Mag ik klantdata in een Amerikaanse cloud opslaan?
Sinds het EU-US Data Privacy Framework (juli 2023) mag het, mits de Amerikaanse partij zich daaraan heeft onderworpen. Zonder DPF moet je terugvallen op SCC plus aanvullende maatregelen.
Probeer dit eerst zelf
- 1Check of de leverancier op de DPF-lijst staat (dataprivacyframework.gov). Microsoft, Google, AWS, Salesforce staan er, veel kleinere niet.
- 2Wel op de lijst: documenteer in je verwerkersregister "doorgifte op basis van DPF". Dat is voldoende grondslag.
- 3Niet op de lijst: gebruik Standard Contractual Clauses van de Europese Commissie (juni 2021 versie of later). Die zitten meestal al in de DPA.
- 4Voer een Transfer Impact Assessment uit. Korte versie: welke data, welk land, welke wetten kunnen toegang geven (FISA 702, CLOUD Act), welke aanvullende maatregelen (encryptie, EU-only key management).
- 5Bewaar de TIA samen met de DPA. De AP kan ernaar vragen.
Wanneer ons inschakelen
Bij bijzondere persoonsgegevens (gezondheid, biometrie) of grote schaal is een TIA niet vanzelfsprekend rond te krijgen. Trek juridisch advies aan.
Zie ook
- Valt mijn bedrijf onder NIS2 of niet?Twee vragen bepalen het: zit je in een aangewezen sector, en heb je meer dan 50 medewerkers of meer dan 10 miljoen omzet. Daaronder val je alleen indirect, via je klanten.
- Wat verandert er met de Cyberbeveiligingswet?De Cyberbeveiligingswet is de NL-implementatie van NIS2. Inwerkingtreding loopt via de wetgevingsagenda van het ministerie van Justitie en Veiligheid, exacte datum volg je via NCSC.
- Ben ik als directeur persoonlijk aansprakelijk onder NIS2?Ja, het bestuur is verantwoordelijk voor goedkeuring en toezicht op de cybermaatregelen. Bij ernstige nalatigheid kan dat persoonlijk worden.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.