Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Schrems II-naleving: Bescherming van gegevensstromen tussen het VK en de EU
Schrems II-naleving: Bescherming van gegevensstromen tussen het VK en de EU

Schrems II-naleving: Bescherming van gegevensstromen tussen het VK en de EU

by Danielle Barbour updated oktober 10, 2025 AVG-naleving
Reading Time: 23 minutes

De Schrems II-uitspraak van het Europese Hof van Justitie in juli 2020 maakte een einde aan het EU-VS Privacy Shield door te oordelen dat Amerikaanse surveillanceregels—met name FISA 702 en Executive Order 12333—onvoldoende waarborgen bieden voor de fundamentele rechten van EU-betrokkenen. Hoewel de directe impact vooral Amerikaanse bedrijven trof, had de beslissing ingrijpende gevolgen voor Britse organisaties die datastromen tussen het Verenigd Koninkrijk en de Europese Unie beheren. De adequaatheidsbeslissing voor het VK van de Europese Commissie, verleend na de Brexit in juni 2021, kent dezelfde structurele kwetsbaarheden die het Privacy Shield fataal werden: Amerikaanse cloudproviders met toegang tot encryptiesleutels creëren technische routes voor Amerikaanse surveillance die geen enkele contractuele waarborg afdoende kan ondervangen.

Table of Contents

Voor Britse organisaties die Amerikaanse cloudproviders gebruiken en tegelijkertijd aanzienlijke data-uitwisseling met EU-entiteiten onderhouden, creëert Schrems II een ongemakkelijke realiteit. Standaard contractuele clausules, het belangrijkste juridische instrument voor VK-EU datatransfers, vereisen aanvullende technische en organisatorische maatregelen wanneer overdrachten plaatsvinden naar landen met problematische surveillanceregels. De aanbevelingen 01/2020 van de European Data Protection Board maken duidelijk dat deze aanvullende maatregelen gegevens “onbegrijpelijk” moeten maken voor overheidsinstanties—maar de meeste Britse organisaties vertrouwen op cloudarchitecturen waarbij providers toegang tot encryptiesleutels behouden, waardoor gegevens begrijpelijk blijven voor Amerikaanse autoriteiten via juridische dwang, ongeacht waar die gegevens zijn opgeslagen of welke contractuele beschermingen beogen openbaarmaking te voorkomen.

De dreiging reikt verder dan alleen compliance-zorgen en raakt het behoud van VK-EU datastromen zelf. Als Britse organisaties massaal cloudarchitecturen omarmen die Amerikaanse surveillance van EU-persoonsgegevens mogelijk maken, zullen privacyvoorvechters de adequaatheidsbeslissing van het VK aanvechten met dezelfde Schrems II-argumentatie die het Privacy Shield ongeldig maakte. Een succesvolle uitdaging zou het bevoorrechte statuut van het VK voor EU-datatransfers elimineren, waardoor Britse bedrijven dezelfde omslachtige overdrachtsmechanismen moeten implementeren als vereist voor datastromen naar landen zonder adequaatheidsbeslissing. Britse organisaties moeten daarom beoordelen of hun cloudproviderrelaties niet alleen voldoen aan de huidige overdrachtsvereisten, maar ook aan de architecturale standaarden die nodig zijn om het adequaatheidskader te behouden dat efficiënte VK-EU data-uitwisseling mogelijk maakt.

Samenvatting

Belangrijkste punt: Schrems II maakte het Privacy Shield ongeldig omdat Amerikaanse surveillanceregels (FISA 702, Executive Order 12333) onvoldoende waarborgen bieden voor EU-betrokkenen.

Waarom dit relevant is: Britse organisaties die Amerikaanse cloudproviders gebruiken, moeten aanvullende technische maatregelen implementeren—met name klantbeheer van encryptiesleutels—om VK-EU datastromen te beschermen en de adequaatheidsstatus van het VK te behouden.

Belangrijkste inzichten

  1. Het Europese Hof van Justitie maakte het Privacy Shield ongeldig omdat Amerikaanse surveillanceregels toegang tot EU-persoonsgegevens mogelijk maken zonder voldoende waarborgen, en stelde vast dat FISA 702 en Executive Order 12333 onvoldoende beperkingen opleggen aan overheids­toegang en geen effectieve juridische bescherming bieden aan EU-betrokkenen wiens rechten worden geschonden.
  2. De adequaatheid van het VK van de Europese Commissie kent identieke kwetsbaarheden die het Privacy Shield fataal werden wanneer Britse organisaties Amerikaanse cloudproviders gebruiken die toegang tot encryptiesleutels behouden, waardoor technische routes ontstaan voor Amerikaanse surveillance van EU-persoonsgegevens die via Britse infrastructuur stromen.
  3. Standaard contractuele clausules vereisen aanvullende technische maatregelen die gegevens onbegrijpelijk maken voor overheidsinstanties volgens EDPB-aanbevelingen 01/2020, maar encryptie beheerd door providers waarbij cloudleveranciers toegang tot sleutels behouden voldoet hier niet aan omdat Amerikaanse autoriteiten providers kunnen dwingen data te ontsleutelen, ongeacht contractuele verboden.
  4. Transfer impact assessments moeten de praktische effectiviteit van aanvullende maatregelen beoordelen, niet alleen hun theoretisch ontwerp, en de meeste TIA’s onderschatten hoe provider-toegang tot encryptiesleutels technische waarborgen ondermijnt die contractuele clausules niet kunnen vervangen.
  5. Klantbeheer van encryptiesleutels waarbij providers nooit decryptiemogelijkheden hebben voldoet aan de EDPB-vereisten voor aanvullende maatregelen door te garanderen dat gegevens onbegrijpelijk blijven, zelfs wanneer overheden cloudproviders dwingen opgeslagen informatie te verstrekken, waardoor wiskundige in plaats van contractuele gegevensbescherming ontstaat.
  6. Behoud van adequaatheid vereist dat Britse organisaties aantonen dat EU-persoonsgegevens die via Britse systemen stromen beschermd blijven tegen Amerikaanse surveillance, wat betekent dat brede adoptie van cloudarchitecturen die Amerikaanse overheids­toegang mogelijk maken, adequaatheidsuitdagingen kan veroorzaken die de juridische basis van VK-EU data-uitwisseling bedreigen.

Schrems II en de ongeldigverklaring van het Privacy Shield

Wat is Schrems II? De Schrems II-zaak (C-311/18, uitspraak 16 juli 2020) was een uitspraak van het Europese Hof van Justitie die het EU-VS Privacy Shield ongeldig verklaarde en stelde dat standaard contractuele clausules aanvullende technische maatregelen vereisen bij overdracht van gegevens naar landen met onvoldoende surveillanceregels.

De Schrems II-zaak, formeel bekend als Data Protection Commissioner v. Facebook Ireland Limited en Maximillian Schrems (C-311/18), was de tweede succesvolle uitdaging van de Oostenrijkse privacyvoorvechter Max Schrems tegen EU-VS dataoverdrachtsmechanismen. De uitspraak van het Europese Hof van Justitie op 16 juli 2020 maakte het EU-VS Privacy Shield ongeldig, maar handhaafde standaard contractuele clausules als geldige overdrachtsmechanismen—maar alleen wanneer deze worden aangevuld met extra waarborgen die specifieke risico’s in bestemmingslanden adresseren.

Waarom het Privacy Shield niet voldeed aan de toets van fundamentele rechten

Het Hof oordeelde dat Amerikaanse surveillanceregelingen, met name Section 702 van de Foreign Intelligence Surveillance Act en Executive Order 12333, toegang tot EU-persoonsgegevens mogelijk maken die verder gaat dan wat “strikt noodzakelijk” en proportioneel is ter bescherming van de nationale veiligheid. Deze programma’s staan bulkverzameling van communicatie toe zonder individuele verdenking, functioneren zonder betekenisvol juridisch toezicht voor niet-Amerikanen en bieden geen effectieve juridische bescherming waarmee EU-betrokkenen onrechtmatige surveillance kunnen aanvechten.

FISA 702 machtigt de Amerikaanse overheid om Amerikaanse technologiebedrijven te dwingen communicatie van niet-Amerikanen buiten de VS te verstrekken. De FISA Court, die toezicht houdt op deze programma’s, beoordeelt geen individuele bevelen maar keurt jaarlijkse certificeringen goed voor brede categorieën van inlichtingendoelen. EU-betrokkenen van wie de communicatie wordt onderschept onder Section 702 hebben geen reële mogelijkheid om van de surveillance op de hoogte te raken of de legaliteit ervan aan te vechten bij Amerikaanse rechtbanken.

Executive Order 12333, die inlichtingenverzameling buiten Amerikaanse rechtsbevoegdheid regelt, kent nog minder beperkingen. Het bevel staat het verzamelen van communicatie direct van internetinfrastructuur toe, waaronder onderzeese kabels en netwerkuitwisselingspunten, zonder het beperkte toezicht van de FISA Court dat geldt voor Section 702. Voor EU-persoonsgegevens die via Amerikaanse netwerk­infrastructuur lopen of bij Amerikaanse bedrijven zijn opgeslagen, creëerden deze surveillanceregelingen wat het Hof onverenigbaar achtte met EU-fundamentele rechten op privacy en gegevensbescherming.

Het probleem van contractuele beperkingen

Het Hof stelde nadrukkelijk vast dat contractuele mechanismen zoals het EU-VS Privacy Shield het probleem van nationale wetgeving die overheids­toegang mogelijk maakt, niet kunnen oplossen als die toegang onverenigbaar is met EU-fundamentele rechten. De Verenigde Staten beloofden via het Privacy Shield de toegang tot gegevens te beperken tot wat noodzakelijk en proportioneel is, maar deze contractuele toezeggingen kunnen Amerikaanse nationale veiligheidswetten die bedrijven dwingen toegang te verlenen, niet overrulen.

Dit principe—dat contracten wettelijke verplichtingen niet kunnen overrulen—vormt de basis van de blijvende impact van Schrems II. Als contractuele toezeggingen alleen voldoende waren geweest om gegevens te beschermen tegen problematische overheids­toegang, had het Privacy Shield standgehouden. De afwijzing van deze benadering door het Hof betekent dat organisaties die uitsluitend vertrouwen op standaard contractuele clausules zonder technische aanvullende maatregelen, dezelfde kwetsbaarheid hebben die het Privacy Shield fataal werd.

Gevolgen voor cloudproviders

De Schrems II-uitspraak noemt cloudproviders niet expliciet, maar de implicaties voor Amerikaanse cloudinfrastructuur zijn onmiskenbaar. AWS, Microsoft Azure, Google Cloud en andere Amerikaanse cloudproviders vallen onder dezelfde FISA 702- en Executive Order 12333-regels die het Hof onverenigbaar achtte met EU-fundamentele rechten. Deze providers moeten voldoen aan Amerikaanse overheids­verzoeken om gegevens, en hun contractuele beloften aan klanten kunnen wettelijke verplichtingen tot medewerking aan surveillance niet overrulen.

Voor Britse organisaties levert dit directe complicaties op. Gegevens die zijn opgeslagen bij Amerikaanse cloudproviders blijven toegankelijk voor Amerikaanse inlichtingendiensten via juridische mechanismen die het Europese Hof van Justitie expliciet als onvoldoende heeft bestempeld. Wanneer die gegevens persoonlijke informatie bevatten over EU-betrokkenen—werknemers van EU-bedrijven, klanten van EU-ondernemingen of andere personen beschermd door de EU GDPR—maken Britse organisaties die Amerikaanse cloudproviders gebruiken, surveillance mogelijk die volgens EU-wetgeving fundamenteel onverenigbaar is met gegevensbeschermingsrechten.

VK-adequaatheid en het Schrems II-precedent

Status van VK-adequaatheid: De Europese Commissie heeft het VK op 28 juni 2021 een adequaatheidsbeslissing verleend, waardoor onbelemmerde datastromen van de EU naar het VK mogelijk zijn. Deze status blijft echter kwetsbaar voor betwisting als Britse organisaties Amerikaanse surveillance van EU-persoonsgegevens mogelijk maken via ontoereikende cloudarchitecturen.

Na de Brexit werd het Verenigd Koninkrijk een “derde land” onder de EU-gegevensbeschermingswetgeving, waarvoor een adequaatheidsbeslissing van de Europese Commissie nodig is om onbelemmerde datastromen van de EU mogelijk te maken. De Commissie verleende het VK op 28 juni 2021 adequaatheid, omdat de Britse gegevensbeschermingswetgeving in wezen gelijkwaardig werd geacht aan de EU GDPR-normen.

De kwetsbaarheid van VK-adequaatheid

De adequaatheid van het VK kent dezelfde structurele kwetsbaarheid die het EU-VS Privacy Shield fataal werd: als Britse organisaties op grote schaal technische architecturen toepassen die Amerikaanse surveillance van EU-persoonsgegevens mogelijk maken, kunnen privacyvoorvechters de adequaatheid aanvechten met Schrems II-argumentatie. De adequaatheidsbeslissing gaat ervan uit dat gegevens die naar het VK worden overgedragen, worden beschermd volgens de UK GDPR en Data Protection Act 2018—maar als die gegevens direct worden doorgestuurd naar Amerikaanse cloudproviders die onder FISA 702 vallen, is er dan sprake van daadwerkelijke bescherming?

De adequaatheidsbeslissing van de Europese Commissie vermeldt expliciet dat deze moet worden herzien als de Britse gegevensbeschermingsnormen veranderen op een manier die de bescherming van fundamentele rechten beïnvloedt. Grootschalige adoptie van cloudarchitecturen in het VK die Amerikaanse surveillance faciliteren, kan zo’n verandering vormen—niet via wetgeving, maar door het feitelijk uithollen van technische waarborgen. Als EU-persoonsgegevens naar het VK stromen om vervolgens te worden opgeslagen op Amerikaanse cloudinfrastructuur die toegankelijk is voor Amerikaanse inlichtingendiensten, wordt adequaatheid een technisch achterdeurtje dat de bescherming ondermijnt die Schrems II heeft ingesteld.

Het probleem van verdere overdracht

VK-adequaatheid strekt zich niet automatisch uit tot verdere overdrachten van het VK naar derde landen. Wanneer Britse organisaties EU-persoonsgegevens overdragen aan Amerikaanse cloudproviders, gaat het om verdere overdrachten die moeten voldoen aan UK GDPR artikel 46-vereisten voor passende waarborgen. Standaard contractuele clausules kunnen de juridische basis vormen voor deze overdrachten—maar na Schrems II zijn SCC’s alleen onvoldoende als overdrachten plaatsvinden naar landen met surveillanceregels die het Europese Hof van Justitie onverenigbaar acht met fundamentele rechten.

Dit leidt tot een cascade van compliance-vereisten. EU-organisaties die gegevens overdragen aan Britse ontvangers moeten zeker stellen dat deze ontvangers passende waarborgen hebben voor verdere overdrachten. Britse organisaties moeten transfer impact assessments uitvoeren om te beoordelen of SCC’s met hun Amerikaanse cloudproviders voldoende bescherming bieden gezien de Amerikaanse surveillanceregels. En als deze beoordelingen risico’s identificeren die contractuele clausules niet kunnen oplossen, worden aanvullende technische maatregelen verplicht.

Het probleem is dat de meeste aanvullende maatregelen—encryptie tijdens transport, encryptie in rust, contractuele auditrechten—de fundamentele kwetsbaarheid niet oplossen: Amerikaanse cloudproviders behouden toegang tot encryptiesleutels, waardoor gegevens toegankelijk blijven voor Amerikaanse autoriteiten via juridische dwang, ongeacht waar die gegevens zijn opgeslagen of welke contractuele beschermingen toegang zouden moeten voorkomen.

Behoud van adequaatheid via technische architectuur

Het voortbestaan van VK-adequaatheid hangt deels af van het vermogen van Britse organisaties om aan te tonen dat EU-persoonsgegevens die via Britse systemen stromen daadwerkelijk beschermd blijven tegen Amerikaanse surveillance. Dit is niet alleen een compliance-verplichting voor individuele bedrijven—het is een collectieve verantwoordelijkheid die alle Britse bedrijven raakt die profiteren van adequaatheid. Als privacyvoorvechters aantonen dat Britse organisaties routinematig Amerikaanse surveillance van EU-persoonsgegevens mogelijk maken door slechte cloudarchitectuurkeuzes, komt de adequaatheid in gevaar.

De oplossing vereist technische architectuur in plaats van contractuele beloften. Klantbeheer van encryptiesleutels dat provider-toegang volledig uitsluit, creëert wiskundige garanties dat Amerikaanse cloudproviders geen toegang tot gegevens kunnen verschaffen, zelfs niet onder juridische dwang. Soevereine inzetopties waarbij EU-persoonsgegevens op Britse infrastructuur blijven, lossen het probleem van verdere overdracht volledig op. Deze architecturale benaderingen adresseren het fundamentele Schrems II-probleem: overheids­toegangsroutes die contractuele maatregelen niet kunnen voorkomen.

Het encryptiesleutelprobleem in Schrems II-context

Kritiek punt: Schrems II-compliance vereist dat gegevens “onbegrijpelijk” zijn voor overheidsinstanties. Encryptie beheerd door providers voldoet hier niet aan omdat cloudleveranciers kunnen worden gedwongen gegevens te ontsleutelen. Klantbeheer van encryptiesleutels—waarbij providers nooit decryptiemogelijkheden hebben—voldoet aan de EDPB-vereisten voor aanvullende maatregelen.

Schrems II draait fundamenteel om overheids­toegang tot gegevens, en controle over encryptiesleutels bepaalt of die toegang mogelijk is. Als cloudproviders klantgegevens kunnen ontsleutelen, kunnen overheidsinstanties providers dwingen die mogelijkheid te benutten, ongeacht contractuele verboden. Als providers klantgegevens niet kunnen ontsleutelen omdat ze nooit de sleutels hebben gehad, levert een overheids­verzoek alleen onbegrijpelijke ciphertext op.

Encryptie beheerd door providers en de onbegrijpelijkheidsnorm

De aanbevelingen 01/2020 van de European Data Protection Board over aanvullende maatregelen stellen dat technische waarborgen gegevens “onbegrijpelijk” moeten maken voor iedereen die geen autorisatie heeft—waaronder overheidsinstanties in het bestemmingsland. Encryptie beheerd door providers, waarbij cloudleveranciers sleutels beheren via hun Key Management Services, voldoet niet aan deze norm omdat de provider kan worden gedwongen gegevens begrijpelijk te maken voor Amerikaanse autoriteiten.

De meeste cloudencryptie-implementaties gebruiken door providers beheerde hardware security modules voor opslag van encryptiesleutels. Hoewel deze HSM’s sterke bescherming bieden tegen externe aanvallers, beschermen ze niet tegen overheids­verzoeken aan de provider die de HSM beheert. Wanneer Amerikaanse autoriteiten FISA 702-bevelen of national security letters uitvaardigen, kunnen cloudproviders met sleuteltoegang gegevens ontsleutelen en begrijpelijke gegevens verstrekken, waardoor de encryptie technisch solide maar juridisch zinloos wordt voor Schrems II-doeleinden.

Sommige providers bieden “klantbeheer van sleutels” waarmee organisaties de levenscyclus en het beleid van sleutels kunnen beheren. Deze implementaties behouden echter vaak provider-toegang via back-upsleutels, herstelmechanismen of administratieve privileges die nodig zijn voor cloudoperaties. Tenzij klantbeheer van sleutels expliciet en architecturaal alle provider-toegang uitsluit—en het technisch onmogelijk maakt voor de provider om gegevens te ontsleutelen, zelfs met medewerking van medewerkers en overheidsdwang—voldoen ze niet aan de EDPB-norm van onbegrijpelijkheid.

De technische aanbevelingen van de EDPB

EDPB-aanbevelingen 01/2020 bieden gedetailleerde richtlijnen voor aanvullende technische maatregelen die geschikt zijn voor verschillende dataoverdrachtscenario’s. Voor overdrachten waarbij de exporteur controle houdt over encryptiesleutels en de importeur (cloudprovider) geen toegang heeft tot platte tekst, beschouwt de EDPB dit als een effectieve aanvullende maatregel die overheids­toegang tot begrijpelijke gegevens voorkomt.

De kritieke vereiste is dat encryptiesleutels exclusief onder controle van de data-exporteur blijven, nooit in de infrastructuur van de cloudprovider worden opgeslagen of toegankelijk zijn via providersystemen. De sleutels moeten buiten de provideromgeving worden gegenereerd, opgeslagen in door de klant beheerde hardware security modules of sleutelbeheerservers, en alleen gebruikt worden binnen systemen waar de provider geen toegang toe heeft of wijzigingen in kan aanbrengen. Deze architecturale scheiding zorgt ervoor dat overheids­verzoeken aan de cloudprovider geen decryptiesleutels of begrijpelijke gegevens kunnen opleveren.

Britten die deze architectuur implementeren voor EU-persoonsgegevens die bij Amerikaanse cloudproviders zijn opgeslagen, kunnen zowel aan de SCC-vereisten als aan de Schrems II-verplichting voor aanvullende maatregelen voldoen. De contractuele clausules leggen juridische verplichtingen vast, terwijl de technische architectuur ervoor zorgt dat deze verplichtingen kunnen worden nagekomen, zelfs wanneer Amerikaanse autoriteiten gegevens opvragen. De provider kan voldoen aan wettelijke Amerikaanse overheids­verzoeken door versleutelde gegevens te verstrekken en tegelijkertijd contractuele toezeggingen aan gegevensprivacy nakomen, omdat zonder de sleutels de verstrekte gegevens onbegrijpelijk blijven.

Waarom dit belangrijk is voor VK-EU datastromen

Wanneer Britse organisaties EU-persoonsgegevens ontvangen en deze vervolgens zonder adequate aanvullende maatregelen aan Amerikaanse cloudproviders overdragen, creëren ze juridische risico’s voor zowel zichzelf als hun EU-databronnen. De EU-organisaties die gegevens overdragen aan Britse ontvangers moeten zeker stellen dat er adequate waarborgen voor verdere overdrachten bestaan. Als de Britse cloudarchitectuur niet voldoet aan de Schrems II-vereisten, kunnen EU-organisaties gegevens niet legitiem overdragen aan Britse ontvangers die dergelijke verdere overdrachten plannen.

Dit heeft competitieve gevolgen. Britse bedrijven die onvoldoende Schrems II-waar­borgen bieden, kunnen merken dat EU-klanten en partners terughoudend zijn om gegevens te delen en de voorkeur geven aan concurrenten met aantoonbare technische maatregelen die voldoen aan de vereisten voor aanvullende maatregelen. Financiële sector, advocatenkantoren, zorgverleners en technologiebedrijven die afhankelijk zijn van EU-datastromen, moeten cloudinfrastructuur ontwerpen die EU-gegevensbeschermingsfunctionarissen met vertrouwen kunnen goedkeuren in transfer impact assessments.

Transfer Impact Assessments en aanvullende maatregelen

TIA-vereiste: Britse organisaties moeten transfer impact assessments (TIA’s) uitvoeren om te beoordelen of standaard contractuele clausules alleen voldoende bescherming bieden bij overdrachten naar landen met problematische surveillanceregels. TIA’s moeten de praktische effectiviteit van waarborgen beoordelen, niet alleen contractuele taal.

Schrems II maakte standaard contractuele clausules niet ongeldig, maar stelde dat SCC’s alleen onvoldoende zijn bij overdrachten naar landen met surveillanceregels die onverenigbaar zijn met EU-fundamentele rechten. Data-exporteurs moeten transfer impact assessments uitvoeren om te beoordelen of de juridische en technische realiteit in het bestemmingsland voorkomt dat de contractuele bescherming in SCC’s in de praktijk kan worden nageleefd.

Wat transfer impact assessments moeten beoordelen

Transfer impact assessments zijn geen afvinklijstjes. De EDPB maakt duidelijk dat TIA’s de praktische effectiviteit van waarborgen moeten beoordelen, niet alleen hun theoretisch ontwerp. Voor Britse organisaties die EU-persoonsgegevens aan Amerikaanse cloudproviders overdragen, moeten TIA’s beoordelen:

  • Of encryptie effectieve bescherming biedt. Als de provider de encryptiesleutels beheert, is het antwoord nee—overheidsinstanties kunnen sleutelverstrekking of ontsleuteling afdwingen, waardoor encryptie juridisch zinloos wordt, zelfs als deze technisch solide is.
  • Of contractuele toezeggingen overheids­toegang voorkomen. Amerikaanse nationale veiligheidswetten overrulen expliciet contractuele verplichtingen, dus contractuele toezeggingen van Amerikaanse providers kunnen wettelijk verplichte openbaarmaking niet voorkomen.
  • Of transparantiemechanismen detectie van overheids­toegang mogelijk maken. National security letters en FISA-bevelen verbieden vaak openbaarmaking, waardoor providers klanten niet kunnen informeren over gegevens­toegang, detectie onmogelijk wordt en verantwoording illusoir blijft.
  • Of juridische bescherming bestaat bij onrechtmatige toegang. De Schrems II-uitspraak stelde vast dat niet-Amerikanen geen effectieve juridische bescherming hebben in Amerikaanse rechtbanken tegen FISA 702-surveillance, waardoor schendingen niet zinvol kunnen worden aangevochten of hersteld.

Organisaties die eerlijke TIA’s uitvoeren voor relaties met Amerikaanse cloudproviders komen doorgaans tot ongemakkelijke conclusies: de waarborgen die ze hebben geïmplementeerd lossen de fundamentele toegangsroutes die Schrems II als onverenigbaar met EU-fundamentele rechten identificeerde, niet daadwerkelijk op.

De vereiste voor aanvullende maatregelen

Wanneer TIA’s vaststellen dat SCC’s alleen onvoldoende bescherming bieden, worden aanvullende technische en organisatorische maatregelen verplicht. De EDPB-aanbevelingen 01/2020 beschrijven diverse aanvullende maatregelen die geschikt zijn voor verschillende omstandigheden, maar niet alle maatregelen adresseren het Schrems II-surveillanceprobleem.

Organisatorische maatregelen—contractuele auditrechten, transparantieverplichtingen, dataminimalisatie—kunnen overheids­toegang niet uitsluiten. Als Amerikaanse wetgeving surveillance mogelijk maakt, zijn contractuele toezeggingen om niet deel te nemen aan surveillance juridisch zinloos. Audits kunnen geen geheime overheids­toegang detecteren die onder geheimhoudingsplicht valt. Dataminimalisatie beperkt het risico maar elimineert overheids­toegang tot resterende gegevens niet.

Technische maatregelen bieden meer perspectief, maar alleen als ze architecturaal provider-toegang tot begrijpelijke gegevens voorkomen. Transportencryptie (TLS) beschermt gegevens tijdens transport maar niet in rust in de infrastructuur van de provider. Encryptie in rust met door de provider beheerde sleutels schiet tekort omdat providers kunnen worden gedwongen te ontsleutelen. Pseudonimisering en anonimisering werken alleen als ze echt onomkeerbaar zijn, wat vaak onmogelijk is voor operationele gegevens die koppeling met de werkelijkheid vereisen.

De aanvullende maatregel die het Schrems II-probleem betrouwbaar adresseert, is klantbeheer van encryptie met cryptografische scheiding—sleutels die volledig buiten de infrastructuur van de provider worden gegenereerd, opgeslagen en beheerd, waardoor het technisch onmogelijk wordt voor providers om platte tekst te verkrijgen, zelfs onder overheidsdwang. Deze maatregel is niet afhankelijk van contractuele beloften of juridische bescherming die overheidsinstanties kunnen overrulen. Het creëert wiskundige zekerheid dat afgedwongen openbaarmaking door de provider alleen onbegrijpelijke ciphertext oplevert.

Veelvoorkomende TIA-fouten

Veel Britse organisaties voeren transfer impact assessments uit die Schrems II-risico’s onderschatten of de effectiviteit van aanvullende maatregelen overschatten. Veelvoorkomende fouten zijn onder meer:

  • Provider-aanbiedingen voor “klantbeheer van sleutels” als echte klantcontrole beschouwen zonder te verifiëren dat providers geen toegang hebben via back-up, herstel of administratieve mechanismen.
  • Aannemen dat gegevensopslag in VK- of EU-regio’s het Amerikaanse surveillancerisico elimineert zonder te erkennen dat Amerikaanse moederbedrijven die regio’s beheren, onder FISA 702 vallen ongeacht de locatie van de gegevens.
  • Vertrouwen op transparantierapporten van providers als bewijs van beperkte overheids­toegang zonder te onderkennen dat geheime surveillancebevelen openbaarmaking verbieden, waardoor transparantierapporten per definitie onvolledig zijn.
  • Encryptie tijdens transport implementeren als aanvullende maatregel zonder te erkennen dat gegevens voor opslag en verwerking moeten worden ontsleuteld, waarbij provider-beheerde systemen toegang tot platte tekst hebben.
  • Dataresidentie (opslag binnen een bepaalde geografie) verwarren met datasoevereiniteit (exclusieve controle over gegevens­toegang behouden), en VK-opslaglocaties als voldoende beschouwen zonder toegangsroutes van Amerikaanse moederbedrijven te evalueren.

Deze TIA-fouten creëren niet alleen compliance-risico’s voor individuele organisaties. Wanneer ze wijdverbreid voorkomen bij Britse bedrijven die EU-persoonsgegevens verwerken, versterken ze het argument om VK-adequaatheid aan te vechten met Schrems II-argumentatie.

Waarom standaard contractuele clausules niet voldoende zijn

Belangrijkste conclusie: Standaard contractuele clausules (SCC’s) bieden noodzakelijke juridische basis, maar kunnen Amerikaanse surveillanceregels die contractuele toezeggingen overrulen niet ondervangen. Technische aanvullende maatregelen—met name klantbeheer van encryptie waarbij providers geen sleuteltoegang hebben—zijn verplicht voor Schrems II-compliance.

Standaard contractuele clausules, goedgekeurd door de Europese Commissie in 2021, bevatten gedetailleerde contractuele verplichtingen voor internationale gegevensoverdrachten. Schrems II stelde echter vast dat deze contractuele bescherming onvoldoende is wanneer nationale wetgeving in het bestemmingsland overheids­toegang mogelijk maakt die onverenigbaar is met EU-fundamentele rechten—een situatie die expliciet geldt voor Amerikaanse cloudproviders onder FISA 702.

Het probleem van juridische overruling

SCC’s verplichten data-importeurs om exporteurs te informeren als ze niet aan de clausules kunnen voldoen, bijvoorbeeld vanwege overheids­verzoeken die conflicteren met contractuele verplichtingen. Amerikaanse nationale veiligheidswetten verbieden echter vaak dergelijke notificatie. National security letters uitgevaardigd onder 18 U.S.C. § 2709 bevatten geheimhoudingsbepalingen die ontvangers verbieden het bestaan van de brieven te onthullen. FISA-bevelen beperken eveneens openbaarmaking. Deze wettelijke verboden overrulen contractuele verplichtingen om klanten te informeren over overheids­verzoeken.

Dit creëert een onmogelijke contractuele situatie. Amerikaanse cloudproviders kunnen niet voldoen aan de SCC-meldingsvereisten wanneer nationale veiligheidswetten openbaarmaking verbieden. Ze kunnen overheids­verzoeken niet weigeren omdat weigering in strijd is met de Amerikaanse strafwet. En ze kunnen niet aan beide verplichtingen voldoen—meewerken aan Amerikaanse surveillance en contractuele privacyverplichtingen nakomen—omdat deze verplichtingen fundamenteel conflicteren.

De Schrems II-uitspraak erkende dit conflict en concludeerde dat contractuele maatregelen alleen geen adequate bescherming kunnen bieden wanneer nationale wetgeving in het bestemmingsland contractuele verplichtingen overrult. Voor Britse organisaties betekent dit dat SCC’s met Amerikaanse cloudproviders moeten worden aangevuld met technische maatregelen die effectief blijven, zelfs wanneer providers worden geconfronteerd met overheids­verzoeken die ze niet kunnen weigeren of melden.

Module-specifieke kwetsbaarheden

De standaard contractuele clausules van 2021 bevatten vier modules voor verschillende overdrachtsscenario’s: controller naar controller, controller naar processor, processor naar processor en processor naar sub-processor. Relaties met cloudproviders gebruiken doorgaans Module Twee (controller naar processor), waarbij de Britse organisatie optreedt als data controller en de cloudprovider gegevens verwerkt in opdracht van de controller.

Module Twee bevat specifieke bepalingen die processors verplichten passende technische en organisatorische maatregelen te implementeren ter waarborging van gegevensbeveiliging. Deze maatregelen moeten echter niet alleen voldoen aan de contractuele vereisten, maar ook aan de praktische effectiviteitsnorm die Schrems II heeft vastgesteld. Encryptie beheerd door providers voldoet aan de contractuele eis van “encryptie van persoonsgegevens”, maar niet aan de Schrems II-vereiste dat encryptie gegevens onbegrijpelijk maakt voor overheidsinstanties wanneer de provider die de sleutels beheert kan worden gedwongen te ontsleutelen.

De SCC’s verplichten processors ook om controllers te ondersteunen bij verzoeken van betrokkenen, het uitvoeren van data protection impact assessments en het aantonen van naleving van beveiligingsverplichtingen. Wanneer processors encryptiesleutels beheren, behouden ze technisch de mogelijkheid om deze ondersteuning te bieden—maar diezelfde mogelijkheid stelt hen in staat om overheids­instanties te ondersteunen die gegevens­toegang eisen. De architectuur die operationele functionaliteit mogelijk maakt, creëert de kwetsbaarheid die Schrems II als problematisch identificeert.

Aanvullende maatregelen als verplichte toevoeging

EDPB-richtlijnen maken duidelijk dat aanvullende maatregelen geen optionele verbeteringen zijn—ze zijn verplichte vereisten wanneer TIA’s risico’s identificeren die SCC’s alleen niet kunnen oplossen. Voor overdrachten naar de Verenigde Staten creëert de aanwezigheid van FISA 702 en aanverwante surveillanceregels een veronderstelde noodzaak voor aanvullende maatregelen. Organisaties die beweren dat SCC’s alleen voldoende bescherming bieden, moeten aantonen waarom Amerikaanse surveillanceregels geen risico’s opleveren die extra waarborgen vereisen—een lastig argument na Schrems II.

De European Data Protection Supervisor gaat nog verder en stelt dat voor sommige typen overdrachten naar de Verenigde Staten geen enkele aanvullende maatregel voldoende bescherming kan bieden, behalve helemaal niet overdragen. Hoewel dit een restrictievere interpretatie is dan de aanbevelingen van de EDPB, illustreert het de ernst waarmee EU-autoriteiten Amerikaanse surveillancerisico’s na Schrems II beoordelen.

Voor Britse organisaties is de boodschap duidelijk: SCC’s bieden de noodzakelijke juridische basis voor relaties met Amerikaanse cloudproviders, maar de technische architectuur bepaalt of die relaties voldoen aan de Schrems II-vereisten. Contractuele taal over encryptie, beveiligingsmaatregelen en meldingen van overheids­toegang kan cryptografische architectuur die provider-toegang tot platte tekst wiskundig onmogelijk maakt, niet vervangen.

Praktijkscenario’s: VK-EU datastromen onder Schrems II

Brits advocatenkantoor met EU-klanten: bescherming van privilege over de grens

Een advocatenkantoor in Manchester vertegenwoordigt cliënten in heel Europa bij commerciële geschillen, mededingingszaken en regulatoire onderzoeken. Het kantoor gebruikte voorheen Microsoft 365 voor documentbeheer en cliëntcommunicatie, met Azure’s EU-regio’s voor dataresidentie. Toen het kantoor een Duits farmaceutisch bedrijf ging adviseren in een zaak met mogelijk Amerikaanse regulatoire interesse, vroeg de gegevensbeschermingsfunctionaris van de klant zich af of de cloudarchitectuur van het kantoor voldeed aan de Schrems II-vereisten voor aanvullende maatregelen.

De zorg van de gegevensbeschermingsfunctionaris was specifiek: Microsoft, als Amerikaans bedrijf onder FISA 702, kan worden gedwongen Amerikaanse autoriteiten toegang te geven tot cliëntdocumenten die in Azure EU-regio’s zijn opgeslagen. Zelfs met standaard contractuele clausules en de contractuele toezeggingen van Azure over gegevensbescherming, overrulen Amerikaanse surveillanceregels deze contractuele bescherming. Het beroepsgeheim van de cliënt onder Duits recht en EU-Handvestrechten kan worden ondermijnd door Amerikaanse surveillance mogelijk gemaakt door de cloudarchitectuur van het kantoor.

Het advocatenkantoor voerde een transfer impact assessment uit voor zijn Azure-inzet. De beoordeling concludeerde dat de toegang van Microsoft tot encryptiesleutels precies de kwetsbaarheid creëerde die de gegevensbeschermingsfunctionaris van de klant had geïdentificeerd. Hoewel gegevens in EU-regio’s stonden, behield Microsofts Amerikaanse moederbedrijf de technische mogelijkheid om die gegevens te ontsleutelen en te verstrekken onder FISA 702-dwang. De SCC’s van het kantoor met Microsoft boden contractuele bescherming die door Amerikaanse surveillanceregels kon worden overruld.

Het kantoor implementeerde Kiteworks on-premises in zijn Britse datacenter met klantbeheer van encryptiesleutels opgeslagen in hardware security modules onder Britse controle. EU-cliëntgegevens verlaten nooit de Britse infrastructuur, encryptiesleutels blijven exclusief onder controle van het kantoor en geofencing voorkomt authenticatie vanaf Amerikaanse IP-adressen. Toen de gegevensbeschermingsfunctionaris van de Duitse farmaceutische klant de nieuwe architectuur beoordeelde, keurde zij deze goed als voldoende voor de Schrems II-vereisten voor aanvullende maatregelen—de technische architectuur maakte gegevens onbegrijpelijk voor Microsoft, Amerikaanse autoriteiten of wie dan ook zonder de Britse encryptiesleutels van het kantoor.

Britse financiële sector: bescherming van EU-klantgegevens

Een Londense vermogensbeheerder bedient vermogende particulieren en family offices in het VK en de EU. Het bedrijf gebruikte voorheen Salesforce voor klantrelatiebeheer en Google Workspace voor operationele communicatie, in de veronderstelling dat contractuele toezeggingen en certificeringen voldoende bescherming boden voor EU-klantgegevens.

Toen het bedrijf wilde uitbreiden naar de Duitse en Franse markt, uitten compliance-adviseurs van potentiële klanten Schrems II-zorgen. Het opslaan van EU-klantgegevens bij Amerikaanse cloudproviders onder FISA 702 bracht mogelijke blootstelling aan Amerikaanse surveillance met zich mee. Zelfs als die surveillance gericht was op legitieme nationale veiligheidsdreigingen, betekende de bulkverzameling dat EU-klantgegevens incidenteel konden worden verzameld en bewaard—precies het probleem dat het Europese Hof van Justitie onverenigbaar achtte met fundamentele rechten in Schrems II.

De eerste reactie van het bedrijf was het implementeren van standaard contractuele clausules met Salesforce en Google, het uitvoeren van transfer impact assessments en het documenteren dat gegevens in EU-regio’s stonden. De compliance-adviseurs van potentiële klanten wezen er echter op dat deze maatregelen het fundamentele probleem niet oplosten: Amerikaanse moederbedrijven die EU-regio’s beheren, behouden toegang tot encryptiesleutels en kunnen zo gegevens verstrekken onder overheidsdwang. De SCC’s boden contractuele bescherming die door Amerikaanse surveillanceregels kon worden overruld. De TIA’s documenteerden risico’s zonder ze daadwerkelijk op te lossen.

Het bedrijf implementeerde Kiteworks voor klantdata management en gevoelige communicatie, met klantbeheer van encryptie waarbij sleutels worden gegenereerd en opgeslagen in infrastructuur onder Britse controle. EU-klantgegevens stromen via deze soevereine architectuur in plaats van via Amerikaanse cloudsystemen. De transfer impact assessments van het bedrijf documenteren nu technische aanvullende maatregelen die voldoen aan de EDPB-aanbevelingen 01/2020—encryptie die gegevens onbegrijpelijk maakt voor cloudproviders, met cryptografische sleutelcontrole die overheids­toegangsroutes uitsluit die contractuele maatregelen niet kunnen voorkomen.

De architectuur stelde het bedrijf in staat Duitse en Franse klanten te bedienen van wie de gegevensbeschermingsfunctionarissen aantoonbare Schrems II-compliance eisen. Wanneer de VK-adequaatheid periodiek wordt herzien, toont de EU-beschermende architectuur van het bedrijf aan dat Britse organisaties robuuste gegevensbescherming voor EU-persoonsgegevens kunnen behouden, wat argumenten voor het behoud van adequaatheid ondersteunt.

Britse zorgverlener: grensoverschrijdende onderzoeks­samenwerking

Een Britse NHS-trust neemt deel aan multinationaal klinisch onderzoek waarbij patiëntgegevens worden gedeeld met Duitse en Zweedse onderzoeksinstellingen. De samenwerking gebruikte voorheen Microsoft Teams en SharePoint voor onderzoeksdatabeheer, met Microsofts EU-regio’s en standaard contractuele clausules voor juridische compliance. Toen de gegevensbeschermingsfunctionaris van de Duitse onderzoeksinstelling een Schrems II-beoordeling uitvoerde van internationale samenwerkingen, riep de cloudarchitectuur van de Britse trust zorgen op.

Het onderzoek betreft gezondheidsgegevens die beschermd zijn onder UK GDPR artikel 9 en de speciale categorie gegevens van de EU GDPR. De gegevensbeschermingsfunctionaris van de Duitse instelling stelde vast dat de controle van Microsofts Amerikaanse moederbedrijf en toegang tot encryptiesleutels risico’s creëerden die SCC’s alleen niet konden adresseren. Als Amerikaanse autoriteiten FISA 702-bevelen aan Microsoft uitvaardigen voor gegevens over onderzoeksdeelnemers die mogelijk relevant zijn voor nationale veiligheid—hoe marginaal ook—zou Microsoft wettelijk verplicht zijn toegang te geven tot EU-gezondheidsgegevens in zijn systemen.

De ethische commissie van de Duitse instelling, geadviseerd door de gegevensbeschermingsfunctionaris, concludeerde dat deelname aan onderzoek met gebruik van Amerikaanse cloudinfrastructuur risico’s creëerde die onverenigbaar zijn met de fundamentele rechten van onderzoeksdeelnemers volgens Schrems II. Ofwel moest de samenwerking adequate aanvullende technische maatregelen implementeren, ofwel zou de Duitse instelling zich terugtrekken uit het onderzoeksprogramma.

De NHS-trust evalueerde opties voor aanvullende maatregelen. Alleen pseudonimisering was onvoldoende omdat onderzoeksnut koppeling met individuele deelnemers vereiste. Encryptie in rust met Microsofts sleutelbeheer schoot tekort omdat Microsoft de mogelijkheid tot ontsleuteling behield onder overheidsdwang. Organisatorische maatregelen—contractuele audits, transparantieverplichtingen—konden Amerikaanse wettelijke autoriteiten die contractuele bescherming overrulen, niet ondervangen.

De trust implementeerde Kiteworks voor onderzoeksdatabeheer met klantbeheer van encryptiesleutels die exclusief in infrastructuur onder NHS-controle worden opgeslagen. Onderzoeksgegevens van EU-instellingen stromen via Britse soevereine architectuur waar noch Amerikaanse cloudproviders noch Amerikaanse autoriteiten toegang hebben tot platte tekst. De gegevensbeschermingsfunctionaris van de Duitse instelling keurde de architectuur goed als voldoende voor de Schrems II-vereisten voor aanvullende maatregelen, waardoor de onderzoeks­samenwerking kon doorgaan.

Brits technologiebedrijf: SaaS-platform voor EU-klanten

Een Brits softwarebedrijf biedt een SaaS-platform voor HR-management aan klanten in heel Europa. Het platform draaide voorheen op AWS-infrastructuur in EU-regio’s, waarbij het bedrijf zich positioneerde als Europees alternatief voor Amerikaanse concurrenten. Toen klanten Schrems II-compliance-documentatie begonnen te vragen, ontdekte het bedrijf dat zijn AWS-architectuur precies de kwetsbaarheden creëerde die klanten wilden vermijden.

De gegevensbeschermingsfunctionarissen van EU-klanten stelden vast dat AWS, als Amerikaans bedrijf onder FISA 702, toegang tot encryptiesleutels behield en zo overheidsdwang tot gegevensverstrekking mogelijk maakte, ongeacht dataresidentie in EU-regio’s. De standaard contractuele clausules van het Britse bedrijf met klanten bevatten toezeggingen om gegevens te beschermen tegen ongeautoriseerde toegang—maar hoe konden die toezeggingen worden nagekomen als de infrastructuurprovider van het bedrijf Amerikaanse autoriteiten toegang kon geven tot klantgegevens?

De positie van het bedrijf als Europees alternatief voor Amerikaanse concurrenten was afhankelijk van daadwerkelijke bescherming van EU-klantgegevens tegen Amerikaanse surveillance. De AWS-infrastructuur betekende echter dat klantgegevens net zo kwetsbaar waren voor FISA 702 als wanneer ze direct door Amerikaanse concurrenten werden gehost. De marketingboodschap over Europese gegevensbescherming werd niet ondersteund door een technische architectuur die Amerikaanse overheids­toegang daadwerkelijk voorkwam.

Het bedrijf herstructureerde zijn platforminzet, verhuisde naar Britse soevereine cloudinfrastructuur met klantbeheer van encryptiesleutels. EU-klantgegevens worden versleuteld met sleutels die volledig buiten AWS-controle worden gegenereerd, beheerd en opgeslagen. Het bedrijf kan nu aantonen aan de gegevensbeschermingsfunctionarissen van klanten dat de architectuur voldoet aan de Schrems II-vereisten voor aanvullende maatregelen—gegevens op het platform blijven onbegrijpelijk voor Amerikaanse cloudproviders en Amerikaanse autoriteiten, waardoor de Europese gegevensbeschermingsbeloften van het bedrijf technisch verifieerbaar zijn in plaats van alleen contractueel vastgelegd.

Vergelijking: Kiteworks versus Amerikaanse hyperscale cloudproviders

Schrems II-dimensie Kiteworks Amerikaanse hyperscale cloudproviders
Encryptiesleutelbeheer Klantbeheer van sleutels zonder toegang voor Kiteworks; sleutels nooit in providerinfrastructuur Provider-beheerde KMS met provider-toegang tot sleutels; klantbeheer van sleutels behoudt vaak provider-herstelmogelijkheid
FISA 702-blootstelling Geen blootstelling bij inzet on-premises of Britse soevereine cloud; Kiteworks kan niet worden gedwongen onder FISA 702 Amerikaanse moederbedrijven onderhevig aan FISA 702-dwang, ongeacht locatie van gegevensopslag of regionale inzet
Begrijpelijkheid voor overheid Gegevens blijven onbegrijpelijk voor Amerikaanse autoriteiten; versleutelde ciphertext nutteloos zonder klantbeheer van sleutels Gegevens begrijpelijk voor Amerikaanse autoriteiten via provider-toegang tot sleutels; overheidsdwang levert platte tekst op
SCC-compliance Technische architectuur ondersteunt SCC-verplichtingen; geen conflict tussen contractuele verplichtingen en Amerikaanse wetgeving Contractuele SCC-verplichtingen conflicteren met Amerikaanse nationale veiligheidswetten die gegevensverstrekking afdwingen
Aanvullende maatregelen Klantbeheer van encryptie voldoet aan EDPB-aanbeveling 01/2020 voor technische maatregelen Provider-beheerde encryptie voldoet niet aan EDPB-norm van onbegrijpelijkheid; aanvullende maatregelen onvoldoende
Transfer Impact Assessment TIA’s kunnen effectieve technische waarborgen documenteren die Amerikaanse surveillance voorkomen TIA’s moeten niet-beperkte risico’s identificeren door provider-toegang tot sleutels en toepassing van Amerikaanse surveillanceregels
Bescherming VK-EU datastroom Architectuur beschermt EU-persoonsgegevens tegen Amerikaanse surveillance en ondersteunt behoud van VK-adequaatheid Architectuur maakt Amerikaanse surveillance van EU-gegevens via Britse systemen mogelijk, wat adequaatheid bedreigt
Geheimhoudingsbevelen Niet van toepassing; provider heeft geen toegang tot gegevens die overheid kan afdwingen Onderhevig aan national security letters en FISA-geheimhoudingsbepalingen die klantmelding verhinderen
Juridische bescherming Rechten van EU-betrokkenen niet aangetast door Amerikaanse surveillanceregels waar Kiteworks niet onder valt EU-betrokkenen hebben geen effectieve bescherming tegen FISA 702-surveillance—de kernbevinding van Schrems II
Last van verdere overdracht Britse organisaties die EU-gegevens ontvangen kunnen adequate waarborgen implementeren voor verdere overdrachten Britse organisaties creëren problemen met verdere overdracht voor EU-databronnen bij gebruik van ontoereikende Amerikaanse cloudarchitectuur

Conclusie: technische architectuur bepaalt Schrems II-compliance

Schrems II heeft internationale compliance voor dataoverdracht fundamenteel veranderd door te stellen dat contractuele bescherming alleen overheids­surveillance in bestemmingslanden niet kan ondervangen. Voor Britse organisaties die datastromen tussen het VK en de EU beheren en Amerikaanse cloudproviders gebruiken, creëert deze uitspraak juridische, operationele en strategische verplichtingen die niet met contractuele taal kunnen worden ingevuld.

Het Europese Hof van Justitie heeft niet geoordeeld dat overdrachten naar de Verenigde Staten onmogelijk zijn—wel dat dergelijke overdrachten aanvullende maatregelen vereisen die gegevens onbegrijpelijk maken voor Amerikaanse overheidsinstanties. Aan deze technische eis kan niet worden voldaan met contractuele toezeggingen, compliance-certificeringen of organisatorische maatregelen die door surveillanceregels kunnen worden overruld. Het vereist een cryptografische architectuur waarbij cloudproviders nooit de encryptiesleutels bezitten die nodig zijn om gegevens begrijpelijk te maken, zelfs niet onder juridische dwang.

De adequaatheid van het VK door de Europese Commissie biedt gestroomlijnde mechanismen voor VK-EU datastromen, maar deze bevoorrechte status is kwetsbaar als Britse organisaties Amerikaanse surveillance van EU-persoonsgegevens mogelijk maken via ontoereikende cloudarchitectuur. Privacyvoorvechters hebben het EU-VS Privacy Shield succesvol aangevochten met Schrems II-argumentatie; ze kunnen dezelfde argumenten inzetten tegen VK-adequaatheid als Britse bedrijven massaal technische architecturen toepassen die precies de surveillance faciliteren die Schrems II onverenigbaar achtte met EU-fundamentele rechten.

Voor Britse organisaties ligt de weg vooruit in technische architectuur in plaats van contractueel optimisme. Klantbeheer van encryptiesleutels dat provider-toegang uitsluit, voldoet aan de EDPB-vereisten voor aanvullende maatregelen door wiskundige garanties te creëren die overheidsdwang niet kan doorbreken. Soevereine inzetopties waarbij EU-persoonsgegevens op Britse infrastructuur blijven, lossen problemen met verdere overdracht volledig op. Deze architecturale benaderingen adresseren niet alleen compliance-verplichtingen—ze behouden het adequaatheidskader dat efficiënte VK-EU data-uitwisseling mogelijk maakt waar alle Britse bedrijven in de Europese markt van profiteren.

Schrems II-compliance bereik je niet met documentatie—maar met architectuur. Britse organisaties die dit onderscheid erkennen, kunnen cloudinfrastructuur bouwen die EU-persoonsgegevens daadwerkelijk beschermt en operationele efficiëntie behoudt. Wie vertrouwt op contractuele beloften van Amerikaanse providers die sleuteltoegang behouden, creëert risico’s voor zichzelf, hun EU-partners en uiteindelijk voor de VK-adequaatheid zelf.

Hoe Kiteworks Schrems II-compliance mogelijk maakt voor Britse organisaties

Kiteworks voldoet aan de Schrems II-vereisten voor aanvullende maatregelen door architectuur die aansluit bij de EDPB-aanbevelingen 01/2020. Klantbezit van encryptiesleutels zonder toegang voor de leverancier zorgt ervoor dat gegevens onbegrijpelijk blijven voor Amerikaanse autoriteiten, zelfs onder FISA 702-dwang. FIPS 140-3 Level 1 gevalideerde encryptie-algoritmen in combinatie met S/MIME, OpenPGP en TLS 1.3 beschermen gegevens gedurende de hele levenscyclus, terwijl cryptografische sleutelcontrole overheids­toegang wiskundig onmogelijk maakt, ongeacht juridische eisen.

Flexibele, veilige inzetopties—on-premises, Britse soevereine cloud of air-gapped omgevingen—elimineren blootstelling aan Amerikaanse rechtsbevoegdheid volledig. Bij inzet buiten Amerikaanse infrastructuur kan Kiteworks niet worden gedwongen onder FISA 702, national security letters of andere extraterritoriale surveillanceregels. Granulaire geofencing handhaaft toegangsbeperkingen die authenticatie vanaf Amerikaanse IP-adressen voorkomen, terwijl jurisdictiecontroles waarborgen dat alleen geautoriseerd Brits of EU-personeel toegang heeft tot EU-persoonsgegevens.

Het Private Data Network van Kiteworks breidt Schrems II-compliance uit over alle communicatiekanalen voor content: beveiligde e-mail, beveiligde bestandsoverdracht, beveiligde MFT
beveiligde webformulieren, SFTP en andere. Uitgebreide audit logs documenteren alle gegevens­toegang, ondersteunen transfer impact assessments en tonen de effectiviteit van aanvullende maatregelen aan. Integratie met SIEM-oplossingen biedt realtime monitoring van het omgaan met EU-persoonsgegevens.

Kiteworks stelt Britse organisaties in staat te voldoen aan zowel de vereisten van standaard contractuele clausules als de technische aanvullende maatregelen van de EDPB, waardoor VK-EU datastromen worden beschermd en het behoud van VK-adequaatheid wordt ondersteund via aantoonbare technische waarborgen die Amerikaanse surveillance van EU-persoonsgegevens voorkomen.

Meer weten over het beschermen van EU-persoonsgegevens in overeenstemming met de GDPR
en andere vereisten voor naleving van regelgeving? Plan vandaag nog een aangepaste demo.

Veelgestelde vragen

Schrems II maakte het EU-VS Privacy Shield ongeldig op 16 juli 2020 omdat het Europese Hof van Justitie oordeelde dat Amerikaanse surveillanceregels—met name FISA 702 en Executive Order 12333—overheids­toegang tot EU-persoonsgegevens mogelijk maken zonder voldoende waarborgen voor de fundamentele rechten van betrokkenen. De uitspraak is relevant voor Britse organisaties omdat zij aan dezelfde compliance-vereisten moeten voldoen bij overdracht van EU-persoonsgegevens aan Amerikaanse cloudproviders. Standaard contractuele clausules (SCC’s) blijven geldig, maar vereisen aanvullende technische maatregelen die gegevens onbegrijpelijk maken voor Amerikaanse autoriteiten. De meeste Britse organisaties die Amerikaanse cloudproviders gebruiken met sleuteltoegang voldoen niet aan deze eis, wat juridische risico’s en bedreiging van de legitimiteit van VK-EU datastromen oplevert.

Standaard contractuele clausules (SCC’s) zijn bilaterale contracten tussen data-exporteurs en -importeurs met specifieke verplichtingen voor gegevensbescherming, terwijl het EU-VS Privacy Shield een kaderbesluit voor adequaatheid was dat onbelemmerde overdracht naar gecertificeerde Amerikaanse organisaties mogelijk maakte. Schrems II handhaafde SCC’s als geldige juridische mechanismen, maar stelde dat contractuele bescherming alleen nationale wetgeving die overheids­surveillance mogelijk maakt en onverenigbaar is met EU-fundamentele rechten, niet kan ondervangen. Amerikaanse nationale veiligheidswetten overrulen contractuele toezeggingen, waardoor SCC-bepalingen over overheids­toegang en juridische bescherming praktisch onuitvoerbaar zijn. Aanvullende technische maatregelen—met name encryptie met klantbeheer van sleutels die provider-toegang uitsluit—worden verplicht om gegevens onbegrijpelijk te maken voor autoriteiten die contractuele clausules niet kunnen verhinderen toegang te eisen.

EDPB-aanbevelingen 01/2020 bieden gedetailleerde richtlijnen voor aanvullende maatregelen bij internationale gegevensoverdrachten waarbij standaard contractuele clausules (SCC’s) alleen onvoldoende bescherming bieden. De aanbevelingen stellen dat technische maatregelen gegevens “onbegrijpelijk” moeten maken voor iedereen zonder autorisatie, inclusief overheidsinstanties in het bestemmingsland. Voor overdrachten naar de VS met cloudproviders vereist de EDPB encryptie waarbij data-exporteurs de sleutels beheren en importeurs geen toegang hebben tot platte tekst. Encryptie beheerd door providers waarbij cloudleveranciers sleuteltoegang behouden voldoet niet aan deze eis omdat Amerikaanse autoriteiten providers kunnen dwingen gegevens te ontsleutelen. De aanbevelingen zijn bindende richtlijnen van EU-gegevensbeschermingsautoriteiten over wat Schrems II-compliance in de praktijk vereist.

TIA-proces: Transfer impact assessments moeten de praktische effectiviteit van waarborgen beoordelen, niet alleen contractuele taal. Belangrijke vragen: Heeft uw cloudprovider toegang tot encryptiesleutels? Kunnen Amerikaanse autoriteiten ontsleuteling afdwingen? Voorkomen geheimhoudingswetten klantmelding? Klantbeheer van encryptie adresseert deze risico’s; providerbeheer van sleutels niet.

Transfer impact assessments moeten de praktische effectiviteit van waarborgen beoordelen, niet alleen hun theoretisch ontwerp of contractuele taal. Britse organisaties moeten beoordelen of hun cloudprovider toegang tot encryptiesleutels heeft die Amerikaanse autoriteiten kunnen afdwingen voor ontsleuteling. TIA’s moeten beoordelen of contractuele toezeggingen daadwerkelijk kunnen worden nagekomen wanneer Amerikaanse surveillanceregels contractuele verplichtingen overrulen. Beoordelingen moeten nagaan of geheimhoudingsbepalingen in nationale veiligheidswetten providers verhinderen klanten te informeren over overheids­toegang tot gegevens. Tot slot moeten TIA’s documenteren welke aanvullende technische maatregelen geïmplementeerd zijn—klantbeheer van encryptie zonder provider-toegang voldoet aan de EDPB-vereisten, terwijl organisatorische maatregelen zoals auditrechten of transparantieverplichtingen overheids­toegang die contractuele bescherming niet kan voorkomen, niet kunnen ondervangen.

Ja—adequaatheidsrisico: VK-adequaatheid kan worden aangevochten als privacyvoorvechters aantonen dat Britse organisaties Amerikaanse surveillance van EU-persoonsgegevens mogelijk maken via ontoereikende cloudarchitecturen. Dezelfde Schrems II-argumentatie die het EU-VS Privacy Shield ongeldig maakte, geldt wanneer Britse bedrijven Amerikaanse surveillance faciliteren die het Europese Hof onverenigbaar achtte met fundamentele rechten.

VK-adequaatheid loopt het risico te worden aangevochten als privacyvoorvechters aantonen dat EU-persoonsgegevens die aan het VK zijn overgedragen, vervolgens terechtkomen bij Amerikaanse cloudproviders die surveillance mogelijk maken die Schrems II onverenigbaar achtte met fundamentele rechten. De adequaatheidsbeslissing gaat ervan uit dat UK GDPR en Data Protection Act 2018 in wezen gelijkwaardige bescherming bieden als de EU-normen, maar grootschalige adoptie van Amerikaanse cloudarchitecturen door Britse organisaties die Amerikaanse surveillance faciliteren, ondermijnt deze bescherming in de praktijk. Privacyvoorvechters hebben het EU-VS Privacy Shield succesvol aangevochten door ontoereikende waarborgen tegen Amerikaanse surveillance aan te tonen; ze kunnen vergelijkbare argumenten inzetten tegen VK-adequaatheid als Britse organisaties precies de surveillance mogelijk maken die Schrems II heeft afgewezen. Behoud van VK-adequaatheid vereist aantonen dat EU-persoonsgegevens daadwerkelijk beschermd blijven tegen Amerikaanse overheids­toegang, waardoor technische architectuurkeuzes van Britse bedrijven collectief belangrijk zijn voor het behoud van adequaatheidsvoordelen.

Implementatiestappen: 1) Beoordeel of uw cloudprovider toegang tot encryptiesleutels heeft. 2) Implementeer klantbeheer van encryptie met sleutels buiten de providerinfrastructuur. 3) Overweeg soevereine inzet (on-premises of Britse private cloud) voor EU-persoonsgegevens. 4) Documenteer technische maatregelen in transfer impact assessments. 5) Implementeer geofencing die toegang tot EU-gegevens vanuit Amerikaanse rechtsbevoegdheid voorkomt.

Effectieve aanvullende maatregelen vereisen technische architectuurwijzigingen, niet alleen documentatieverbeteringen. Britse organisaties moeten beoordelen of hun cloudproviders toegang tot encryptiesleutels behouden en, zo ja, klantbeheer van encryptie implementeren waarbij sleutels volledig buiten de providerinfrastructuur worden gegenereerd, opgeslagen en beheerd. Organisaties moeten soevereine inzetopties overwegen—on-premises of Britse private cloud—die blootstelling aan Amerikaanse rechtsbevoegdheid voor EU-persoonsgegevens volledig elimineren. Transfer impact assessments moeten de effectiviteit van deze technische waarborgen documenteren bij het onbegrijpelijk maken van gegevens voor Amerikaanse autoriteiten, in overeenstemming met de EDPB-aanbevelingen 01/2020. Tot slot moeten organisaties geofencing en toegangscontroles implementeren die waarborgen dat EU-persoonsgegevens niet toegankelijk zijn vanuit Amerikaanse rechtsgebieden, waardoor zowel operationele toegang als overheids­surveillance vanuit Amerikaans grondgebied wordt voorkomen. Deze technische maatregelen bieden de aanvullende bescherming die Schrems II vereist en die contractuele clausules alleen niet kunnen leveren.

Aanvullende bronnen

 

  • Blog Post  
    Datasoevereiniteit: een best practice of wettelijke vereiste?
  • eBook  
    Datasoevereiniteit en GDPR
  • Blog Post  
    Voorkom deze valkuilen bij datasoevereiniteit
  • Blog Post  
    Datasoevereiniteit beste practices
  • Blog Post  
    Datasoevereiniteit en GDPR [Inzicht in gegevensbeveiliging]

    •  

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks