Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > AVG-naleving > Datasoevereiniteit en GDPR [Inzicht in gegevensbeveiliging]
Datasoevereiniteit en GDPR [Inzicht in gegevensbeveiliging]

Datasoevereiniteit en GDPR [Inzicht in gegevensbeveiliging]

by Tim Freestone updated november 15, 2022 AVG-naleving
Reading Time: 10 minutes

Datasoevereiniteit kan voor veel beveiligingsprofessionals verwarrend zijn, dus we bespreken wat het is en hoe het zich verhoudt tot de gegevensbeveiliging van uw bedrijf.

Wat is datasoevereiniteit?

Datasoevereiniteit is het concept dat informatie, en de bescherming en het beheer van die informatie, toebehoort aan het land of het individu waar het vandaan komt. Het is de overtuiging dat gegevens die toebehoren aan bijvoorbeeld een Franse burger, niet onderworpen zouden moeten zijn aan Amerikaanse wetten en regelgeving alleen omdat de gegevens worden opgeslagen of verwerkt door een Amerikaans bedrijf. Het Amerikaanse bedrijf zou de gegevens in plaats daarvan in Frankrijk moeten opslaan en deze gegevens zouden onderworpen moeten zijn aan Franse of Europese Unie (EU) wetgeving. Dit concept wordt steeds belangrijker in het digitale tijdperk, omdat cloud computing en andere diensten vereisen dat persoonlijke gegevens en vertrouwelijke informatie over landsgrenzen heen worden overgedragen.

Waarom is datasoevereiniteit belangrijk?

Datasoevereiniteit is belangrijk omdat het reguleert hoe gegevens beheerd en beveiligd moeten worden, specifiek voor het land waar ze zijn verzameld en niet waar de verzamelaar gevestigd is.

Individuen profiteren van datasoevereiniteit, omdat ze ervan verzekerd zijn dat hun gegevens veilig zijn en beschermd tegen externe inmenging of toegang. Datasoevereiniteit kan de gegevens beschermen tegen ongeautoriseerde toegang of gebruik en zorgt ervoor dat de gegevens niet worden gebruikt voor doeleinden die niet in het belang van het bedrijf zijn. Daarnaast kan datasoevereiniteit bedrijven verzekeren dat hun gegevens, evenals die van hun klanten, veilig blijven en binnen de rechtsbevoegdheid blijven waar ze zijn ontstaan. Dit kan bedrijven meer vertrouwen geven in het gebruik van cloudopslag en andere digitale diensten die gegevensoverdracht over grenzen vereisen. Tot slot kan het bedrijven verzekeren dat hun gegevens beschermd blijven, zelfs als ze van aanbieder wisselen, omdat de gegevens binnen dezelfde rechtsbevoegdheid blijven.

Een bedrijf dat zich niet houdt aan datasoevereiniteitswetten kan aansprakelijk zijn voor financiële verliezen die voortvloeien uit het feit dat gegevens zijn geraadpleegd of misbruikt. Daarnaast kan het bedrijf juridische gevolgen ondervinden als het niet voldoet aan de relevante privacywetgeving. Reputatierisico is een andere overweging. Een bedrijf kan imagoschade oplopen als huidige en potentiële klanten zich bewust worden van het falen van het bedrijf om klantgegevens te beschermen.

Organisaties ondervinden diverse problemen bij het interpreteren van datasoevereiniteit. Soevereiniteit is een land-specifieke regelgeving die vereist dat informatie die in een land wordt verzameld en verwerkt, binnen de grenzen van dat land moet blijven en moet voldoen aan de wetten van dat land.

Dit kan leiden tot complexe, onderling verbonden en conflicterende wetten waaraan bedrijven moeten voldoen. Bijvoorbeeld: een land dat informatie verzamelt in de EU kan gebruikmaken van Microsoft Azure of Google cloudservers. Beide zijn Amerikaanse bedrijven die onder Amerikaanse wetgeving vallen, wat betekent dat ze kunnen worden onderworpen aan juridische verzoeken van de overheid om gegevens vrij te geven, wat een schending kan zijn van de EU-wet bescherming persoonsgegevens.

GDPR dataresidentievereisten

EU dataresidentievereisten verwijzen naar regelgeving die bedrijven verplichten om persoonlijke gegevens van EU-inwoners op te slaan en te verwerken binnen de grenzen van de Europese Unie. Volgens de GDPR hebben EU-inwoners het recht om controle te hebben over hun persoonlijke gegevens, inclusief het recht op inzage, rectificatie, verwijdering, beperking en overdracht. Bedrijven die gegevens van EU-burgers verzamelen en verwerken, moeten voldoen aan de GDPR-regelgeving, waaronder het verkrijgen van expliciete toestemming, het implementeren van passende beveiligingsmaatregelen en het melden van datalekken binnen 72 uur.

De dataresidentievereiste is bedoeld om de privacyrechten van EU-inwoners te beschermen door te voorkomen dat hun persoonlijke gegevens worden overgedragen naar landen met lagere privacy-standaarden, wat kan leiden tot misbruik. Bedrijven die actief zijn in de EU moeten ervoor zorgen dat hun gegevensopslag- en verwerkende systemen voldoen aan de GDPR-vereisten. Niet-naleving kan leiden tot hoge boetes en juridische stappen.

Datasoevereiniteit vs. Wet bescherming persoonsgegevens vs. Datalokalisatie vs. Dataresidentie

Datasoevereiniteit, wet bescherming persoonsgegevens, datalokalisatie en dataresidentie zijn vier onderling verbonden concepten die een belangrijke rol spelen in het moderne digitale landschap. Nu de wereldwijde informatiestroom snel toeneemt, moeten bedrijven, overheden en individuen deze complexe kwesties navigeren om te voldoen aan regelgeving en hun privacy en intellectueel eigendom te beschermen.

In een zakelijke wereld waar internationale handel en cloudopslag de norm zijn, kunnen dit soort situaties organisaties in bijzonder uitdagende omstandigheden brengen.

Bovendien worden sommige termen vaak verward met soevereiniteit:

  • Dataresidentie: Residentie verwijst vaak naar gevallen waarin een bedrijf of andere organisatie informatie opslaat op een specifieke geografische locatie om gunstige naleving van regelgeving te vinden. Dit kan inhouden dat locaties worden verschoven om aan te tonen dat het grootste deel van hun bedrijfsactiviteiten zich in een ander land bevindt om financiële redenen.
  • Datalokalisatie: In de meest strikte zin verwijst datalokalisatie naar de vereiste dat gegevens die in een specifieke locatie zijn gecreëerd, daar moeten blijven. Dit kan nalevingsregels omvatten, zoals de Algemene Verordening Gegevensbescherming (GDPR) van de Europese Unie, met betrekking tot persoonlijke gegevens van burgers van een land die organisaties verplichten die informatie op lokale servers te bewaren en de overdracht buiten de nationale grenzen te beperken of te verbieden.
  • Inheemse datasoevereiniteit: Een tak van soevereiniteit, inheemse soevereiniteit is specifiek van toepassing op de rechten van inheemse naties in de Verenigde Staten, Canada en Australië (en andere landen) om de privacy van hun eigen informatie te beheren.

Belangrijke overwegingen en uitdagingen rondom datasoevereiniteit

Datasoevereiniteit verwijst naar het concept dat digitale gegevens onderworpen zijn aan de wetten en regelgeving van het land waarin ze zijn opgeslagen. Dit betekent dat wanneer gegevens zich fysiek binnen de grenzen van een land bevinden, de overheid daar rechtsbevoegdheid over heeft en haar gegevensbeschermingsbeleid kan afdwingen. Dit principe is vooral belangrijk voor organisaties die internationaal opereren, omdat ze moeten voldoen aan de regels van elke rechtsbevoegdheid waar hun gegevens zich bevinden.

Juridische en regelgevende naleving voor datasoevereiniteit

Een van de belangrijkste uitdagingen rondom datasoevereiniteit is de noodzaak voor organisaties om te voldoen aan diverse juridische en regelgevende vereisten in verschillende landen. Dit kan het naleven van gegevensbeschermingswetten, sectorspecifieke regelgeving en internationale overeenkomsten omvatten. Niet-naleving kan leiden tot aanzienlijke boetes, juridische stappen en reputatieschade, waardoor het cruciaal is voor bedrijven om hun data management strategieën zorgvuldig te plannen.

Belangrijke zaken die datasoevereiniteit hebben vastgesteld

Het ontstaan van soevereiniteit als juridisch concept op wereldschaal kan worden herleid tot het PRISM-programma, een observatie- en geheime informatieverzamelingsprogramma van de National Security Agency dat werd onthuld door Edward Snowden.

PRISM en de Amerikaanse PATRIOT Act

De National Security Administration (NSA) observeert en verzamelt informatie, waaronder teksten, afbeeldingen, films, telefoongesprekken, sociale netwerkgegevens en videogesprekken via diverse platforms en aanbieders. Afgezien van de twijfelachtige legaliteit verzamelde de VS ook informatie van buitenlandse burgers die in het net werden gevangen.

Naast het PRISM-programma gaf de Amerikaanse PATRIOT Act de Amerikaanse overheid het recht om gegevens te verzamelen van elke server die fysiek binnen de Amerikaanse grenzen staat, wat vaak buitenlandse informatie omvatte die onder verschillende soorten privacy- en beveiligingswetten viel.

Microsoft vs. De Verenigde Staten

Hoewel deze zaak geen standaarden voor datasoevereiniteit in de wet heeft vastgelegd, startte het wel het gesprek. Een andere zaak, Microsoft Corp vs. De Verenigde Staten, diende als mijlpaal voor het concept.

In 2013 probeerde het Amerikaanse ministerie van Justitie informatie te verkrijgen van Microsoft-servers met betrekking tot onderzoeken naar drugshandel. Microsoft weigerde omdat de informatie was opgeslagen in een centrum in Ierland, buiten (volgens Microsoft) de Amerikaanse rechtsbevoegdheid en onderworpen aan Ierse gegevenswetten.

Microsoft verloor de eerste juridische uitdaging maar ging in beroep bij het 2e Amerikaanse Circuit Court of Appeals, dat het niet eens was met de bevindingen en de zaak doorverwees naar het Amerikaanse Hooggerechtshof, tijdens welke het Congres de CLOUD Act aannam. Deze wet stelde in wezen dat een Amerikaans bedrijf informatie moet overhandigen aan de wetshandhaving, ongeacht waar die informatie is opgeslagen. Echter, het voegde specifieke vereisten toe voor de bescherming van informatie van buitenlandse burgers waarvan de informatie zich bevindt op servers van Amerikaanse bedrijven in niet-Amerikaanse rechtsgebieden, met name in gevallen waarin de VS gegevensuitwisselingswetten heeft met deze landen.

De CLOUD Act stelde ook normen vast voor buitenlandse landen die toegang zoeken tot informatie die in de VS is opgeslagen, onder toezicht van Amerikaanse rechtbanken en na aantoonbare juridische en bewijsgronden.

Hoe verhoudt datasoevereiniteit zich tot de GDPR?

De GDPR werd in 2018 ingevoerd in deelnemende EU-landen en stelde strikte normen vast voor de bescherming van privacy en eigendom van consumenteninformatie. Deze wetten dekken ook soevereiniteit.

Volgens de GDPR moet alle informatie die wordt verzameld van EU-burgers worden opgeslagen op servers die zich bevinden in EU-rechtsgebieden of in landen met een vergelijkbare reikwijdte en grondigheid in hun beschermingswetten. Op deze manier vallen de gegevens onder de strikte beveiligingswetten van de EU en blijven burgers onder die bescherming.

Specifiek is deze wet van toepassing op zowel verwerkers als verwerkingsverantwoordelijken, wat betekent dat zowel bedrijven die informatie verzamelen als bedrijven die diensten aanbieden voor gegevensverzameling onder deze wet vallen.

Wat betekent dit voor aanbieders en bedrijven buiten de EU? Als u actief bent in de EU of bedrijven bedient door informatie van EU-burgers te verzamelen, valt u onder de GDPR. Overtreding van deze regelgeving kan leiden tot boetes tot 4% van uw totale wereldwijde jaarlijkse omzet.

Hoe datasoevereiniteit benaderen met cloud service providers

Het moge duidelijk zijn: als u werkt met een internationale klantenkring of actief bent in het buitenland, is datasoevereiniteit een belangrijk aspect van uw bedrijf.

Met dat in gedachten zijn er diverse factoren waar uw organisatie rekening mee moet houden:

  • Locaties van servers: Er moeten duidelijke en overeengekomen locaties zijn voor opslag en verwerking. Sommige cloudproviders proberen clouddekking op te delen per “regio” om flexibiliteit te behouden, dus hoe specifieker deze aanbieders kunnen zijn, hoe beter.
  • Lokale rechtsbevoegdheid en privacywetgeving: Uw organisatie moet een goed begrip hebben van de geldende privacywetgeving en regels voor die informatie. Deze wetten kunnen van invloed zijn op hoe die informatie wordt beheerd bij binnenkomst of vertrek uit dat land, en of dergelijke bestandsoverdrachten überhaupt legaal zijn.
  • Breng eigendom van gegevens en consumentenrechten in kaart: Naast privacy- en beveiligingswetten moet u een goed inzicht hebben in consumentenrechten. Informatie die bijvoorbeeld wordt beschermd door de GDPR geeft het eigendom aan de consument, wat betekent dat deze personen kunnen eisen dat hun informatie aan hen wordt verstrekt of wordt verwijderd. Regelgeving zoals de GDPR—of recenter de California Consumer Privacy Act (CCPA)—legt strikte beperkingen op aan hoe die informatie mag worden verwerkt en gebruikt.
  • Bepaal tools voor informatiebeheer: Elke cloud- of serviceprovider moet ook essentiële informatiebeheerfuncties bieden, zoals uitgebreide logs, retentie, hersteltools en geavanceerde analyses.

Bescherm de privacy van EU-burgers in overeenstemming met de GDPR met Kiteworks

Het Kiteworks Private Content Network stelt organisaties in staat om persoonlijke gegevens van EU-burgers te beschermen in overeenstemming met de GDPR. Flexibiliteit in inzet, granulaire toegangscontrole, inzicht in bestandsactiviteiten en rapportages, en éénklik-GDPR-rapportages stellen organisaties in staat om gevoelige inhoud te beschermen, vooral wanneer deze wordt gedeeld met vertrouwde derden.

Kiteworks’ beveiligings- en governance-mogelijkheden omvatten:

  • Beveiliging en naleving: Kiteworks maakt gebruik van AES-256 Encryptie voor gegevens in rust en TLS 1.2+ voor gegevens onderweg. Het platform biedt een hardened virtual appliance, granulaire controles, authenticatie en andere integraties met de beveiligingsstack, en uitgebreide logging en auditing, waarmee organisaties gevoelige gegevens kunnen beschermen en tegelijkertijd efficiënt bestuur en naleving kunnen waarborgen.
  • Beveiligde bestandsoverdracht: Kiteworks’ oplossing voor beveiligde bestandsoverdracht ondersteunt risicobeheer door derden (TPRM), waardoor organisaties vertrouwelijke gegevens, zoals persoonlijk identificeerbare informatie en beschermde gezondheidsinformatie (PII/PHI), en intellectueel eigendom (IP), kunnen delen met derden en tegelijkertijd voldoen aan branche- en overheidsvoorschriften, zoals de Health Insurance Portability and Accountability Act (HIPAA), Federal Information Processing Standards (FIPS) en Cybersecurity Maturity Model Certification (CMMC), onder andere.
  • SIEM-integratie: Organisaties kunnen hun omgevingen beveiligen door metadata van gevoelige communicatie over inhoud te integreren met security information and event management (SIEM) data voor single-pane-of-glass meldingen, logging en event response. Integraties omvatten IBM QRadar, ArcSight, FireEye Helix, LogRhythm en anderen. Kiteworks heeft ook integratie met de Splunk Forwarder en Splunk App.
  • Audit logging: Kiteworks maakt onveranderlijke audit logging mogelijk, zodat organisaties erop kunnen vertrouwen dat ze aanvallen sneller kunnen detecteren en tegelijkertijd de juiste chain of evidence behouden voor forensisch onderzoek. Omdat het platform metadata van meerdere gevoelige communicatiekanalen samenvoegt en standaardiseert, besparen de uniforme syslog en meldingen beveiligingscentrum (SOC)-teams cruciale tijd en helpen ze compliance-teams bij de voorbereiding op audits.
  • Single-tenant cloud-omgeving: Bestandsoverdrachten, bestandsopslag en toegang tot bestanden vinden plaats op een toegewijde Kiteworks-instantie, ingezet on-premises, op Logging-as-a-Service-resources of gehost in de cloud door de Kiteworks Cloud-server. Deze en andere veilige inzetopties betekenen geen gedeelde runtime, databases of repositories, resources of potentieel voor cross-cloud datalekken of aanvallen.
  • Datavisibiliteit en data management: Het CISO-dashboard geeft organisaties een overzicht van hun gegevens: waar ze zich bevinden, wie er toegang toe heeft, hoe ze worden gebruikt en of ze voldoen aan de GDPR. Help uw organisatieleiders om weloverwogen beslissingen te nemen en uw compliance-leiderschap om te voldoen aan regelgeving.

Wilt u weten hoe Kiteworks organisaties in staat stelt om datasoevereiniteit te beheren en metadata voor alle gevoelige communicatie over inhoud eenvoudig, veilig en in overeenstemming met de GDPR te centraliseren? Plan vandaag nog een aangepaste demo.

Veelgestelde vragen

GDPR-naleving verwijst naar het voldoen aan de regels die zijn vastgelegd in de Algemene Verordening Gegevensbescherming (GDPR), een uitgebreide wet bescherming persoonsgegevens in de Europese Unie (EU). De GDPR biedt richtlijnen voor hoe persoonlijke gegevens van EU-burgers en -inwoners moeten worden verzameld, verwerkt, opgeslagen en gedeeld door organisaties, ongeacht of deze organisaties in de EU zijn gevestigd of elders. Om GDPR-compliant te zijn, moeten organisaties stappen ondernemen om de persoonlijke gegevens van EU-burgers en -inwoners te beschermen en hun privacyrechten te respecteren.

De GDPR is gebaseerd op een aantal principes voor hoe persoonlijke gegevens moeten worden verwerkt. Deze principes zijn bedoeld om ervoor te zorgen dat organisaties persoonlijke gegevens van EU-burgers en -inwoners eerlijk, transparant en veilig behandelen.

De drie belangrijkste principes van GDPR-naleving zijn:

  • Rechtmatigheid, eerlijkheid en transparantie: Organisaties moeten persoonlijke gegevens op een rechtmatige, eerlijke en transparante manier verwerken. Dit houdt in dat individuen duidelijke en beknopte informatie moeten krijgen over hoe hun gegevens worden verwerkt.
  • Doelbeperking: Persoonsgegevens mogen alleen worden verzameld en verwerkt voor specifieke, expliciete en legitieme doeleinden. Organisaties mogen persoonsgegevens niet verwerken op een manier die onverenigbaar is met deze doeleinden.
  • Dataminimalisatie: Organisaties mogen alleen de persoonsgegevens verzamelen en verwerken die noodzakelijk zijn voor de doeleinden waarvoor ze worden verwerkt. Ze moeten er ook voor zorgen dat de gegevens accuraat en actueel zijn.

Organisaties kunnen GDPR-naleving waarborgen door diverse stappen te nemen om de persoonlijke gegevens van EU-burgers en -inwoners te beschermen en hun privacyrechten te respecteren. Deze stappen kunnen onder meer het implementeren van beleid en procedures voor gegevensbescherming, het aanstellen van een functionaris voor gegevensprivacy (DPO) en het regelmatig uitvoeren van Data Protection Impact Assessments omvatten.

Stappen die organisaties kunnen nemen om GDPR-naleving te waarborgen zijn onder andere:

  • Het herzien en bijwerken van beleid en procedures voor gegevensbescherming om ervoor te zorgen dat deze in lijn zijn met de GDPR-vereisten
  • Het implementeren van passende technische en organisatorische maatregelen, zoals encryptie, toegangscontrole en pseudonimisering, om de veiligheid van persoonsgegevens te waarborgen
  • Zorgen dat individuen toegang hebben tot hun persoonsgegevens en hun rechten onder de GDPR kunnen uitoefenen, zoals het recht op verwijdering en het recht om bezwaar te maken
  • Het uitvoeren van regelmatige audits van gegevensverwerkingsactiviteiten om te zorgen voor naleving van de GDPR-vereisten en om verbeterpunten te identificeren
  • Zorgen dat eventuele derde partijen, zoals cloud service providers, GDPR-compliant zijn en passende waarborgen hebben om persoonsgegevens te beschermen
  • Het ontwikkelen van een reactieplan voor incidenten om datalekken en ongeautoriseerde toegang tot persoonsgegevens te beheren
  • Het bijhouden van documentatie en registraties van gegevensverwerkingsactiviteiten om naleving van de GDPR-vereisten aan te tonen

Een Data Protection Impact Assessment (DPIA) is een proces om de privacyrisico’s te identificeren en te beoordelen die gepaard gaan met een bepaalde gegevensverwerkingsactiviteit. Een DPIA is verplicht onder de GDPR voor bepaalde soorten verwerkingsactiviteiten die waarschijnlijk een hoog risico inhouden voor de privacyrechten van EU-burgers en -inwoners.

Ja, Amerikaanse bedrijven moeten voldoen aan de GDPR als zij persoonsgegevens van EU-burgers en -inwoners verwerken. Elk bedrijf, ongeacht waar het is gevestigd, moet voldoen aan de GDPR als het persoonsgegevens van EU-burgers en -inwoners verwerkt, bewaart of deelt.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks