In de huidige digitale wereld is het uitwisselen van persoonsgegevens tussen landen en het gebruik van cloudservices zeer gebruikelijk geworden. Het kan echter ook een risico vormen voor de privacy van individuen, vooral als persoonsgegevens worden doorgegeven aan landen met minder strenge privacywetten. In dit artikel bespreken we de kwestie van internationale doorgiften van persoonsgegevens en het gebruik van de cloud en wat de mogelijke risico’s zijn.

Wat zijn internationale doorgiften van persoonsgegevens?

Internationale doorgiften van persoonsgegevens verwijzen naar het overdragen van persoonlijke informatie van het ene land naar het andere. Het kan bijvoorbeeld gebeuren wanneer een bedrijf persoonsgegevens van klanten in de Europese Unie overdraagt naar een derde land buiten de EU. Dergelijke doorgiften kunnen plaatsvinden via verschillende middelen, zoals e-mail, cloudservices, online platformen of fysieke opslag.

Risico’s verbonden aan deze doorgiften

Het overdragen van persoonsgegevens kan een risico vormen voor de privacy van mensen als het doel waarvoor de gegevens worden gebruikt niet duidelijk is, of als de gegevens worden doorgegeven aan landen met minder strenge privacywetten dan in het land van herkomst. De mogelijkheid van overheden om toegang te krijgen tot persoonsgegevens die in het buitenland zijn opgeslagen, kan ook zorgen baren. Bovendien is het moeilijker om controle te hebben over hoe persoonsgegevens worden gebruikt en beveiligd wanneer ze worden doorgegeven aan derde partijen.

Wat is de rol van de cloud bij internationale doorgiften?

Cloudservices zijn een van de meest voorkomende middelen om persoonsgegevens op te slaan en te verwerken. Cloudproviders bieden opslagruimte en verwerkingskracht aan gebruikers, vaak tegen een lage kostprijs. Dit maakt het voor bedrijven gemakkelijker om hun gegevens op te slaan en te verwerken zonder zelf te hoeven investeren in infrastructuur en expertise. Het gebruik van cloudservices vermindert ook de noodzaak om gegevens fysiek te verplaatsen tussen landen, omdat gegevens vanuit de cloud kunnen worden geopend en verwerkt vanuit verschillende locaties.

De cloud kan echter ook een risico vormen voor de privacy van persoonsgegevens als gevolg van de internationale doorgifte van gegevens. Cloudproviders kunnen servers in verschillende landen hebben, en dit kan betekenen dat persoonsgegevens worden opgeslagen in landen met minder strenge privacywetten. Bovendien kunnen cloudproviders worden onderworpen aan toegangsverzoeken van buitenlandse overheden die de privacywetten van het land van herkomst niet respecteren.

Schrems II

Het Schrems II-arrest van het Europees Hof van Justitie heeft grote gevolgen gehad voor internationale doorgiften van persoonsgegevens en het gebruik van cloud computing. Het arrest heeft namelijk het zogenaamde “Privacy Shield” ongeldig verklaard, een regeling tussen de Europese Unie en de Verenigde Staten die voorheen werd gebruikt om de doorgifte van persoonsgegevens tussen deze twee regio’s te reguleren.

Dit heeft geleid tot veel onzekerheid en onduidelijkheid over hoe bedrijven nu persoonsgegevens kunnen doorgeven naar landen buiten de Europese Unie, zoals de Verenigde Staten. Het Hof heeft duidelijk gemaakt dat er alleen persoonsgegevens kunnen worden doorgegeven naar landen buiten de Europese Unie als deze landen een passend niveau van gegevensbescherming kunnen bieden.

En deze onduidelijkheid bestaat vandaag nog steeds omwille van de verschillende interpretaties van nationale toezichthouders en acties die door hen worden ondernomen. We kunnen immers niet om de realiteit heen dat de grote aanbieders op het gebied van cloudservices spelers buiten Europa gevestigd zijn. Denk daarbij bijvoorbeeld aan Microsoft, Google, Amazon, …

Uitdaging

Veel bedrijven kiezen vandaag voor het gebruik van cloudservices. Er zijn er zelfs een redelijk aantal die kiezen voor een cloud first strategie. De beweging naar de cloud is niet onmogelijk maar brengt evenwel een hoop uitdagingen met zich mee op het gebied van bescherming van persoonsgegevens.