Industry Wire

Geplaatst door TransIP

97 procent van de Leidse organisaties goed toegerust op naleving privacywetgeving

Leidse bedrijven en organisaties lijken goed toegerust op naleving van de AVG-privacywetgeving. Eerder onderzocht de NOS bedrijven en organisaties in heel Nederland. Daarvan was slechts 24 procent onafhankelijk van Amerikaanse techbedrijven. Onderzoek van TransIP naar in Leiden gevestigde bedrijven laat zien dat 97 procent voor leveranciers in Nederland kiest en daarmee goed is toegerust op naleving van de AVG.

Eerder dit jaar onderzocht de NOS het gebruik van de cloud door Nederlandse overheidsdiensten en grote bedrijven. Uit dat onderzoek kwam onder meer naar voren dat de meeste organisaties hun e-mail onderbrengen bij Amerikaanse techbedrijven. Bij 76% van de onderzochte instellingen bleek de e-mail in beheer bij Microsoft of Google; twee bedrijven uit de VS.

Digitale privacywetgeving in Nederland

Europa beschermt de digitale privacy met de GDPR (General Data Protection Regulation). In Nederland is deze verordening verankert in de wet via de AVG (Algemene Verordening Gegevensbescherming). Kort samengevat maakt deze wet organisaties die persoonsgegevens verzamelen en gebruiken verantwoordelijk voor de veiligheid, juistheid en wetmatigheid van de verwerkte data. Mensen wiens gegevens verwerkt worden, krijgen binnen de AVG meer rechten.

De CLOUD Act en de GDPR

In de VS gevestigde (tech-)bedrijven die in Europa actief zijn, moeten binnen de EU voldoen aan de GDPR. Dit blijkt in de praktijk lastig te garanderen omdat de GDPR botst met de CLOUD Act die in de VS geldt. Deze wet verplicht bedrijven met vestigingen in de VS om op verzoek data met overheden (in de VS) te delen; zelfs als die data buiten de grenzen van de VS opgeslagen zijn. Het kan daarom gebeuren dat een bedrijf moet kiezen tussen voldoen aan de CLOUD Act of aan de GDPR.

Voldoen aan de AVG is een uitdaging

Het spreekt voor zich dat ieder bedrijf in Nederland zich aan de Nederlandse wetgeving moet houden. De AVG geeft bedrijven en organisaties die persoonsgegevens verwerken een verantwoordingsplicht. Om daaraan te voldoen moeten ze controle houden over de toegang tot data die verwerkt worden. Dat geldt ook voor data die worden opgeslagen in de cloud.

Een grijs gebied voor de AVG

Vaak wordt gedacht dat het relatief eenvoudig is om te voldoen aan de AVG: zo lang de data worden opgeslagen binnen de EU, gelden de regels van de EU en zou er sprake van compliancy zijn. De CLOUD Act gooit roet in het eten. Deze wet verplicht bedrijven die in de VS vestigingen hebben om data te delen met de Amerikaanse overheid; zelfs als die data binnen de EU-grenzen staan. Dat maakt het gebruik van clouddiensten van Amerikaanse techbedrijven een grijs gebied voor de AVG.

AVG-waarschuwing Nationaal Cyber Security Centrum

In 2022 waarschuwde het Nationaal Cyber Security Centrum al voor de tegenstrijdigheid tussen de GDPR en de CLOUD Act. Zij wijzen erop dat grote techbedrijven bij privacyconflicten moeten kiezen tussen ingaan tegen de EU of tegen de VS. Dat brengt naleving van de AVG in gevaar.

Clingendael bezorgd over digitale economische veiligheid

Instituut Clingendael voegde daar in maart 2024 een waarschuwing aan toe: de digitale economische veiligheid in Nederland (en de EU) is kwetsbaar voor geopolitieke schommelingen. Eén van de redenen daarvoor is overmatige afhankelijkheid van techbedrijven uit de VS. Als die om welke reden dan ook de diensten onbereikbaar maken, zijn de problemen niet te overzien.

Hoe afhankelijk zijn Nederlandse organisaties van de cloud?

Reden voor de NOS om te onderzoeken hoeveel organisaties afhankelijk zijn van grote cloudproviders. Hosting van e-mail in de cloud is populair. Organisaties en bedrijven kunnen tegen lagere kosten gebruik maken van betere diensten met een hogere beveiligingsgraad. Om beeld van de afhankelijkheid van techbedrijven te krijgen, keek de NOS daarom naar gebruik van e-mail via de cloud.

Werkwijze NOS

Om te bepalen of (en zo ja van welke) dienst een organisatie gebruikt voor mail, keek de NOS naar MX-records. Deze MX-records zijn onderdeel van het DNS (Domain Name System). Het DNS is te zien als het telefoonboek van internet. Hierin staat welk nummer achter een webadres schuil gaat. Het DNS gebruikt MX-records om aan te geven naar welk nummer (IP-adres) e-mails verstuurd moeten worden.

 

Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.

Deel dit bericht