President Trump heeft haast, uw privacy impact analyse kan niet achterblijven

Door 1 februari 2017 privacy, uit het nieuws Geen reacites

De nieuwe Amerikaanse president Donald Trump heeft op woensdag 25 januari een ‘Executive Order’ getekend die illegaal verblijf in de Verenigde Staten wil aanpakken. Omdat er veel ophef in de media is ontstaan over een ander decreet is waarschijnlijk een van de artikelen over privacy relatief ‘onder de radar’ gebleven:

 

Sec. 14.  Privacy Act.  Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.

Op het eerste gezicht blaast de president hier de Privacy Shield overeenkomst op tussen de VS en Europa over het verantwoord verwerken van Europese persoonsgegevens door Amerikaanse bedrijven. In de praktijk kan het allemaal nog meevallen, al zijn er grote verschillen in interpretatie (onderaan deze blog een bloemlezing).

Onder meer de Europese Commissie geeft aan dat de genoemde Privacy Act nooit bedoeld is geweest om persoonsgegevens van niet-Amerikanen te beschermen. En dat het Privacy Shield juist daarom is ontstaan en nooit van de Privacy Act afhankelijk is geweest.

Daar staat tegenover dat de sluitsteen van de Privacy Shield overeenkomst, het in werking treden van de Amerikaanse Judicial Redress Act weliswaar is goedgekeurd in het congres en de senaat, maar nog niet in werking is getreden. Ook is het Privacy Shield geen door het congres of senaat goedgekeurde wet, maar een (vrijwillige) overeenkomst tussen de EU en het Amerikaanse Ministerie van Handel. Nu ben ik geen jurist, maar volgens mij kan de president de werking van beide opschorten met een volgende Executive Order. Wellicht niet heel realistisch, maar ook niet onmogelijk.

Al met al hebben we hier een mooi scenario te pakken voor de eerstvolgende of een ingelaste Business en Privacy Impact Analysis en Risk Assessment sessie, zeker nu steeds meer bedrijven en organisaties bezig zijn met een transitie ‘naar de cloud’:

  • Welke en hoeveel persoonsgegevens worden verwerkt door, of staan opgeslagen bij Amerikaanse verwerkers en clouddiensten? Wat is de (imago) schade als uitkomt dat daar door Amerikaanse inlichtingendiensten of Amerikaanse bedrijven in gezocht wordt?
  • Het gebruik van diensten van Google (docs, etc), Microsoft (Office 365), Amazon (AWS etc.), Facebook (bedrijfs pagina met aanmeldingen, likes, etc), Apple (voor bedrijfsmatig gebruik van telefoons, iPads met datareplicatie naar iCloud), Android telefoons, etc etc., is of wordt een overtreding van Nederlands/Europees recht. Heb ik een exit strategie, bijvoorbeeld door gebruik te maken van Europese alternatieven?
  • Kan ik dit ook als dit op heel korte termijn gebeurt (presidentiele handtekening)?
  • Als dit gebeurt, moet ik dan een melding doen bij de Autoriteit Persoonsgegevens?. En mijn klanten inlichten? Wat is de reële schade? Wat de imagoschade?
  • Een aantal grote dienstverleners biedt zijn diensten vanuit Europa aan. In ieder geval Microsoft houdt de Amerikaanse veiligheidsdiensten voorlopig buiten de deur. Blijft dit zo? En zo niet, wat zijn daar de consequentie van? Hoe staat MS’s concurrentie in deze wedstrijd?

Meer algemeen is er ook nog een andere boodschap: de zekerheden van gisteren zijn niet de zekerheden van morgen. Dit kan heel plotseling gebeuren. Dit betekent dat het absoluut nodig is om op gezette tijden de uitgangspunten waarop de huidige IT, personeels- en proces zijn afgestemd, tegen het licht gehouden moeten worden:

  • Welke beveiliging, continuïteit en privacy risico’s zijn verbonden aan het gebruik van externe diensten?
  • Weet ik welke informatie extern wordt verwerkt of opgeslagen?
  • Ben ik niet ‘met huid en haar’ overgeleverd aan één externe (cloud) leverancier?
  • Heb ik de beschikking over een (leverancier onafhankelijke) lokale back-up van mijn gegevens, en kan ik die ook met andere oplossingen of diensten verwerken?

Een willekeurige greep uit achtergond artikelen:

  1. https://techcrunch.com/2017/01/26/trump-order-strips-privacy-rights-from-non-u-s-citizens-could-nix-eu-us-data-flows/
  2. https://blog.iusmentis.com
  3. https://www.theregister.co.uk/2017/01/26/trump_blows_up_transatlantic_privacy_shield/
  4. https://euobserver.com/justice/136699
  5. http://diginomica.com/2017/01/30/privacy-shields-wooly-thinking-just-unraveled-thanks-president-trump/

Over henk

Henk is een security en continuity strateeg met een fijn oog voor de actualiteit.