Innovatie & Strategie

Security
sleutel

Europese AVG-waakhond werpt twijfels op over cloudencryptie

Encryptie kan helpen voor AVG, maar niet altijd.

© CC0 - Pixabay,  Peggy_Marco
23 november 2020

Encryptie kan helpen voor AVG, maar niet altijd.

De Europese toezichthouder voor AVG-compliance plaatst kanttekeningen bij de notie dat gebruik van encryptie zorgt voor voldoen aan databeschermingswet AVG. Deze kritische kanttekening is gedaan in het licht van de verstrekkende Schrems II-uitspraak wat betreft data-uitwisseling tussen de Europese Unie en de Verenigde Staten. Encryptie is niet automatisch een 'vrijbrief'.

Aanbieders van clouddiensten moeten mogelijk hun reactie op de ongeldigverklaring van de Privacy Shield-overeenkomst herzien. Simpelweg invoeren van encryptie voor data geeft in het licht van de Schrems II-uitspraak niet automatisch garantie dat aan de AVG wordt voldaan. Het Europees Comité voor gegevensbescherming (de European Data Protection Board, EDPB) stelt in een aangescherpte richtlijn dat encryptiegebruik kán helpen, maar dat daarbij wel een belangrijke voorwaarde geldt.

Grensoverschrijdend

Vertrouwen op versleuteling van gegevens die worden uitgewisseld tussen de EU en VS kan in wezen alleen als de gebruikte encryptiesleutels níet de grens overgaan. Om 'AVG-proof' te zijn in de nieuwe datawereld ná de Schrems II-uitspraak van het Europese Hof van Justitie moeten sleutels zelf binnen vertrouwde landen blijven. Dit omvat lidstaten van de EU en andere landen die formeel op de lijst van 'AVG-vertrouwden' staan.

De kanttekening voor versleuteling ondermijnt mogelijk de toepassing van encryptie waarbij cloudgebruikers eigen systemen daarvoor benutten, schrijft The Register. Dit zogeheten bring-your-own-key encryptie (BYOK) laat organisaties eigen diensten gebruiken voor data in cloudomgevingen van aanbieders, die veelal van Amerikaanse bodem zijn. De gebruikte BYOK-diensten vallen ook onder de AVG-vereiste, wat bij decryptie door cloudaanbieders dan toch grensoverschrijdend kan zijn. De aangescherpte privacyregels van de EDPB zijn eerder deze maand al gepubliceerd.

Lees meer over Innovatie & Strategie OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.