Waarom dit verdrag?
Elk land heeft zo zijn eigen wet- en regelgeving. Dat sluit natuurlijk heel vaak niet op elkaar aan. Om toch zo goed mogelijk dezelfde rechten en waarborgen te kunnen bieden, is zo’n verdrag nodig. De VS en de EU hebben dus zo’n verdrag gesloten over de bescherming van persoonsgegevens over en weer. Belangrijk daarbij is vooral dat EU burgers min of meer dezelfde bescherming moeten kunnen genieten in de VS als in de EU.
De verplichtingen van ondernemers
Als ondernemer verzamel je vaak persoonsgegevens. Een webwinkel krijgt tenminste naam en adresgegevens van consumenten waar een product naartoe gestuurd moet worden. Elke ondernemer met een contactformulier op de website verzamelt een naam en e-mailadres. Met die gegevens moet zorgvuldig omgegaan worden. Ze moeten beveiligd opgeslagen worden, zodat anderen daar niet zomaar bij komen. Maar met een server in de VS of een server in de EU, maar van een Amerikaans bedrijf, zijn de gegevens niet voldoende veilig opgeslagen.
Biedt het EU-VS Privacy Shield uitkomst?
Je zou hopen dat het Privacy Shield uitkomst zal bieden. Helaas blijkt de concepttekst wat teleurstellend te zijn. Alle gegevens mogen nog steeds door de Amerikaanse overheid worden bekeken. De gegevens mogen ook gebruikt worden om bijvoorbeeld terrorisme tegen te gaan of voor cyber security te zorgen. Zo makkelijk kan dat in Nederland helemaal niet. Daarom voldoet het verdrag nog niet aan de Europese regels en is de kans groot dat ook dit verdrag onderuit gaat bij het Hof van Justitie EU.
Hoe kunnen ondernemers dit oplossen?
Als ondernemer moet je aan de Wet bescherming persoonsgegevens voldoen. Dat wil onder meer zeggen dat alle persoonsgegevens op een veilige manier verzameld en opgeslagen moeten worden en dat gegevens alleen gebruikt mogen worden voor het doeleinde waarvoor ze zijn verzameld.
Een SSL certificaat (beter nog: de opvolger TLS) of een vergelijkbare bescherming voor de gegevens die via de website verzonden worden is dus nodig. Vervolgens moeten de gegevens zorgvuldig worden opgeslagen.
Dat betekent ook dat gegevens die via een website binnenkomen, op een veilige server terecht moeten komen. Belangrijk is daarom een hosting provider voor de website te kiezen die geen servers in de VS heeft staan en waarvan het bedrijf ook niet in de VS is geregistreerd.
Geen gebruik van Google en Dropbox
Bovenstaande betekent dus ook dat je geen persoonsgegevens op mag slaan bij bijvoorbeeld Google of Dropbox, want dat zijn ook Amerikaanse bedrijven. De gegevens zijn dan niet voldoende beveiligd en zijn te gemakkelijk toegankelijk voor onder meer de Amerikaande overheid. Al helemaal in het geval van Google: je geeft Google toestemming alles wat je bij hen opslaat of via hen laat verlopen (zoals e-mail via Gmail) door Google gelezen mag worden. Met name met het doel om op basis daarvan ‘relevante’ advertenties te kunnen tonen, waarmee Google weer zijn geld kan verdienen.
Wil je zeker weten dat de data veilig is opgeslagen?
Of het EU-VS Privacy Shield voldoende waarborgen gaat bieden is dus nog maar de vraag. Verstandig is daarom om het volledig volgens de Europese regels te spelen en niet te vertrouwen op afspraken die nog niet eens definitief zijn.
Kies daarom dienstverleners uit de EU, die hun servers ook in de EU hebben staan, om daar je website te hosten en andere data op te slaan. Dat geldt dus ook voor een e-mail service provider.
Kies daarom dienstverleners uit de EU, die hun servers ook in de EU hebben staan, om daar je website te hosten en andere data op te slaan. Dat geldt dus ook voor een e-mail service provider.
