Gegevenssoevereiniteit versus gegevenslocatie

Concepten die vaak door elkaar worden gehaald. Let op: gevaar!

Wettelijke jurisdictie en fysieke locatie van informatie. Meer dan een nuance! In een recent blogartikel geeft Xavier Warnier, Commercial Director bij Datacenter United, een overzicht. Hier volgt de kern ervan.

Twee begrippen zijn bepalend voor digitaal bestuur: gegevensopslag en gegevenssoevereiniteit. Hoewel ze vaak door elkaar worden gehaald, vertegenwoordigen ze twee fundamenteel verschillende niveaus van controle: het ene geografisch, het andere juridisch.

“Dit onderscheid is echter cruciaal, met name voor organisaties die actief zijn binnen de Europese Unie (EU), waar strenge privacyregels rechtstreeks in conflict komen met de extraterritoriale reikwijdte van buitenlandse wetgeving, zoals de Amerikaanse CLOUD Act.”

Gegevensresidentie… en gegevensverkeer

De verblijfplaats van gegevens verwijst naar de geografische locatie van de gegevens. Het definieert de fysieke locatie van datacenters, servers of andere systemen die gegevens opslaan of verwerken. “Aangezien de gegevens van een bedrijf tijdens hun levenscyclus vaak kunnen circuleren, kunnen de gegevens van eenzelfde organisatie meerdere verblijfplaatsen hebben”, vervolgt Xavier Warnier. “Het is dus belangrijk om hier goed op te letten!”

Hoewel verblijfsvereisten soms voortvloeien uit het interne beleid of contractuele verplichtingen van een organisatie, worden ze vaak bepaald door verplichtingen inzake gegevenslokalisatie.

“Gegevenslokalisatie verwijst naar de wettelijke verplichtingen die organisaties opleggen om gegevens die in een bepaald land zijn gecreëerd, binnen de grenzen van dat land te bewaren. Deze verplichtingen kunnen variëren van het eenvoudigweg bewaren van een kopie van de gegevens in het land tot een volledig verbod op gegevensoverdracht buiten het land.”

De verblijfplaats is niet het enige criterium dat de jurisdictie bepaalt

Het belangrijkste verschil is dat de woonplaats geografisch is, terwijl soevereiniteit juridisch is. Vaak bepaalt de woonplaats de soevereiniteit: als gegevens worden gehost in een datacenter in Ierland, oefent Ierland zijn soevereiniteit uit over deze gegevens en moet het bedrijf zich houden aan de Ierse wetgeving inzake gegevensbescherming.

De verblijfplaats is echter niet het enige criterium dat bepalend is voor de jurisdictie. Wetgeving inzake gegevenssoevereiniteit kan van toepassing zijn op gegevens, ongeacht waar deze fysiek zijn opgeslagen. “De AVG is hier een perfect voorbeeld van”, illustreert Xavier Warnier. Deze kan van toepassing zijn op gegevens die buiten de EU worden bewaard of verwerkt, als deze gegevens betrekking hebben op inwoners van de Europese Unie. Bijgevolg kunnen gegevens tegelijkertijd onder verschillende soevereiniteiten vallen, zoals nationale wetten en de Europese AVG!

De noodzaak van Europese soevereiniteit

Voor Europese bedrijven is toegang tot echte digitale soevereiniteit een essentiële noodzaak geworden. “Echte soevereiniteit garandeert dat gegevens, inclusief alle metagegevens, strikt onder de Europese jurisdictie blijven vallen”, vervolgt Xavier Warnier. “Dit is essentieel om blootstelling aan buitenlandse wetten, zoals de Amerikaanse CLOUD Act, te voorkomen en biedt de rechtszekerheid waar meer dan 80% van de bedrijven actief naar op zoek is.”

Naleving is van cruciaal belang. De AVG legt strenge controles op aan de verwerking van persoonsgegevens en beperkt de overdracht van gegevens naar rechtsgebieden waarvan het beschermingsniveau als onvoldoende wordt beschouwd. “Concreet vereist de AVG dat alle gegevens die over burgers worden verzameld, ofwel in de EU worden opgeslagen en onderworpen zijn aan de Europese wetgeving inzake gegevensbescherming, ofwel worden opgeslagen in een land dat een gelijkwaardig beschermingsniveau biedt. “

Bovendien evolueert het Europese regelgevingskader snel. De Europese gegevenswet, die sinds september vorig jaar van kracht is, legt de overdraagbaarheid en interoperabiliteit van gegevens op, terwijl de NIS-2-richtlijn exploitanten van kritieke infrastructuren verplicht om continue beveiligingsprocessen en een veilige toeleveringsketen te handhaven. “Door te kiezen voor Europese cloudoplossingen die ‘by design’ soeverein zijn, kunnen bedrijven hun naleving van de regelgeving garanderen en deze complexe wettelijke vereisten omzetten in een concurrentievoordeel.”

De trans-Atlantische dreiging: de Amerikaanse CLOUD Act

CLOUD Act betekent extraterritoriale reikwijdte! Deze wet machtigt de Amerikaanse federale autoriteiten om technologiebedrijven die in de Verenigde Staten zijn gevestigd, door middel van een bevel of dagvaarding te dwingen de gevraagde gegevens die op servers zijn opgeslagen te verstrekken, ongeacht of deze gegevens in de Verenigde Staten of in het buitenland zijn opgeslagen.

Het toepassingsgebied van de CLOUD Act is breed, benadrukt Xavier Warnier. “Deze wet is niet strikt beperkt tot bedrijven met hoofdkantoor in de Verenigde Staten, maar is van toepassing op alle aanbieders van elektronische communicatiediensten of IT-diensten op afstand die actief zijn of een wettelijke vestiging hebben in de Verenigde Staten. Bovendien hebben rechtbanken de bevoegdheid om moedermaatschappijen te verplichten de gegevens van hun dochterondernemingen te verstrekken.”

In reactie op deze wetgeving heeft de EDPS, de Europese gegevensbeschermingsautoriteit, geoordeeld dat de CLOUD Act mogelijk onverenigbaar is met de AVG…

Potentiële risico’s van het gebruik van Amerikaanse clouddienstverleners

Het opslaan van kritieke gegevens, inclusief back-ups, bij een Amerikaans bedrijf – of bij een dienstverlener die wettelijk in de Verenigde Staten is gevestigd – stelt bedrijven in de Europese Unie dus bloot aan aanzienlijke risico’s voor het behoud van hun digitale soevereiniteit.

• Eerste risico: gedwongen toegang zonder toestemming.

Het meest directe gevaar is dat gegevens, inclusief back-ups, door de Amerikaanse overheid in beslag kunnen worden genomen of geraadpleegd zonder medeweten en zonder toestemming van de Europese eigenaar van de gegevens… zelfs als deze gegevens fysiek in het buitenland worden gehost.

• Tweede risico: naleving van de AVG.

Aangezien de CLOUD-wet directe toegang verleent aan de Amerikaanse autoriteiten, worden Europese organisaties door het gebruik van Amerikaanse leveranciers blootgesteld aan buitenlandse wetgeving, waardoor zij mogelijk niet meer voldoen aan de AVG.

• Het derde risico is politieke instabiliteit.

In het buitenland opgeslagen gegevens kunnen kwetsbaar zijn voor externe controle. De Duitse commissaris voor gegevensbescherming heeft bijvoorbeeld gewaarschuwd voor het gebruik van in de VS gevestigde clouddiensten voor de opslag van gevoelige gegevens van de federale politie, vanwege de inherente kwetsbaarheid voor het Amerikaanse toezichtbeleid. Bovendien verhoogt de complexiteit van het beheer van de naleving in verschillende rechtskaders het risico op slecht gegevensbeheer en het ontstaan van beveiligingslekken.

• Vierde risico: de verantwoordelijkheid van de klant in SaaS-modellen.

Veel populaire SaaS-platforms werken volgens een model van gedeelde verantwoordelijkheid. Hoewel de SaaS-operator zorgt voor de beschikbaarheid en redundantie van de applicaties, ligt de uiteindelijke verantwoordelijkheid bij de klant om de gebruikers en hun gegevens te beschermen tegen inbreuken en gegevensverlies, met name door de soevereiniteit van de gegevens van zijn back-ups te waarborgen.

“Om deze bedreigingen te beperken, moeten organisaties kiezen voor cloudproviders die transparant zijn over de locatie van de gegevensopslag en die geolokalisatie per land aanbieden om te garanderen dat de gegevens in specifieke regio’s van de EU worden opgeslagen, in overeenstemming met de Europese regelgeving”, concludeert Xavier Warnier. “Deze praktijk biedt de fundamentele juridische bescherming die nodig is om veilig en in overeenstemming met het moderne en complexe internationale rechtskader te kunnen werken.”