Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Executive Order 14117: Bescherming van de gevoelige bulkpersoonsgegevens van Amerikanen
Executive Order 14117: Bescherming van de gevoelige bulkpersoonsgegevens van Amerikanen

Executive Order 14117: Bescherming van de gevoelige bulkpersoonsgegevens van Amerikanen

by Danielle Barbour updated april 24, 2025 Wettelijke naleving
Reading Time: 8 minutes

Executive Order 14117, ondertekend op 28 februari 2024, breidt de nationale noodtoestand uit die is uitgeroepen in Executive Order 13873 om de “ongebruikelijke en buitengewone dreiging” aan te pakken die wordt gevormd door landen van zorg die toegang krijgen tot gevoelige persoonlijke gegevens van Amerikanen. Het besluit stelt specifiek dat “toegang tot grote hoeveelheden gevoelige persoonlijke gegevens van Amerikanen of aan de Amerikaanse overheid gerelateerde gegevens de mogelijkheid vergroot voor landen van zorg om een breed scala aan kwaadaardige activiteiten te ontplooien”, waaronder het gebruik van kunstmatige intelligentie om “grote hoeveelheden gevoelige persoonlijke gegevens te analyseren en manipuleren voor spionage, beïnvloeding, kinetische of cyberoperaties.” Dit besluit weerspiegelt de groeiende erkenning dat gevoelige data een strategische hulpbron is geworden voor vijandige naties, die deze kunnen misbruiken om kwetsbaarheden te identificeren, spionage te plegen en AI-systemen te verfijnen die mogelijk de nationale veiligheid van de VS verder in gevaar brengen.

De uitvoeringsvoorschriften van het Department of Justice bij 28 CFR Part 202 creëren een kader dat bepaalde datatransacties met landen van zorg verbiedt of beperkt, terwijl het “open, wereldwijde, interoperabele, betrouwbare en veilige gegevensstromen over grenzen heen” ondersteunt. In plaats van algemene datalokalisatievereisten op te leggen, hanteren de voorschriften een gerichte aanpak om veiligheid en economische belangen in balans te brengen. Zoals vermeld in § 202.101, “verbiedt of beperkt de regel Amerikaanse personen om zich in te laten met bepaalde transacties die betrekking hebben op overheidsgerelateerde gegevens of grote hoeveelheden gevoelige persoonlijke gegevens van de VS met bepaalde landen van zorg of betrokken personen.” Deze aanpak is bedoeld om nationale veiligheidsrisico’s aan te pakken en tegelijkertijd verstoring van legitieme commerciële, wetenschappelijke en handelsactiviteiten te minimaliseren.

Beschermde Datacategorieën en Drempelwaarden

De voorschriften identificeren zes categorieën gevoelige persoonlijke gegevens die bescherming vereisen onder § 202.249: gedekte persoonlijke identificatoren, nauwkeurige geolocatiegegevens, biometrische identificatoren, menselijke ‘omische data, persoonlijke gezondheidsgegevens en persoonlijke financiële gegevens. Elke categorie heeft gedefinieerde “bulk”-drempelwaarden in § 202.205 die bepalen wanneer gegevensverzamelingen onder toezicht van de regelgeving vallen. Zo is de drempel voor menselijke genomische data vastgesteld op 100 Amerikaanse personen, terwijl persoonlijke financiële gegevens een hogere drempel van 10.000 Amerikaanse personen hebben. Deze drempelwaarden zijn ontworpen om gegevensverzamelingen te identificeren die groot genoeg zijn om aanzienlijke nationale veiligheidsrisico’s te vormen als ze worden benaderd door landen van zorg. Belangrijk is dat § 202.206 specificeert dat grote hoeveelheden gevoelige persoonlijke gegevens van de VS verzamelingen omvatten “in elk formaat, ongeacht of de gegevens geanonimiseerd, gepseudonimiseerd, gedeïdentificeerd of versleuteld zijn”, waarmee wordt erkend dat geavanceerde technologieën vaak de-identificatiemaatregelen kunnen omzeilen.

