezicht houden op de voortdurende naleving van de deelnemende bedrijven. De Amerikaanse Federal Trade Commission dwingt naleving af, wat duidt op een “sterke toewijding aan de doelstellingen van het akkoord op het gebied van gegevensbescherming”, aldus Peters van ISMS.online.

Gegevensbrug

De Britse regels voor gegevensverwerking moeten in overeenstemming zijn met de EU-regelgeving om te voorkomen dat het delicate evenwicht wordt verstoord.

White van Harper James waarschuwde: “Als de inwerkingtreding van DPDI 2 het Britse EU-adequaatheidsbesluit ongedaan maakt, kan dit op zijn beurt gevolgen hebben voor de implementatie van de databrug tussen het VK en de VS, die algemeen wordt gezien als een uitbreiding van de databrug tussen de EU en de VS. privacykader dat momenteel wordt beoordeeld en een aanpassing van de positie onder Groot-Brittannië GDPR met de EU AVG voor gegevensoverdrachten van het VK naar Amerikaanse organisaties die zich voor het schema certificeren.

Get Ready

Het adequaatheidsbesluit trad in werking vanaf de vaststelling ervan op 10 juli. Er is geen expliciete tijdlijn voor naleving. Het is echter de bedoeling dat de Europese Commissie de effectiviteit van het Amerikaanse wettelijke kader periodiek zal beoordelen, in eerste instantie een jaar na de invoering van het kader.

Peters van ISMS.online waarschuwde: “Het is essentieel op te merken dat adequaatheidsbesluiten kunnen worden aangepast of ingetrokken als ontwikkelingen van invloed zijn op het beschermingsniveau van het derde land.”

Bedrijven moeten geen tijd verspillen met het herzien van hun beleid en procedures om aan de bepalingen van het raamwerk te voldoen, adviseerde Peters.

“Om voorbereid te zijn op dit transformatieve dataprivacylandschap moeten bedrijven beginnen met het grondig herzien van hun huidige dataverwerkingspraktijken”, legt Peters van ISMS.online uit. “Het garanderen van afstemming op de principes van het raamwerk zal van cruciaal belang zijn bij het valideren van de naleving en het vermijden van mogelijke wettelijke boetes.”

Peters concludeerde: “De overeenkomst inzake de toereikendheid van gegevens tussen de EU en de VS voegt onmiskenbaar een nieuwe dimensie toe aan de mondiale arena voor gegevensprivacy. Op de korte termijn kunnen bedrijven dit als een extra regeldruk zien. Gegevensprivacy en -beveiliging worden echter steeds belangrijker voor consumenten en bedrijven. In dit opzicht katalyseert de overeenkomst positieve verandering, waardoor een mondiale standaard voor gegevensbescherming wordt afgedwongen.”

John Leiden

John Leyden schrijft al meer dan twintig jaar over computernetwerken en cyberbeveiliging. Vóór de komst van internet werkte hij als misdaadverslaggever bij een plaatselijke krant in Manchester. John heeft een diploma in elektronica behaald aan City, University of London.

Lees meer van John Leyden

Data Privacy 22 augustus 2024

bedrijven worden aangespoord om de 'snel evoluerende' ai-regelgeving te volgen

Bedrijven worden aangespoord om de 'snel evoluerende' AI-regelgeving in de gaten te houden

Kunstmatige intelligentie (AI) transformeert de informatietechnologiesector in een duizelingwekkend tempo. AI heeft toepassingen getransformeerd, waaronder data...

John Leiden

Cyber security 20 juni 2024

waarom leveranciers moeite kunnen hebben om het ‘secure by design’-momentumbanner in stand te houden

Waarom leveranciers moeite kunnen hebben om het ‘Secure by Design’-momentum te behouden

Tientallen technologieleveranciers hebben zich aangesloten bij de door de Amerikaanse overheid gesteunde Secure by Design-belofte. Maar zal deze belofte een breuk met het verleden betekenen?

John Leiden

Cyber security 28 May 2024

het decoderen van de nieuwe richtlijnen van de ncsc voor in de cloud gehoste scada-banner

Decodering van de nieuwe richtlijnen van het NCSC voor cloud-hosted SCADA

Systemen voor operationele technologie (OT) bewaken en besturen automatisch processen en apparatuur die van alles aansturen, van energiecentrales tot slimme ziekenhuizen.

John Leiden