- Door
- Rashid Niamat
- geplaatst op
- 24 maart 2011 07:59 uur
Tijdens een recente bijeenkomst van de PVIB werd voor een zaal gevuld met informatiebeveiligers stilgestaan bij het begrip Safe Harbor. Omdat ook bij deze doelgroep het begrip niet bij iedereen bekend was, moest het door de diverse sprekers enkele keren worden uitgelegd. Daarbij viel mij op dat met name IB’ers die werkzaam zijn voor traditionele bedrijven wat moeite hadden de impact ervan op de dagelijkse processen tin te schatten.
Het deed me realiseren dat het begrip Safe Harbor wellicht ook bij een aantal lezers van ISPam niet volledig bekend was. Daarom dus een korte opfris column.
Toen de EU in 1995 besloot hogere eisen te stellen aan de privacy van de burgers in de lidstaten kreeg dat de vorm van een richtlijn (95/46/EC). Richtlijnen moeten verplicht in elke lidstaat worden overgenomen, deze werd vanaf 1998 in de lidstaten geïmplementeerd.
Een van de bepalingen van de richtlijn is dat persoonsgegevens niet zomaar door derden mogen worden opgeslagen of verwerkt. Helemaal taboe is het dit te doen in landen buiten de EU. Dit leverde al snel problemen op, want de internationalisering van het bedrijfsleven ging eind jaren 90 in sneltreinvaart, mede natuurlijk door de internetzeepbel.
Dit heeft er toe geleid dat er tussen onder andere de VS en Europa afspraken zijn gemaakt over de omgang met persoonsdata. Bedrijven in de VS kunnen een Safe Habror certificaat aanvragen. Zij moeten dan kunnen garanderen dat zij de integriteit van de data en de privacy van de houders net zo goed weten te garanderen als zou die data in de EU lidstaten zelf staan. Dat Amerikaanse bedrijven die voldoen aan de Safe Harbor principes een concurrentievoordeel hebben, spreekt voor zich. Helaas is het even zo logisch dat keer op keer blijkt dat er gecertificeerden zijn die de regels aan de laars lappen en hun rol als houder en bewerker op ongeoorloofde wijze vervullen.
Ook de access- en hostingsector heeft met de Safe Harbor overeenkomst te maken. En dan doel ik niet op de Googles en Yahoo’s van deze wereld. Uit eigen ervaring weet ik dat veel partijen, ook de hele grote met een eigen juridische afdeling, niet weten dat zij elk verzoek tot het transporteren van persoons gerelateerde data naar de VS dienen te controleren.
Voorbeeld: als hoster heb je een klant die vraagt of je een deel van de logfiles over de periode xyz van zijn webshop wil filteren en naar partner abc in de VS kan overpompen. Op dat moment geld je als bewerker van de data. Controleer jij dan of de ontvangers die data wel mag ontvangen, of vertrouw je er blind op dat je klant de regels kent en het heeft uitgezocht?