Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > De 3 nieuwe regels voor datasoevereiniteit: locatie, locatie, locatie
De 3 nieuwe regels voor datasoevereiniteit: locatie, locatie, locatie

De 3 nieuwe regels voor datasoevereiniteit: locatie, locatie, locatie

by Bob Ertl updated december 7, 2022 Veilige bestandsdeling
Reading Time: 6 minutes

Vastgoed is niet het enige type bedrijf waarbij locatie belangrijk is. Sinds Edward Snowden onthulde hoe ver de Amerikaanse overheid ging in het bespioneren van privéburgers, zijn datalokalisatie en datasoevereiniteit een hot topic binnen databeveiliging en IT-management, vooral voor internationale bedrijven.

Het vermogen om klantgegevens te lokaliseren en te scheiden is nu van groot belang voor Amerikaanse bedrijven door recente ontwikkelingen in wetgeving rondom privacy en datasoevereiniteit, met name in de Europese Unie (EU), Rusland en Canada. Burgers in deze landen willen dat hun persoonlijke gegevens privé blijven en beschermd zijn tegen ongeoorloofde verzameling. Hun overheden erkennen het recht op privacy van hun burgers en erkennen ook het recht op datasoevereiniteit—het recht van landen om data binnen hun grenzen te houden. In sommige gevallen voeren overheden nieuwe wetten in die datalokalisatie vereisen.

Wet bescherming persoonsgegevens, datasoevereiniteit, datalokalisatie – voor elke internationale organisatie met consumentengegevens is het belangrijk om deze concepten en de vereiste die ze stellen aan IT-investeringen en operaties te begrijpen. Hier volgt een korte uitleg van deze termen en waarom ze belangrijk zijn.

Wat is datasoevereiniteit?

Datasoevereiniteit is het concept dat gegevens die toebehoren aan een individu of organisatie onderworpen zijn aan de wetten van de geografische regio waarin de gegevens worden verzameld, opgeslagen of gedeeld. Het is een fundamenteel concept binnen wereldwijde privacyregulering, aangezien verschillende landen verschillende wetten en regels hebben voor het omgaan met persoonlijke gegevens. Elke organisatie die internationaal opereert, moet voldoen aan diverse regionale en nationale regelgeving om de gegevens en privacy van individuen te beschermen.

Bedrijven profiteren van datasoevereiniteit doordat ze controle houden over de gegevens die ze verzamelen en opslaan. Door de wettelijke vereiste van diverse rechtsbevoegdheden te begrijpen en te beheren, kunnen ze ervoor zorgen dat de data compliant en veilig is. Daarnaast kunnen bedrijven waarborgen dat gegevens alleen worden gebruikt voor het beoogde doel en niet buiten de organisatie worden gedeeld zonder expliciete toestemming van de betrokkene. Dit helpt bedrijven beschermen tegen datalekken of misbruik en vergroot het vertrouwen in hun merk.

Datasoevereiniteit is een essentieel instrument voor het waarborgen van gegevensveiligheid en compliance. Daarom moeten bedrijven zich bewust zijn van hun privacyverplichtingen en ervoor zorgen dat hun toepassing van datasoevereiniteit in lijn is met de relevante regelgeving. Bedrijven die geen datasoevereiniteit toepassen, kunnen ernstige financiële, juridische en reputatieschade oplopen. Slecht data management kan bijvoorbeeld leiden tot hoge boetes van toezichthouders, juridische stappen van betrokkenen en een afname van het consumentenvertrouwen en loyaliteit. Datalekken en misbruik kunnen ook leiden tot rechtszaken en kostbare reputatieschade, wat het succes en de winstgevendheid van een bedrijf aanzienlijk kan beïnvloeden.

Wet bescherming persoonsgegevens vs. datasoevereiniteit vs. datalokalisatie

Wet bescherming persoonsgegevens verwijst naar de vertrouwelijkheid van data. Gegevens privé houden betekent dat deze niet in handen komen van personen die niet bevoegd zijn om de data te lezen of te wijzigen. Zo verplicht de Amerikaanse Health Information Protection and Availability Act (HIPAA) dat zorgorganisaties en hun partners patiëntgegevens vertrouwelijk houden. De enige personen die toegang mogen hebben tot de gegevens van een patiënt zijn de patiënt zelf, diens zorgverleners en de relevante verzekeraar. In dit opzicht is HIPAA een wet bescherming persoonsgegevens.

Datasoevereiniteit gaat over wie zeggenschap heeft over data. Volgens Webster’s Dictionary betekent soevereiniteit ultieme macht, vooral over een politiek lichaam, en vrijheid van externe controle. Toegepast op data verwijst soevereiniteit doorgaans naar het principe dat data die in een land is opgeslagen, onderhevig is aan de wetten en regels van dat land. Bijvoorbeeld, data opgeslagen in de Verenigde Staten valt onder de Amerikaanse wetgeving, en data opgeslagen in Duitsland valt onder de Duitse wetgeving. Er is een extra beschermingslaag doordat Duitsland en 27 andere Europese landen lid zijn van de EU. Hierdoor valt de privédata van EU-burgers onder de soevereiniteit van de EU én onder de soevereiniteit van hun eigen land.

Datalokalisatie gaat over waar data zich mag bevinden. Sommige datasoevereiniteitswetten, zoals de On Personal Data (OPD) Law die recent in Rusland is aangenomen, bepalen niet alleen wie zeggenschap heeft over data, maar schrijven ook voor dat alle data over burgers van een land fysiek in dat land moet worden opgeslagen. In het geval van Rusland geldt sinds 1 september 2015 dat organisaties met persoonsgegevens van Russische burgers deze data moeten opslaan in datacenters of andere faciliteiten binnen de Russische Federatie. De OPD Law is een datalokalisatiewet.

Dataresidentie of beperkingen op gegevensoverdracht

Waar datasoevereiniteit het concept is dat een land het recht heeft om de stroom van data, wie er toegang toe heeft en hoe het binnen de eigen grenzen wordt gebruikt en gedeeld te controleren, kan dataresidentie worden gedefinieerd als het opslaan van data op een fysieke locatie en ervoor zorgen dat deze binnen de grenzen van een specifiek land of regio blijft. Een beleid of wet bepaalt waar organisaties hun data moeten opslaan of verwerken. Deze wetten en regels verschillen per land of regio en hebben diverse gevolgen voor privacy, beveiliging en toegankelijkheid van data.

Bedrijven profiteren op diverse manieren van het toepassen van dataresidentie. Het helpt organisaties te voldoen aan lokale datawetgeving en andere internationale wetten, omdat je data fysiek lokaal moet opslaan om aan lokale regels te voldoen. Dataresidentie helpt bedrijven ook hun data te beschermen en beveiligen, zodat hackers er niet van buitenaf bij kunnen zonder de juiste autorisatie. Daarnaast zorgt dataresidentie ervoor dat data eenvoudig opvraagbaar is en snel kan worden gebruikt om te voldoen aan de behoeften van klanten en bedrijfsprocessen. Tot slot geeft dataresidentie bedrijven controle over hun data en helpt het bij het veilig en effectief beheren, opslaan en verwerken ervan.

Bedrijven die zich niet aan de regels of procedures voor dataresidentie houden, kunnen boetes of andere juridische sancties krijgen als ze niet voldoen aan lokale datawetgeving. Daarnaast kunnen ze het vertrouwen of de reputatie van klanten verliezen als data niet veilig of op de juiste locatie wordt opgeslagen. Organisaties die niet voldoen aan de vereiste voor dataresidentie lopen bovendien het risico op kostbare datalekken als hun data bij een cyberaanval niet goed beschermd is.

Nu een confrontatie tussen Amerikaanse inlichtingendiensten en EU-toezichthouders dreigt over toegang tot en opslag van data—veroorzaakt door de recente nietigverklaring van het Safe Harbor-akkoord door het Europees Hof van Justitie (ECJ)—komt de rol van “locatie” in databeveiliging en privacy steeds meer op de voorgrond. Het is essentieel voor bedrijven om de gevolgen hiervan te begrijpen voor het zakendoen in Europa.

Datasoevereiniteit in de cloud

Data die in de cloud wordt opgeslagen, valt ook onder datasoevereiniteitswetten. Organisaties moeten zich houden aan de wetten van het land en de rechtsbevoegdheid waarin de data wordt opgeslagen. Helaas voor wie dacht dat data echt in een wolk staat: “cloud” verwijst meestal naar een externe locatie of faciliteit die servers beheert en onderhoudt, bijvoorbeeld een serverfarm. Datasoevereiniteit voor data in de cloud omvat privacy- en beschermingswetten en toegangsrechten tot data. Het zorgt er ook voor dat data in de cloud veilig, vertrouwelijk en in overeenstemming met de toepasselijke wetgeving blijft.

Bedrijven profiteren van datasoevereiniteit in de cloud omdat het veiligheid, privacy en compliance voor hun data biedt. Door ervoor te zorgen dat data in de cloud beperkt blijft tot de rechtsbevoegdheid waarin deze is aangemaakt, kunnen bedrijven hun data veilig houden. Daarnaast kunnen bedrijven datasoevereiniteitswetten in hun voordeel gebruiken door te zorgen dat hun data alleen toegankelijk is voor bevoegde personen en alleen wordt geraadpleegd wanneer dat nodig is. Dit helpt bedrijven te voldoen aan privacywetgeving en biedt een extra beveiligingslaag.

De financiële, juridische en reputatieschade van het niet toepassen van datasoevereiniteit in de cloud kan ernstig zijn. Bedrijven kunnen hoge boetes en andere sancties krijgen als ze inbreuk maken op privacywetgeving of hun data onvoldoende beschermen. Daarnaast kan reputatieschade ontstaan als blijkt dat data zonder toestemming is ingezien of gelekt. Dit alles kan de financiële en juridische positie van een bedrijf schaden, evenals de reputatie.

Met het Kiteworks-platform voor beveiligde bestandsoverdracht en governance beschikken organisaties over het hoogste niveau van beveiliging en controle om te voldoen aan datasoevereiniteitsregels.

Meer weten? Plan vandaag nog een aangepaste demo van Kiteworks in

Veelgestelde vragen

Beveiligde bestandsoverdracht is een manier om bestanden tussen twee of meer computers over te dragen, terwijl de data veilig en vertrouwelijk blijft. Encryptie, preventie van gegevensverlies (DLP: Data Loss Prevention), Advanced Threat Protection (ATP) en multi-factor authentication (MFA) zijn enkele van de beveiligingsfuncties die worden gebruikt voor beveiligde bestandsoverdracht.

Beveiligde bestandsoverdracht houdt meestal in dat bestanden tijdens het transport worden versleuteld en alleen toegankelijk zijn voor gebruikers met de juiste inloggegevens, meestal een gebruikersnaam en wachtwoord. Na het downloaden worden de bestanden ook lokaal op het apparaat van de gebruiker versleuteld. Dit voorkomt dat onbevoegde gebruikers de bestanden kunnen bekijken zonder de juiste inloggegevens. Sommige systemen voor beveiligde bestandsoverdracht bieden ook een audittrail, zodat beheerders kunnen bijhouden wie toegang heeft gehad tot elk bestand.

Beveiligde bestandsoverdracht helpt organisaties hun data veilig te houden. Door de data tijdens de overdracht te versleutelen, voorkomt beveiligde bestandsoverdracht dat hackers en kwaadwillenden data kunnen stelen of wijzigen. Daarnaast helpt beveiligde bestandsoverdracht organisaties te voldoen aan dataregelgeving en industriestandaarden.

Gewone bestandsoverdracht is niet versleuteld, waardoor data kan worden onderschept en gelezen. Beveiligde bestandsoverdracht gebruikt daarentegen encryptie-algoritmen om de data te versleutelen voordat deze wordt verzonden, waardoor deze onleesbaar is voor iedereen zonder de encryptiesleutel.

Ja, beveiligde bestandsoverdracht vereist een beveiligde verbinding. Dit betekent dat de verbinding gebruik moet maken van een beveiligd protocol zoals SFTP, FTPS of HTTPS.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks