Home » Nieuws » Pagina 3

Categorie: Nieuws

The proof of the pudding

the proof of the pudding, what you need to know about privacy shield

Privacy Shield is replacing Safe Harbor, or more accurately, its filling the gap Safe Harbor left behind.  What does this mean for your company?

Erh, Safe Harbor?

If you are familiar with the painful downfall of Safe Harbor, you can skip this first part. For those who need a bit of a refresher, here’s a two penny summary.

Safe Harbor was a framework agreement between the EU and the US that was supposed to ensure the protection of EU personal data in the US, and facilitate data transfer from the EU to the US. US companies could Safe Harbor-certify and subsequently data could be legally transferred from the EU to the US.

It’s safe to say that the Safe Harbor framework was largely based on trust. Trust in US companies self-certifying under Safe Harbor and the US government enforcing it. So when the news came out that the NSA was snooping through data of EU citizens, requesting access and secret back doors into the systems of Safe Harbor certified companies, some parties to the Safe Harbor romance were not amused.

“Now that, was not what was agreed” said Max Schrems, an Austrian student with a Facebook account. He challenged Facebook in court for sending his data to the US, and won. Facebook was Safe Harbor certified but the European Court of Justice agreed with Schrems, that the US (and subsequently Facebook) was not providing adequate protection for Schrems’ personal data. Goodbye Safe Harbor.

With Safe Harbor out the Window, Atlantic data transfers relying on Safe Harbor became illegal, instantly. Data Protection Authorities all over Europe were rubbing their hands and sharpening their teeth. In Q4 2015 they gave the EU and US Commissioners an ultimatum of less than 4 months to fix the situation. In the meantime, many companies were quick to adopt other measures to legalize their trans-atlantic data transfers, such as Binding Corporate Rules and Standard Contractual Clauses (BCR and SCC).

proof-of-the-pudding

Hello, … Privacy Shield? …  hellooo!?

On February 2nd 2016, the new framework for trans-Atlantic data transfers “Privacy Shield” was presented. Just 2 days after the deadline set by the working party of the combined EU Data Protection Authorities (the WP29).

Brilliant! You might think, so where can we find this agreement and get on with it? Ah, not so quick, the agreement does not really exist, yet. What was presented as “The new agreement” is really just a list of key elements of an agreement, which will have to be (re)formulated in more detail over the next couple of months.

Key Elements

Here are the key elements presented as the Privacy Shield:

more stringent rules for US companies handling EU personal data. The US Government will now actively monitor compliance with the Privacy Shield provisions;
clear limitations for the US authorities to access EU personal data, enforced by safeguards and oversight mechanisms. This means that EU citizens will be afforded a way to challenge the use of their data by US authorities. A novelty is that the US and EU will evaluate this new mechanism annually; and
Easy redress for EU citizens who believe their data have been misused via an especially appointed US ombudsman.

All cleared up?

The one million dollar question that is on everybody’s mind is if this Privacy Shield will put an end to uncertainty. The answer is, we don’t know. The WP29 have announced that for now, they will not undertake enforcement actions against companies that have switched to alternative methods of data transfer such as BCR’s and SCC’s. Once they’ve had the time to review the new Privacy Shield documentation, they will give an overall assessment and statement of validity on all data transfer methods, the Privacy Shield, BCRs and SCCs included. In other words, what we’ve heard until now are just words from the European Commission. The proof of the pudding is in the eating.

What to do

Adopt acceptable data transfer Mechanisms. If your company transfers data from the EU to the US, and you haven’t already adopted one of the mechanisms that the WP29 seem to accept for now (BCR’s or SCC’s) we advise you to adopt such measures. This won’t give absolute certainty that what you’re doing will be considered legal in the future. But until further notice, this should keep the DPA foxes out of your data-henhouse.

Keep an eye on future developments. It will take a while before the final draft of the Privacy Shield agreement is agreed. The Commissioners on both sides are optimistic on a timeline of a couple of months. However, with the US elections underway, and uncertainty as to how the next administration will receive this agreement, some commentators have warned that its way too early to start celebrating yet. Once the final agreement is in place, the position of the DPA’s as to what is accepted and what not, may change, and you may have to change your game with it.

Helena Verhagen, Privacy Valley

Hoera, Europese Privacy wordt vandaag meerderjarig

Nieuwe EU privacywetgeving gaat van start

In 1995 introduceerde de EU een Richtlijn voor de bescherming van persoonsgegevens. De afgelopen 21 jaar is dit privacykindje opgegroeid. Na de eerste kinderjaren – die vooral als schattig maar weinig belangrijk werden beschouwd – is de Privacypuber in de jaren vanaf 2012 tot volle wasdom gekomen. Iedereen is er van overtuigd dat het de moeite waard is om de persoonlijke levenssfeer van individuele personen beschermd te houden. In onze huidige samenleving draait dat grotendeels om privacy voor je persoonlijke data in de online wereld. Inwoners van de EU hebben recht op digitale zelfbeschikking, ook al is dat in de praktijk verdomd lastig om te bereiken.

Vandaag wordt het Privacykind meerderjarig. Waarom? Op woensdag 25 mei 2016 treedt de opvolger van de EU Privacyrichtlijn uit 1995 officieel in werking, de Algemene Verordening Gegevensbescherming. De AVG (of “GDPR” zoals de Engelse afkorting luidt) is een politiek huzarenstukje van de 28 EU-lidstaten. Vanaf vandaag zal privacy en dataprotectie op een geharmoniseerde manier gelden binnen de hele EU.

EU_Justice Twitter Post on GDPR startdate
EU_Justice Twitter Post on GDPR startdate

Op het internet zijn talloze websites te vinden die de 10 of 20 belangrijkste punten van de AVG voor u samenvatten. Dat gaan wij dus niet voor u herkauwen. Wat doen wij dan wel?

Wij hebben de Privacy Accelerator voor u klaarstaan, onze webbased software tool waarmee uw organisatie zelf kan vaststellen en bijhouden of u Privacy compliment bent. Of u klant-, personeels- of bijv. transactiedata gebruikt in overeenstemming met de nieuwe AVG.

Privacy Accelerator

Wij komen graag bij u langs om de Accelerator te laten zien. En we worden helemaal enthousiast als we samen met u de Accelerator een testrondje laten doen. We zijn er van overtuigd dat wanneer u het virtuele gaspedaal van de Accelerator indrukt, u gelijk merkt dat de privacy binnen uw organisatie vooruit gaat.

Dus, mail ons gerust en “Get Privacy”.

Encryptie vanuit je luie stoel: Whisply

Encryptie vanuit je luie stoel

Europese en Nederlandse privacywetgeving vragen bij het beveiligen van data om zogeheten passende technische en organisatorische maatregelen. Hiermee wordt voorkomen dat er een datalek kan ontstaan. Een vaak aangeprezen vorm van zo’n technische maatregel is “encryptie”, het versleutelen van  data.

Maar, wat betekent dat nu concreet? Hoe kan je op een eenvoudige manier gegevens beveiligen, bijv. tijdens het verzenden van de ene online locatie naar de andere? Of van je computer naar je Cloudopslag?

Privacy Valley is altijd op zoek naar praktische en werkbare oplossingen voor organisaties. Recent ontdekten we  Whisply, een encryptie hulpmiddel dat vanuit de webbrowser gebruikt kan worden om bestanden van een computer versleuteld op te slaan in één van de bekende cloud storage locaties, zoals Dropbox, Google Drive of Microsoft OneDrive.

Het interessante van Whisply is dat je bestanden kan uitwisselen via encryptie zonder dat je aparte software hoeft te installeren

Whisply wordt aangeboden door BoxCryptor, een van goede naam en faam bekende Duitse aanbieder van encryptie-oplossingen. Whisply is nu nog een openbare Bètaversie, maar wel grotendeels functioneel. Het interessante van Whisply is dat je bestanden kan uitwisselen via encryptie zonder dat je aparte software hoeft te installeren, je gebruikt gewoon je reguliere Browser. Daarnaast biedt het de mogelijkheid om via een aparte methode (Two Factor Authentication) de persoon te informeren die een versleuteld bestand ontvangt vanuit je eigen Cloud opslag. Klik hier voor een demofilmpje.

Dus net als de Republikeinse partijtop bij Donald Trump, kunnen wij van Privacy Valley wel enthousiast zijn over het potentieel van Whisply, maar (nog) geen officiële “endorsement” geven.

Na een weekje gebruik, hebben wij een goede eerste indruk van Whisply. Het combineert gebruiksgemak met de handige “share” functionaliteiten van de meest populaire Cloudopslag aanbieders. Maar let op, Whisply werkt nog niet 100% op je Tablet of Smartphone. Het is en blijft nu nog een Bètaversie. Dus net als de Republikeinse partijtop bij Donald Trump, kunnen wij van Privacy Valley wel enthousiast zijn over het potentieel van Whisply, maar (nog) geen officiële “endorsement” geven.