07/12/2023
Vendor lock-in: 6 tips om dit te voorkomen
Vendor lock-in brengt directe risico’s met zich mee die de groei van je bedrijf kunnen beïnvloeden, niet alleen bij software maar ook bij inkoop van producten of grondstoffen.
Blog
Werkt jouw organisatie met leveranciers in Amerika? Bijvoorbeeld je cloud provider of SaaS leverancier? Door het vervallen van de Privacy Shield wetgeving kan het zijn dat jouw organisatie niet meer AVG compliant is. Het advies: bij twijfel, houd je data in de EU.
Met de Schrems II-zaak is per 16 juli 2020 het Privacy Shield ongeldig verklaard met onmiddellijke ingang. Organisaties in de EU kunnen geen persoonsgegevens aan de VS doorgeven op grond van het Privacy Shield.
Werken met modelcontracten, zogeheten Standard Contractual Clauses (SCC), is volgens het hof een doeltreffend mechanisme dat waarborgt dat het vereiste beschermingsniveau in acht wordt genomen. Het bezwaar is echter dat het een belofte is en geen zekerheid. Want ook met getekende contracten zou de Amerikaanse overheid in Europese data kunnen kijken.
Verder wijst het hof erop dat je verplicht bent om zelf eerst na te gaan of het land waar je gegevens naartoe exporteert het beschermingsniveau in acht neemt. Aan de andere kant zou de buitenlandse ontvanger van gegevens verplicht het aan jou als exporteur moeten melden indien hij niet in staat zou zijn om die bepalingen na te leven. In dat geval moet jij de doorgifte van gegevens opschorten en / of de overeenkomst met de ontvanger beëindigen.
De European Data Protection Board (EDPB) heeft inmiddels aanbevelingen opgesteld voor de doorgifte van persoonsgegevens naar derde landen. Landen waar persoonsgegevens minder goed beschermd zijn dan in de EU.
De EDPB zegt hierbij dat alleen als organisaties kunnen waarborgen dat gegevens net zo goed beschermd worden als in de EU, zij nog persoonsgegevens aan de VS mogen doorgeven. Andere landen waarmee de EU geen (geldige) afspraken over de bescherming van persoonsgegevens heeft vallen hier ook onder.
De aanbevelingen van de EDPB staan open voor commentaar van bijvoorbeeld bedrijven en hun brancheverenigingen. Deze publieke consultatie start binnenkort via de website van de EDPB. Na deze fase stelt de EDPB de definitieve aanbevelingen vast.
Organisaties in de EU kunnen dus geen persoonsgegevens aan de VS meer doorgeven op grond van het Privacy Shield. Verwerkt jouw organisatie persoonsgegevens en heb je leveranciers buiten de EU? Ga dan onmiddellijk aan de slag met een checklist of je nog wel voldoet aan de AVG. Wij hebben een checklist gemaakt van 4 stappen om je op weg te helpen. Wil je dat Cyso je helpt, dan staan wij natuurlijk altijd voor je klaar.
Zit je nog niet in de cloud maar ben je dat wel van plan? Dan is nu een goed moment om te kijken of een Europese cloud provider een alternatief kan zijn voor jouw organisatie. Hiermee voorkom je extra administratie rompslomp van SCC’s en het afwachten op de nieuwe wet. Een Nederlands alternatief is FUGA Cloud.
De Brexit is ook van invloed op de bescherming van persoonsgegevens. Onderwerpen die voor het eind van 2020 moeten worden geadresseerd zijn:
Meer lezen? Check: Five data protection issues to consider under brexit-before-dec-31
Door het wegvallen van het Privacy Shield is er onduidelijkheid ontstaan over welke extra waarborgen eventueel nodig zijn als je met Standard Contractual Clauses werkt. Wil je zeker weten dat je AVG compliant bent, onderneem dan actie.
Vanuit de AVG moet je een verwerkingsregister hebben waarin staat welke data met welke partijen gedeeld wordt. Hieruit zou je eenvoudig moeten kunnen achterhalen van welke Amerikaanse dienstverleners er gebruikt wordt gemaakt. Kijk ook in dit register welke additionele verwerkersovereenkomsten of andere afspraken over data je hebt gemaakt.
Voor organisaties buiten de EU is een SCC een standaardcontract om dataprivacy af te sluiten. Op dit moment zijn die contracten in principe nog steeds geldig. Je vind de SCC’s op de site van de Europese Commissie.
Indien je overgaat tot het afsluiten van een SCC met je leverancier ben je verplicht om na te gaan of de leverancier de afspraken ook echt kan naleven. Max Schrems heeft op zijn website een vragenlijst gepubliceerd die je door jouw leveranciers in kunt laten vullen.
Het blijft op dit moment een grijs gebied of met de SCC de Amerikaanse inlichtingendiensten buiten de deur gehouden kunnen worden. Denk er dus goed over na waar je jouw data hebt staan, en of het wel nodig is dat het daar staat.
Een e-mailadres voor je nieuwsbrief is iets anders dan bijvoorbeeld medische gegevens. In dat geval zou je kunnen kijken naar Europese aanbieders. Kijk ook of je huidige leverancier de mogelijkheid biedt om data op te slaan op Europese servers en om data encrypted op te slaan.
Het blijft op dit moment een grijs gebied of met de SCC de Amerikaanse inlichtingendiensten buiten de deur gehouden kunnen worden. Denk er dus goed over na waar je jouw data hebt staan, en of het wel nodig is dat het daar staat.
Een e-mailadres voor je nieuwsbrief is iets anders dan bijvoorbeeld medische gegevens. In dat geval zou je kunnen kijken naar Europese aanbieders. Kijk ook of je huidige leverancier de mogelijkheid biedt om data op te slaan op Europese servers en om data encrypted op te slaan.
Wil je het zekere voor het onzekere nemen? Kijk dan naar Europese partijen die hun eigen cloud hebben en Europese datacenters. Als je ervan bewust bent dat je niet meer aan de wet kan voldoen, plan dan vooruit en zet je data op Europese bodem.
Een Nederlands alternatief is FUGA Cloud. Europese alternatieven zijn Hetzner (Duits) en OVH (Frans).
Het is niet altijd mogelijk om aanvullende maatregelen te nemen die de persoonsgegevens voldoende beschermen. Daarvoor hebben sommige landen niet genoeg bescherming van privacy en andere grondrechten. Europese bedrijven en de Europese privacytoezichthouders hebben hier weinig invloed op.
Heb je onderzoek gedaan en is er nog steeds enige twijfel over de veiligheid? Stop dan met de doorgifte of begin niet aan een nieuwe doorgifte. Houd je data dan in de EU.
Kom je er niet uit? Laat je dan adviseren. Bij Cyso staan we je graag te woord.
Lees ook: Aanbevelingen EDPB voor doorgifte persoonsgegevens na Schrems II-uitspraak & Houd data Europese burgers weg van Amerikaanse servers
Wil je niet afwachten en je data op Nederlandse bodem hebben? Bij Cyso hebben wij 2 eigen datacenters in Amsterdam voor maximale toegankelijkheid en snelheid. Wil je weten wat wij voor je kunnen betekenen? Neem dan contact met ons op.
Waarom bij Cyso?
Met meer dan 50 man en meer dan 23 jaar ervaring werken wij dagelijks aan IT-oplossingen voor onze klanten. Oplossingen die veilig, stabiel en innovatief zijn. Wij vinden IT namelijk super gaaf en wij zijn overtuigd dat het van essentieel belang is voor succesvolle organisaties.
Verder lezen? Lees ook: Veelgestelde vragen over het arrest van het Hof van Justitie van de Europese Unie in zaak C-311/18 – Data Protection Commissioner tegen Facebook Ireland Ltd en Maximillian Schrems