Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Nieuw EU-VS Data Privacy Framework: Een Uitgebreide Uiteenzetting en Wat Dit Betekent voor Uw Bedrijf
Nieuw EU-VS Data Privacy Framework: Een Uitgebreide Uiteenzetting en Wat Dit Betekent voor Uw Bedrijf

Nieuw EU-VS Data Privacy Framework: Een Uitgebreide Uiteenzetting en Wat Dit Betekent voor Uw Bedrijf

by Danielle Barbour updated juli 11, 2024 Wettelijke naleving
Reading Time: 6 minutes

De Europese Commissie heeft onlangs haar adequaatheidsbesluit aangenomen voor het EU-VS Data Privacy Framework, wat een belangrijk keerpunt markeert in wereldwijde gegevensbescherming. Het besluit concludeert dat de Verenigde Staten een beschermingsniveau moeten waarborgen voor persoonsgegevens die vanuit de EU naar Amerikaanse bedrijven worden overgedragen, dat vergelijkbaar is met dat van de EU.

Dit nieuwe framework introduceert een reeks verbeterde waarborgen en belooft het landschap van gegevensbescherming te veranderen voor organisaties die zaken doen aan beide zijden van de Atlantische Oceaan. Voor organisaties die deze veranderingen willen doorvoeren, staan dienstverleners zoals Kiteworks klaar om het behalen van compliance met dit nieuwe framework te vereenvoudigen en te versnellen.

Een nieuw tijdperk in gegevensbescherming

De totstandkoming van het framework is het resultaat van een adequaatheidsbesluit van de Europese Commissie. Dit besluit erkent dat de Verenigde Staten een adequaat beschermingsniveau bieden voor persoonsgegevens die vanuit de EU naar de VS worden overgedragen, vergelijkbaar met de waarborgen die door de EU worden geboden. Het besluit maakt een vrije en veilige gegevensstroom mogelijk van entiteiten binnen de Europese Economische Ruimte (EER) naar deelnemende Amerikaanse bedrijven onder het EU-VS Data Privacy Framework. De EER omvat de 27 EU-lidstaten evenals Noorwegen, IJsland en Liechtenstein.

Dit besluit volgde op het ondertekenen van een Executive Order door de VS over “Enhancing Safeguards for United States Signals Intelligence Activities”, waarmee nieuwe verplichtingen werden geïntroduceerd om tegemoet te komen aan zorgen die het Hof van Justitie van de Europese Unie had geuit in haar Schrems II-besluit van juli 2020.

Een blik op het Schrems II-besluit

Het Schrems II-besluit bracht belangrijke kwesties aan het licht over de mate waarin Amerikaanse inlichtingendiensten toegang konden krijgen tot gegevens, en de noodzaak van een meer onpartijdig en onafhankelijk mechanisme om klachten over gegevensverzameling voor nationale veiligheid te behandelen. De nieuwe maatregelen waarborgen dat Amerikaanse inlichtingendiensten alleen toegang krijgen tot gegevens voor zover dat noodzakelijk en proportioneel is. Ook wordt een robuust systeem opgezet voor het behandelen van klachten.

Inzicht in adequaatheidsbesluiten

Een adequaatheidsbesluit is een mechanisme onder de Algemene Verordening Gegevensbescherming (GDPR) dat de overdracht van persoonsgegevens van de EU naar derde landen mogelijk maakt. Deze landen moeten volgens de beoordeling van de Commissie een vergelijkbaar niveau van gegevensbescherming bieden als binnen de EU.

Adequaatheidsbeoordelingscriteria

Adequaatheid betekent niet dat het gegevensbeschermingssysteem van het derde land identiek is aan dat van de EU, maar dat het gebaseerd is op een standaard van “wezenlijke gelijkwaardigheid”. Dit houdt een grondige evaluatie in van het gegevensbeschermingskader van het land, de bescherming die van toepassing is op persoonsgegevens, en de beschikbare toezicht- en herstelmechanismen.

Elementen zoals het bestaan van kernprincipes voor gegevensbescherming, individuele rechten, onafhankelijk toezicht en effectieve rechtsmiddelen worden allemaal meegenomen in deze beoordeling.

Compliance and Certification Table

Kiteworks beschikt over een lange lijst van behaalde compliance- en certificeringsprestaties.

Inzicht in het EU-VS Data Privacy Framework

Op basis van het adequaatheidsbesluit heeft de Commissie het EU-VS Data Privacy Framework grondig geëvalueerd op vereisten, beperkingen en waarborgen die gelden wanneer persoonsgegevens die naar de VS worden overgedragen, toegankelijk zijn voor Amerikaanse overheidsinstanties voor strafrechtelijke handhaving en nationale veiligheid.

Voordelen van het framework

Het framework biedt diverse nieuwe rechten aan EU-burgers van wie de gegevens worden overgedragen aan deelnemende Amerikaanse bedrijven, waaronder toegang tot hun gegevens en correctie of verwijdering van onjuiste of onrechtmatig verwerkte gegevens. Ook zijn er meerdere mogelijkheden voor verhaal bij onjuiste gegevensverwerking, waaronder onafhankelijke geschilbeslechting en een arbitragepanel.

Amerikaanse bedrijven kunnen hun toewijding aan het EU-VS Data Privacy Framework aantonen door zich te houden aan een gedetailleerde set privacyverplichtingen, zoals doelbinding, dataminimalisatie en gegevensbewaring, evenals specifieke verantwoordelijkheden op het gebied van gegevensbeveiliging en gegevensdeling met derden.

Beheer en handhaving van het framework

Het Amerikaanse ministerie van Handel beheert het framework, verwerkt certificeringsaanvragen en controleert of deelnemende bedrijven voortdurend aan de certificeringsvereisten voldoen. De naleving wordt gehandhaafd door de Amerikaanse Federal Trade Commission.

Beperkingen en waarborgen voor gegevens­toegang door Amerikaanse inlichtingendiensten

De Executive Order over “Enhancing Safeguards for United States Signals Intelligence Activities” vormt een belangrijk onderdeel van het Amerikaanse juridische kader dat het adequaatheidsbesluit ondersteunt. Dit besluit biedt diverse waarborgen voor Europeanen van wie persoonsgegevens naar de VS worden overgedragen, waaronder het beperken van de toegang tot gegevens door Amerikaanse inlichtingendiensten, het versterken van toezicht op de activiteiten van inlichtingendiensten en het instellen van een onafhankelijk herstelmechanisme.

Het herstelmechanisme voor nationale veiligheidskwesties

De Amerikaanse overheid heeft een nieuw herstelmechanisme met twee lagen opgezet met onafhankelijke en bindende bevoegdheid om klachten te behandelen van personen van wie de gegevens vanuit de EER naar Amerikaanse bedrijven zijn overgedragen met betrekking tot gegevensverzameling en -gebruik door Amerikaanse inlichtingendiensten.

Het klachtenproces

Het klachtenproces begint bij de Civil Liberties Protection Officer van de Amerikaanse inlichtingendiensten, en individuen kunnen tegen het besluit van deze functionaris in beroep gaan bij het nieuw opgerichte Data Protection Review Court (DPRC). De rechtbank bestaat uit leden van buiten de Amerikaanse overheid, die geen instructies van de overheid mogen ontvangen en bevoegd zijn om klachten te onderzoeken en bindende herstelbesluiten te nemen.

Implementatietijdlijn

Het adequaatheidsbesluit is direct van kracht geworden bij de vaststelling op 10 juli 2023. Hoewel er geen specifieke tijdlijn is, zal de Commissie relevante ontwikkelingen in de VS voortdurend monitoren en het adequaatheidsbesluit regelmatig herzien, te beginnen één jaar nadat het besluit in werking is getreden.

Impact op andere instrumenten voor gegevensoverdracht

De waarborgen die door de Amerikaanse overheid zijn ingesteld voor nationale veiligheid gelden voor alle gegevensoverdrachten onder de GDPR naar bedrijven in de VS, ongeacht het gebruikte overdrachtsmechanisme. Deze waarborgen maken het dus ook eenvoudiger om andere instrumenten te gebruiken, zoals standaard contractuele clausules en bindende bedrijfsvoorschriften.

Versnel compliance met het EU-VS Data Privacy Framework met Kiteworks

Het Kiteworks Private Content Network (PCN) stelt organisaties in staat gevoelige informatie te beschermen bij elke verzending, deling, ontvangst en opslag, waardoor naadloze interacties met klanten en zakenpartners wereldwijd mogelijk zijn. Een aanzienlijk deel van het klantenbestand van Kiteworks gebruikt het platform om te voldoen aan diverse privacyregelgeving, waaronder de GDPR, tal van nationale privacywetten, zoals de California Consumer Privacy Act (CCPA) en andere Amerikaanse staatswetten, de Personal Data Protection Act (PDPA), de Personal Information Protection and Electronic Documents Act (PIPEDA), de Health Insurance Portability and Accountability Act (HIPAA), en meer.

Hoewel het nieuw opgerichte EU-VS Data Privacy Framework erop gericht is het risico te minimaliseren dat gevoelige gegevens van EU-burgers in handen vallen van Amerikaanse overheidsinstanties, zoals rechtshandhaving of de NSA, wordt deze mogelijkheid niet volledig uitgesloten. Hier komt Kiteworks in beeld, dat een extra laag gegevensbescherming en controle biedt.

Centraal in de privacybeschermingsstrategie van Kiteworks staat de absolute controle die het biedt over content. Met een digital rights management-benadering kunnen organisaties exact bepalen waar hun gegevens geografisch worden opgeslagen, wie er toegang toe heeft en wanneer deze verlopen. Deze uitgebreide controle strekt zich uit tot audit logs, waardoor een transparant, verifieerbaar overzicht ontstaat van gegevensverwerking. Deze transparantie zorgt ervoor dat organisaties effectief kunnen aantonen dat zij voldoen aan het nieuwe EU-VS framework en andere regelgeving. Belangrijk is dat Kiteworks een strikt beleid hanteert waarbij medewerkers geen toegang hebben tot klantgegevens, waardoor de kans op ongeautoriseerde gegevensinbreuken wordt uitgesloten.

Bij het verwerken van gevoelige gegevens van externe partijen biedt Kiteworks geavanceerde tools om te voldoen aan de eisen van privacyregelgeving. Organisaties kunnen geautomatiseerde verloopbeleid instellen die aansluiten bij hun specifieke vereisten. Dit zorgt ervoor dat gegevens niet langer worden bewaard dan nodig is, waardoor het risico op ongeautoriseerde toegang of datalekken wordt verminderd.

Bovendien faciliteert Kiteworks compliance met rechten van betrokkenen, waaronder het recht op verwijdering onder de GDPR en het nieuwe herstelmechanisme onder het EU-VS framework. Organisaties kunnen snel gegevens opzoeken, lokaliseren en verwijderen op verzoek van klanten, waardoor wordt voldaan aan deze essentiële aspecten van privacyregelgeving.

Tot slot gebruikt Kiteworks een hardened virtual appliance die meerdere beveiligingslagen toepast, een netwerkfirewall en webapplicatiefirewall (WAF) integreert, end-to-end encryptie toepast, geavanceerde beveiligingstechnologieën zoals content disarm and reconstruction (CDR), preventie van gegevensverlies (DLP) en advanced threat response (ATR) implementeert, en AI-gestuurde anomaliedetectie gebruikt. Dit maakt het aanzienlijk moeilijker voor vijandige staten en cybercriminelen om gevoelige communicatie te misbruiken, zodat privégegevens van EU-burgers beschermd blijven.

Met Kiteworks beschikken organisaties over uitgebreide en flexibele mogelijkheden om hun weg te vinden in het complexe landschap van wereldwijde privacyregelgeving, inclusief het recent aangenomen EU-VS Data Privacy Framework. Door ongeëvenaarde gegevenscontrole, het waarborgen van dataresidentie, het bieden van uitgebreide audit logs en het faciliteren van toegangsverzoeken tot gegevens, zorgt Kiteworks ervoor dat organisaties eenvoudig kunnen aantonen dat zij voldoen aan het nieuwe EU-VS Data Privacy Framework en andere privacyregelgeving.

Plan vandaag nog een aangepaste demo van Kiteworks om te zien hoe het uw compliance met het EU-VS Data Privacy Framework kan versnellen.

Veelgestelde vragen

Naleving van regelgeving verwijst naar het voldoen aan wetten, regels, richtlijnen en specificaties die relevant zijn voor de bedrijfsprocessen van een organisatie. Compliance is cruciaal om de reputatie van het bedrijf te behouden, juridische sancties te voorkomen en de veiligheid en beveiliging van de bedrijfsvoering te waarborgen.

Naleving van regelgeving heeft op diverse sectoren verschillende effecten, afhankelijk van de specifieke regelgeving die op elke sector van toepassing is. Zo moeten zorgorganisaties voldoen aan regelgeving zoals HIPAA die patiëntgegevens beschermt, terwijl instellingen in de financiële sector zich moeten houden aan regelgeving zoals de PCI DSS die financiële crises wil voorkomen. Defensie-aannemers moeten voldoen aan CMMC. Niet-naleving kan leiden tot zware sancties, waaronder boetes en reputatieschade.

Enkele veelvoorkomende uitdagingen zijn het bijhouden van veranderende regelgeving, het beheren en beveiligen van data, het opleiden van medewerkers over compliancevereisten en het toewijzen van voldoende middelen voor complianceactiviteiten. Daarnaast kunnen wereldwijde organisaties te maken krijgen met de extra complexiteit van het voldoen aan regelgeving in meerdere rechtsbevoegdheden.

Organisaties kunnen hun compliance aantonen via diverse middelen, zoals het bijhouden van uitgebreide documentatie van hun complianceactiviteiten, het uitvoeren van regelmatige audits en het bewaren van opleidingsregistraties. Daarnaast kunnen sommige regels vereisen dat organisaties periodiek rapportages indienen of externe audits ondergaan om hun naleving aan te tonen.

Encryptie van gegevens speelt een cruciale rol bij naleving van regelgeving, omdat het gevoelige data beschermt tegen ongeautoriseerde toegang. Veel regelgeving vereist dat organisaties passende beveiligingsmaatregelen nemen, waaronder encryptie, om data te beschermen. Door gegevens te versleutelen, kunnen organisaties de vertrouwelijkheid en integriteit ervan waarborgen en zo bijdragen aan compliance.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks