Het Hof voert als reden aan dat gegevens van EU-burgers in de Verenigde Staten onvoldoende worden beschermd, waarbij de nadruk ligt op de verregaande bevoegdheden van de Amerikaanse autoriteiten. Amerikaanse bedrijven worden hieraan onderworpen, zelfs als zij de gegevens van hun klanten op servers in Europa verwerken.
Uitwisseling van gegevens op basis van het Privacy Shield per direct onrechtmatig.
Voor bedrijven betekent het oordeel niet alleen dat uitwisseling van persoonsgegevens op basis van het Privacy Shield onrechtmatig is. Ook de zogenaamde modelcontractbepalingen, die een adequaat niveau van gegevensbescherming volgens de Europese normen suggereren, zijn niet meer toegestaan.
Torenhoge boetes
Als gevolg daarvan verdwijnt de wettelijke basis voor het gebruik van cloudoplossingen waarbij persoonsgegevens onder de invloed van de Amerikaanse wetgeving vallen. Concreet betekent dit dat het gebruik ervan een inbreuk vormt op de AVG/GDPR. Overheden kunnen bedrijven boetes opleggen die in de miljoenen lopen. Bovendien dreigen schadeclaims van de getroffenen. Voor de duidelijkheid: er is geen overgangsperiode.
SD-WAN-architecturen, die steeds vaker worden gebruikt in plaats van MPLS-aansluitingen of klassieke VPN’s voor het verbinden van bedrijfssites en filialen, zijn geen uitzondering. Ook hier worden persoonlijke gegevens van netwerkgebruikers in de cloud verwerkt. Denk aan IP- en MAC-adressen, informatie over tijd, locatie en gebruik van diensten of de e-mailadressen van netwerkbeheerders. Bij gebruik van een niet-Europees SD WAN-netwerk verlaat deze informatie het lokale rechtsgebied. Het wordt ofwel direct in het buitenland verwerkt, ofwel in datacenters op Europese bodem die onderworpen zijn aan de wetgeving in het land van de SD-WAN-aanbieder. Uiteindelijk is dit met de uitspraak van het Hof van Justitie over de ongeldigheid van het Privacy Shield een enorm compliance- en kostenrisico voor bedrijven.
Vermijden van nalevingsrisico’s
Bedrijven moeten daarom bij de planning van een SD-WAN-infrastructuur kritisch kijken naar de wetgeving waaraan hun aanbieder en die van de SD-WAN-leverancier onderworpen is. Wordt er volledig voldaan aan de vereisten inzake compliance en gegevensbescherming van de EU? Om deze vraag met een duidelijk “ja” te beantwoorden en om de controle en rechtszekerheid over de eigen gegevens te behouden, is het raadzaam om te kiezen voor een Europese SD-WAN-architectuur. Die beschermt de bedrijfs-, werknemers- en klantgegevens in overeenstemming met de AVG. Op deze manier kunnen compliance-risico’s en mogelijke gevolgen zoals schadeclaims en reputatieschade worden vermeden.
[Dit artikel is eerder gepubliceerd in ChannelConnect 6 – 2020]