Landen van Zorg en Betrokken Personen

Sectie 202.601 identificeert zes “landen van zorg” die zich hebben schuldig gemaakt aan gedrag dat nadelig is voor de nationale veiligheid van de VS en een aanzienlijk risico vormen op het misbruiken van gevoelige gegevens: de Volksrepubliek China (inclusief Hongkong en Macau), Rusland, Iran, Noord-Korea, Cuba en Venezuela. De voorschriften definiëren “betrokken personen” in § 202.211 als entiteiten of individuen die onderworpen zijn aan het eigendom, de rechtsbevoegdheid of controle van deze landen. Dit omvat buitenlandse entiteiten die voor 50% of meer eigendom zijn van een land van zorg, georganiseerd zijn onder de wetten van een land van zorg, of hun hoofdkantoor hebben in een land van zorg. Het omvat ook individuen die voornamelijk in deze landen wonen of werken voor hun overheden of entiteiten van betrokken personen. De regel merkt expliciet op dat de definitie van betrokken persoon niet is gebaseerd op nationaliteit, ras of etniciteit, maar op het risico om ingezet te worden door een land van zorg.

Verboden en Beperkte Transacties

Het regelgevend kader in Subdelen C en D stelt twee categorieën gereguleerde transacties vast. Sectie 202.301 verbiedt “data-brokerage”-transacties met landen van zorg of betrokken personen, gedefinieerd in § 202.214 als “de verkoop van gegevens, licentiëring van toegang tot gegevens, of soortgelijke commerciële transacties waarbij gegevens worden overgedragen.” Sectie 202.303 verbiedt transacties met betrekking tot menselijke ‘omische data of biospecimens met landen van zorg. Sectie 202.302 vereist dat Amerikaanse personen die zich bezighouden met data-brokerage met niet-betrokken buitenlandse personen contractueel verdere overdracht naar landen van zorg beperken. Deze verboden zijn gericht op de transacties met het hoogste risico, die directe toegang tot gevoelige persoonlijke gegevens van de VS mogelijk zouden kunnen maken.

Sectie 202.401 staat bepaalde anderszins verboden “beperkte transacties” toe als de Amerikaanse persoon voldoet aan beveiligingsvereisten die zijn ontwikkeld door CISA en opgenomen door verwijzing in § 202.248. Deze beperkte transacties omvatten leveranciersovereenkomsten (§ 202.258), arbeidsovereenkomsten (§ 202.217) en investeringscontracten (§ 202.228) met landen van zorg of betrokken personen die toegang zouden geven tot overheidsgerelateerde gegevens of grote hoeveelheden gevoelige persoonlijke gegevens. De beveiligingsvereisten omvatten organisatorische controles (risicobeoordelingsprocessen), systeemniveaucontroles (toegangsbeheer) en dataniveaucontroles (encryptie, minimalisatie en maskering). Deze aanpak maakt het mogelijk om economisch waardevolle transacties voort te zetten met passende waarborgen tegen ongeoorloofde toegang tot gegevens.

Uitzonderingen voor Legitieme Activiteiten

Subdeel E stelt verschillende belangrijke uitzonderingen vast om ervoor te zorgen dat legitieme activiteiten kunnen doorgaan. Sectie 202.502 maakt transacties met “informatie of informatiematerialen” vrij om expressieve inhoud te beschermen. Sectie 202.504 maakt officieel Amerikaans overheidswerk vrij, inclusief door de federale overheid gefinancierd onderzoek. Sectie 202.505 maakt transacties in de financiële sector vrij, inclusief e-commerce. Sectie 202.506 maakt interne administratieve bedrijfsactiviteiten vrij. Sectie 202.510 maakt datatransacties vrij die noodzakelijk zijn voor goedkeuring van geneesmiddelen en medische hulpmiddelen, terwijl § 202.511 klinisch onderzoek vrijstelt. Deze zorgvuldig afgewogen uitzonderingen weerspiegelen de focus van de regel op het aanpakken van nationale veiligheidsrisico’s met minimale verstoring van legitieme activiteiten.

Nalevingsvereisten en Dossiervorming

Voor gereguleerde entiteiten stellen Subdelen J en K uitgebreide nalevingsvereisten vast. Sectie 202.1001 vereist dat Amerikaanse personen die zich bezighouden met beperkte transacties risicogebaseerde zorgvuldigheid toepassen op de partijen bij de transactie. Sectie 202.1002 verplicht tot jaarlijkse onafhankelijke audits om naleving van beveiligingsvereisten te verifiëren. Sectie 202.1101 vereist het bijhouden van gedetailleerde dossiers gedurende ten minste 10 jaar, inclusief documentatie van nalevingsprogramma’s, beveiligingsmaatregelen en zorgvuldigheidsinspanningen. Sectie 202.1104 verplicht Amerikaanse personen om geweigerde verboden transacties binnen 14 dagen te melden. Deze vereisten creëren verantwoording en genereren informatie ter ondersteuning van handhavingsinspanningen.

Handhaving, Vergunningen en Implementatietijdlijn

Het Department of Justice heeft brede handhavingsbevoegdheden onder de regel, met mogelijke civiele en strafrechtelijke sancties onder de International Emergency Economic Powers Act. Sectie 202.701 machtigt het Department om aanvullende betrokken personen aan te wijzen op basis van hun relatie met landen van zorg. Subdeel H creëert procedures voor het uitgeven van algemene en specifieke vergunningen om anderszins verboden transacties toe te staan. De voorschriften treden in werking op 8 april 2025, waarbij sommige nalevingsvereisten zijn uitgesteld tot 6 oktober 2025, zodat organisaties voldoende tijd hebben om nalevingsprogramma’s te ontwikkelen en tegelijkertijd urgente nationale veiligheidsrisico’s aan te pakken.

Risicogebaseerde Nalevingsaanpak

De regel benadrukt een risicogebaseerde benadering van naleving, afgestemd op de omstandigheden van elke organisatie. Zoals vermeld in de toelichting bij de regel, “verwacht het Department dat Amerikaanse personen nalevingsprogramma’s zullen ontwikkelen die passen bij hun eigen individuele risicoprofiel,” variërend op basis van “omvang en complexiteit, producten en diensten, klanten en tegenpartijen, en geografische locaties.” Deze aanpak omvat het uitvoeren van gegevensinventarisaties, het implementeren van screeningsprocedures, het evalueren van transacties, het ontwikkelen van beleid en het bijhouden van documentatie. De regel staat organisaties toe om bestaande privacy-, cyberbeveiligings- en exportcontrolekaders te benutten in plaats van volledig nieuwe systemen te creëren.

Recente Incidenten Onderstrepen de Urgentie

De regel is een reactie op steeds urgentere dreigingen die zijn gedocumenteerd in recente onderzoeken. De toelichting verwijst naar een WIRED-onderzoek uit november 2024 dat commercieel verkrijgbare advertentie- en locatiegegevens gebruikte om Amerikaans militair personeel te volgen op gevoelige locaties, waaronder locaties waar kernwapens worden opgeslagen. Dit onderzoek toonde aan hoe dergelijke gegevens kunnen worden gebruikt om “individuen met toegang tot gevoelige gebieden te identificeren; te achterhalen wanneer Amerikaanse kernwapens het minst worden bewaakt; of belastende informatie te gebruiken voor chantage.” Een ander genoemd voorbeeld liet zien hoe commercieel beschikbare data de bewegingen van Amerikaanse functionarissen en hun beveiligers konden volgen via fitnessapps. Deze praktijkvoorbeelden tonen de concrete nationale veiligheidsrisico’s aan die door de regel worden aangepakt.

Vergelijking met Andere Gegevensbeschermingsregimes

In tegenstelling tot de aanpak van sommige andere landen verbiedt de Amerikaanse regel niet in brede zin grensoverschrijdende gegevensoverdrachten en legt deze geen datalokalisatievereisten op. Zoals § 202.101(b) stelt, “stelt de regel geen algemene datalokalisatievereisten vast.” Deze gerichte aanpak verschilt van het Chinese regime, dat gegevensuitvoer breed beperkt en overheidsbeoordeling vereist voor veel grensoverschrijdende overdrachten. Het verschilt ook van de EU’s GDPR, die zich primair richt op individuele privacy in plaats van nationale veiligheid. De focus van de regel op specifieke transacties met hoog risico weerspiegelt de Amerikaanse inzet om wereldwijde gegevensstromen te behouden en tegelijkertijd gerichte veiligheidszorgen aan te pakken.

Kennisnorm en Zakelijke Impact

De regel hanteert een “wetens” standaard voor verboden transacties, gedefinieerd in § 202.230 als situaties waarin een Amerikaanse persoon “daadwerkelijk kennis had van, of redelijkerwijs had moeten weten van, het gedrag, de omstandigheid of het resultaat.” Deze standaard, flexibeler dan strikte aansprakelijkheidsregimes die in sommige sanctieprogramma’s worden gebruikt, erkent de complexiteit van datatransacties en creëert toch verantwoording voor willens en wetens blinde of roekeloze handelingen. Voor bedrijven die internationaal opereren vereist naleving een zorgvuldige beoordeling van gegevenspraktijken, transactiepatronen en relaties met entiteiten in landen van zorg of betrokken personen.

Overwegingen voor Wetenschappelijk Onderzoek

De uitzonderingen van de regel voor wetenschappelijk onderzoek weerspiegelen een zorgvuldige afweging van zowel veiligheidszorgen als internationale samenwerkingsbehoeften. De uitzondering in § 202.511 voor klinisch onderzoek maakt het delen van gedeïdentificeerde of gepseudonimiseerde gegevens voor door de FDA gereguleerd onderzoek mogelijk. Sectie 202.510 maakt regulatoire goedkeuringsdata vrij die nodig zijn om geneesmiddelen, biologische producten en hulpmiddelen op de markt te brengen in landen van zorg. Deze bepalingen erkennen het humanitaire belang van wereldwijde toegang tot medische behandelingen, terwijl ze toch bijzonder gevoelige categorieën data, zoals menselijke genomische informatie, beschermen tegen mogelijke uitbuiting door landen van zorg.

Voortdurende Betrokkenheid

Het Department of Justice heeft robuuste mechanismen opgezet voor voortdurende betrokkenheid van belanghebbenden gedurende het implementatieproces van Executive Order 14117. Sectie 202.901 creëert een formeel adviesproces waarmee Amerikaanse personen schriftelijke richtlijnen kunnen aanvragen over hoe de voorschriften van toepassing zijn op specifieke, niet-hypothetische transacties. Dit proces biedt organisaties een kanaal om duidelijkheid te krijgen over onduidelijke situaties en creëert een openbaar register van interpretaties die de bredere gereguleerde gemeenschap kunnen begeleiden. Het Department heeft zich ertoe verbonden deze adviezen te publiceren, onder voorbehoud van vertrouwelijkheidsbescherming, waarmee een groeiend geheel aan richtlijnen ontstaat dat helpt het begrip van de toepassing van de regel te verfijnen.

Buiten het formele adviesproces voorziet de regel in voortdurende dialoog via de vergunningprocedures in Subdeel H. Sectie 202.801 machtigt de afgifte van algemene vergunningen die categorieën van transacties toestaan die anders verboden zouden zijn, terwijl § 202.802 een specifieke vergunningsaanvraagprocedure creëert voor individuele transacties. Het Department heeft aangegeven bij de beoordeling van vergunningaanvragen zowel humanitaire als economische overwegingen mee te nemen. Via deze procedures kan het Department zijn aanpak verfijnen op basis van praktijkervaringen en opkomende patronen van legitieme zakelijke behoeften.

De regel bevat ook een formeel beoordelingsmechanisme. Sectie 5 van de Executive Order vereist dat de Attorney General binnen een jaar na de inwerkingtreding van de voorschriften een rapport aan de president voorlegt. Dit rapport moet zowel de effectiviteit van de maatregelen bij het aanpakken van nationale veiligheidsdreigingen als de economische impact beoordelen, inclusief effecten op internationale concurrentiekracht. Belangrijk is dat het besluit vereist dat de Attorney General bij het opstellen van dit rapport publieke commentaren verzamelt en overweegt, waarmee een extra mogelijkheid voor input van belanghebbenden ontstaat. Deze formele beoordeling zal waardevolle gegevens opleveren voor mogelijke verfijningen van de regulatoire aanpak.

Naarmate de implementatie vordert, heeft het Department zich ertoe verbonden aanvullende richtlijnen te publiceren over veelvoorkomende nalevingsvragen en scenario’s. Deze richtlijnen zullen waarschijnlijk voorbeeldbeleid, procedures en contractuele clausules bevatten die organisaties kunnen aanpassen aan hun specifieke situatie. Het Department heeft ook aangegeven samen te werken met brancheorganisaties die ervaring hebben met vergelijkbare regelgevingsregimes, zoals sancties en exportcontroles, om beste practices en nalevingskaders te ontwikkelen die voortbouwen op bestaande expertise.

De gefaseerde implementatietijdlijn weerspiegelt het besef van het Department dat organisaties tijd nodig hebben om passende nalevingssystemen te ontwikkelen. Terwijl de kernverboden ingaan op 8 april 2025, worden de meer complexe zorgvuldigheids-, audit- en rapportagevereisten uitgesteld tot 6 oktober 2025. Deze gefaseerde aanpak stelt organisaties in staat zich eerst te richten op het identificeren en stopzetten van verboden transacties voordat de meer gedetailleerde nalevingsinfrastructuur voor beperkte transacties wordt geïmplementeerd. Het Department heeft ook aangegeven verdere richtlijnen of algemene vergunningen te overwegen als er tijdens deze periode implementatieproblemen ontstaan.

Conclusie

Executive Order 14117 en de bijbehorende uitvoeringsvoorschriften in 28 CFR Part 202 stellen een kader vast dat een steeds urgentere nationale veiligheidsdreiging aanpakt en tegelijkertijd Amerika’s inzet voor open gegevensstromen behoudt. De voorschriften hanteren een gerichte, risicogebaseerde aanpak die zich specifiek richt op transacties met de meest gevoelige datacategorieën en de landen die het grootste risico vormen op misbruik van die gegevens. In plaats van algemene verboden op internationale gegevensoverdrachten te hanteren, creëert de regel een afgewogen systeem van verboden, beperkingen en uitzonderingen dat veiligheidsdoelstellingen in balans brengt met economische en humanitaire overwegingen.

De voorschriften vertegenwoordigen een belangrijke evolutie in de Amerikaanse benadering van gegevensbescherming, waarbij data wordt erkend als een strategische hulpbron met nationale veiligheidsimplicaties die verder gaan dan individuele privacyzorgen. Door categorische regels vast te stellen voor datatransacties met landen van zorg, bieden de voorschriften meer zekerheid dan beoordelingen per geval, terwijl ze flexibiliteit bieden via het beveiligingsvereistenkader voor beperkte transacties. Deze aanpak maakt het mogelijk dat essentiële zakelijke, wetenschappelijke en humanitaire activiteiten doorgaan met passende waarborgen.

Het succes van de voorschriften zal uiteindelijk afhangen van een effectieve implementatie door zowel de overheid als gereguleerde entiteiten. Voor organisaties zal het ontwikkelen van robuuste nalevingsprogramma’s die gevoelige gegevens nauwkeurig identificeren, transactiepartijen screenen en passende controles implementeren essentieel zijn. Voor het Department of Justice zullen het bieden van duidelijke richtlijnen, tijdige reacties op advies- en vergunningsverzoeken en consequente handhaving cruciaal zijn om een werkbaar regelgevend klimaat te creëren.

Naarmate het wereldwijde datalandschap zich blijft ontwikkelen, biedt het door Executive Order 14117 vastgestelde kader een basis die kan worden aangepast aan opkomende dreigingen en technologieën. De ingebouwde mechanismen voor voortdurende betrokkenheid zorgen ervoor dat de implementatie kan worden verfijnd op basis van praktijkervaringen en feedback van belanghebbenden. Deze samenwerkende aanpak vergroot de kans dat de voorschriften de nationale veiligheid effectief beschermen zonder legitieme activiteiten onnodig te belasten of het Amerikaanse leiderschap in technologie en innovatie te ondermijnen.

In de bredere context van internationaal gegevensbeheer vertegenwoordigt Executive Order 14117 een uitgesproken Amerikaanse aanpak die zich richt op gerichte beveiligingsmaatregelen in plaats van alomvattende datalokalisatie- of privacyregimes. Door specifieke nationale veiligheidsrisico’s aan te pakken en tegelijkertijd een algemene inzet voor grensoverschrijdende gegevensstromen te behouden, positioneren de voorschriften de Verenigde Staten om te blijven pleiten voor een open, interoperabel wereldwijd internet en haar burgers te beschermen tegen uitbuiting door buitenlandse tegenstanders. Deze gebalanceerde aanpak kan uiteindelijk duurzamer en effectiever blijken dan onbeperkte gegevensstromen of alomvattende lokalisatievereisten.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks