Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Executive Order 14117: Bescherming van gevoelige gegevens van Amerikanen tegen landen van zorg (Test)

Executive Order 14117: Bescherming van gevoelige gegevens van Amerikanen tegen landen van zorg (Test)

by Danielle Barbour updated september 3, 2025 Risico van derden
Reading Time: 5 minutes

Executive Order 14117, ondertekend op 28 februari 2024, breidt de nationale noodtoestand uit die is afgekondigd in Executive Order 13873 om de “ongebruikelijke en buitengewone dreiging” aan te pakken die wordt gevormd door landen van zorg die toegang krijgen tot gevoelige persoonlijke gegevens van Amerikanen. Het besluit vermeldt specifiek dat “toegang tot grote hoeveelheden gevoelige persoonlijke gegevens van Amerikanen of gegevens die verband houden met de Amerikaanse overheid de mogelijkheid vergroot voor landen van zorg om een breed scala aan kwaadaardige activiteiten uit te voeren”, waaronder het gebruik van kunstmatige intelligentie om “grote hoeveelheden gevoelige persoonlijke gegevens te analyseren en manipuleren om zich bezig te houden met spionage, beïnvloeding, kinetische of cyberoperaties.” Dit besluit weerspiegelt de groeiende erkenning dat gevoelige gegevens een strategische hulpbron zijn geworden voor vijandige naties, die deze kunnen misbruiken om kwetsbaarheden te identificeren, spionage te plegen en AI-systemen te verfijnen die de nationale veiligheid van de VS verder kunnen ondermijnen.

De uitvoeringsvoorschriften van het Department of Justice in 28 CFR Part 202 creëren een kader dat bepaalde datatransacties met landen van zorg verbiedt of beperkt, terwijl het “open, mondiale, interoperabele, betrouwbare en veilige gegevensstromen over grenzen heen” ondersteunt. In plaats van algemene vereisten voor datalokalisatie op te leggen, hanteren de voorschriften een gerichte aanpak om veiligheid en economische belangen in balans te brengen. Zoals vermeld in § 202.101, “verbiedt of beperkt de regel Amerikaanse personen om deel te nemen aan bepaalde transacties waarbij overheidsgerelateerde gegevens of grote hoeveelheden gevoelige persoonlijke gegevens van de VS betrokken zijn met bepaalde landen van zorg of betrokken personen.” Deze aanpak is bedoeld om risico’s voor de nationale veiligheid aan te pakken en tegelijkertijd verstoring van legitieme commerciële, wetenschappelijke en handelsactiviteiten tot een minimum te beperken.

Beschermde gegevenscategorieën en drempels

De voorschriften identificeren zes categorieën gevoelige persoonlijke gegevens die bescherming vereisen onder § 202.249: gedekte persoonlijke identificatoren, nauwkeurige geolocatiegegevens, biometrische identificatoren, menselijke ‘omische gegevens, persoonlijke gezondheidsgegevens en persoonlijke financiële gegevens. Elke categorie heeft gedefinieerde “bulk”-drempels in § 202.205 die bepalen wanneer gegevensverzamelingen onder toezicht van de regelgeving vallen. Zo is de drempel voor menselijke genomische gegevens vastgesteld op 100 Amerikaanse personen, terwijl persoonlijke financiële gegevens een hogere drempel hebben van 10.000 Amerikaanse personen. Deze drempels zijn ontworpen om gegevensverzamelingen te identificeren die groot genoeg zijn om aanzienlijke risico’s voor de nationale veiligheid te vormen als ze toegankelijk zijn voor landen van zorg. Belangrijk is dat § 202.206 specificeert dat grote hoeveelheden gevoelige persoonlijke gegevens van de VS verzamelingen omvatten “in elk formaat, ongeacht of de gegevens geanonimiseerd, gepseudonimiseerd, gedeïdentificeerd of versleuteld zijn”, waarmee wordt erkend dat geavanceerde technologieën de-identificatiemaatregelen vaak kunnen omzeilen.

Neem de controle over uw gegevens terug met Risicobeheer voor verkopers

Lees nu

Landen van zorg en betrokken personen

Sectie 202.601 identificeert zes “landen van zorg” die zich schuldig hebben gemaakt aan gedrag dat nadelig is voor de nationale veiligheid van de VS en een aanzienlijk risico vormen op het misbruiken van gevoelige gegevens: de Volksrepubliek China (inclusief Hongkong en Macau), Rusland, Iran, Noord-Korea, Cuba en Venezuela. De voorschriften definiëren “betrokken personen” in § 202.211 als entiteiten of individuen die onderworpen zijn aan het eigendom, de rechtsbevoegdheid of controle van deze landen. Dit omvat buitenlandse entiteiten die voor 50% of meer eigendom zijn van een land van zorg, georganiseerd zijn onder de wetten van een land van zorg, of hun hoofdkantoor hebben in een land van zorg. Het omvat ook individuen die voornamelijk in deze landen wonen of werken voor hun overheden of entiteiten van betrokken personen. De regel merkt uitdrukkelijk op dat de definitie van betrokken persoon niet is gebaseerd op nationaliteit, ras of etniciteit, maar op het risico om door een land van zorg te worden ingezet.

Verboden en beperkte transacties

Het regelgevend kader in Subdelen C en D stelt twee categorieën gereguleerde transacties vast. Sectie 202.301 verbiedt “data-brokerage”-transacties met landen van zorg of betrokken personen, gedefinieerd in § 202.214 als “de verkoop van gegevens, licentiëring van toegang tot gegevens, of soortgelijke commerciële transacties waarbij overdracht van gegevens plaatsvindt.” Sectie 202.303 verbiedt transacties met betrekking tot menselijke ‘omische gegevens of biospecimens met landen van zorg. Sectie 202.302 vereist dat Amerikaanse personen die zich bezighouden met data-brokerage met niet-betrokken buitenlandse personen contractueel verdere doorgifte naar landen van zorg beperken. Deze verboden zijn gericht op de transacties met het hoogste risico die directe toegang tot gevoelige persoonlijke gegevens van de VS mogelijk kunnen maken.

Sectie 202.401 staat bepaalde anderszins verboden “beperkte transacties” toe als de Amerikaanse persoon voldoet aan beveiligingsvereisten die zijn ontwikkeld door CISA en zijn opgenomen door verwijzing in § 202.248. Deze beperkte transacties omvatten leveranciersovereenkomsten (§ 202.258), arbeidsovereenkomsten (§ 202.217) en investeringsovereenkomsten (§ 202.228) met landen van zorg of betrokken personen die toegang zouden geven tot overheidsgerelateerde gegevens of grote hoeveelheden gevoelige persoonlijke gegevens. De beveiligingsvereisten omvatten organisatorische controles (processen voor risicobeoordeling), systeemniveaucontroles (toegangsbeheer) en dataniveaucontroles (encryptie, minimalisatie en maskering). Deze aanpak maakt het mogelijk dat economisch waardevolle transacties doorgaan met passende waarborgen tegen ongeautoriseerde toegang tot gegevens.

Uitzonderingen om legitieme activiteiten te waarborgen

Subdeel E stelt verschillende belangrijke uitzonderingen vast om ervoor te zorgen dat legitieme activiteiten kunnen doorgaan. Sectie 202.502 sluit transacties uit die betrekking hebben op “informatie of informatiematerialen” om expressieve inhoud te beschermen. Sectie 202.504 sluit officiële zaken van de Amerikaanse overheid uit, inclusief door de federale overheid gefinancierd onderzoek. Sectie 202.505 sluit transacties in de financiële sector uit, inclusief e-commerce. Sectie 202.506 sluit interne administratieve bedrijfsactiviteiten uit. Sectie 202.510 sluit datatransacties uit die nodig zijn voor goedkeuringen van geneesmiddelen en medische hulpmiddelen, terwijl § 202.511 klinische onderzoeken uitsluit. Deze zorgvuldig afgewogen uitzonderingen weerspiegelen de focus van de regel op het aanpakken van risico’s voor de nationale veiligheid, terwijl verstoring van legitieme activiteiten tot een minimum wordt beperkt.

Nalevingsvereisten en administratie

Voor gereguleerde entiteiten stellen Subdelen J en K uitgebreide nalevingsvereisten vast. Sectie 202.1001 vereist dat Amerikaanse personen die zich bezighouden met beperkte transacties risicogebaseerde zorgvuldigheid uitvoeren bij de partijen in de transactie. Sectie 202.1002 verplicht tot jaarlijkse onafhankelijke audits om naleving van de beveiligingsvereisten te verifiëren. Sectie 202.1101 vereist het bijhouden van gedetailleerde administratie gedurende ten minste 10 jaar, inclusief documentatie van nalevingsprogramma’s, beveiligingsmaatregelen en zorgvuldigheidsinspanningen. Sectie 202.1104 vereist dat Amerikaanse personen afgewezen verboden transacties binnen 14 dagen melden. Deze vereisten creëren verantwoording en genereren informatie ter ondersteuning van handhavingsinspanningen.

Handhaving, vergunningen en implementatietijdlijn

Het Department of Justice heeft brede handhavingsbevoegdheid onder de regel, met mogelijke civiele en strafrechtelijke sancties onder de International Emergency Economic Powers Act. Sectie 202.701 machtigt het Department om extra betrokken personen aan te wijzen op basis van hun relatie met landen van zorg. Subdeel H creëert processen voor het uitgeven van algemene en specifieke vergunningen om anderszins verboden transacties toe te staan. De voorschriften treden in werking op 8 april 2025, waarbij sommige nalevingsvereisten worden uitgesteld tot 6 oktober 2025 om organisaties voldoende tijd te geven om nalevingsprogramma’s te ontwikkelen en tegelijkertijd urgente risico’s voor de nationale veiligheid aan te pakken.

Risicogebaseerde nalevingsaanpak

De regel benadrukt een risicogebaseerde aanpak van naleving die is afgestemd op de omstandigheden van elke organisatie. Zoals vermeld in de toelichting bij de regel, “verwacht het Department dat Amerikaanse personen nalevingsprogramma’s ontwikkelen die passen bij hun eigen geïndividualiseerd risicoprofiel,” dat varieert op basis van “omvang en complexiteit, producten en diensten, klanten en tegenpartijen, en geografische locaties.” Deze aanpak omvat het uitvoeren van gegevensinventarisaties, het implementeren van screeningsprocedures, het evalueren van transacties, het ontwikkelen van beleid en het bijhouden van documentatie. De regel stelt organisaties in staat om bestaande privacy-, cyberbeveiligings- en exportcontrolekaders te benutten in plaats van volledig nieuwe systemen te creëren.

Recente incidenten onderstrepen de urgentie

De regel is een reactie op steeds urgentere bedreigingen die zijn gedocumenteerd in recente onderzoeken. De toelichting verwijst naar een WIRED-onderzoek uit november 2024 dat gebruikmaakte van commercieel beschikbare advertentie- en locatiegegevens om Amerikaanse militairen te volgen op gevoelige locaties, waaronder locaties waar kernwapens worden opgeslagen. Dit onderzoek toonde aan hoe dergelijke gegevens kunnen worden gebruikt om “individuen met toegang tot gevoelige gebieden te identificeren; te achterhalen wanneer Amerikaanse kernwapens het minst worden bewaakt; of belastende informatie te gebruiken voor chantage.” Een ander genoemd voorbeeld liet zien hoe commercieel beschikbare gegevens de bewegingen van Amerikaanse functionarissen en hun beveiliging konden volgen via fitnessapps. Deze praktijkvoorbeelden tonen de concrete risico’s voor de nationale veiligheid aan die met de regel worden aangepakt.

Vergelijking met andere regimes voor gegevensbescherming

In tegenstelling tot de aanpak van sommige andere landen verbiedt de Amerikaanse regel niet in brede zin grensoverschrijdende gegevensoverdrachten en legt deze geen vereisten voor datalokalisatie op. Zoals § 202.101(b) stelt, “stelt de regel geen algemene vereisten voor datalokalisatie vast.” Deze gerichte aanpak verschilt van het regime van China, dat gegevensuitvoer breed beperkt en een overheidsbeoordeling vereist voor veel grensoverschrijdende overdrachten. Het verschilt ook van de GDPR van de EU, die zich primair richt op individuele privacy in plaats van nationale veiligheid. De focus van de regel op specifieke transacties met hoog risico weerspiegelt de Amerikaanse inzet voor het behouden van mondiale gegevensstromen en het aanpakken van gerichte beveiligingszorgen.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks