Europese AVG-waakhond werpt twijfels op over cloudencryptie

Aanbieders van clouddiensten moeten mogelijk hun reactie op de ongeldigverklaring van de Privacy Shield-overeenkomst herzien. Simpelweg invoeren van encryptie voor data geeft in het licht van de Schrems II-uitspraak niet automatisch garantie dat aan de AVG wordt voldaan. Het Europees Comité voor gegevensbescherming (de European Data Protection Board, EDPB) stelt in een aangescherpte richtlijn dat encryptiegebruik kán helpen, maar dat daarbij wel een belangrijke voorwaarde geldt.

Grensoverschrijdend

Vertrouwen op versleuteling van gegevens die worden uitgewisseld tussen de EU en VS kan in wezen alleen als de gebruikte encryptiesleutels níet de grens overgaan. Om 'AVG-proof' te zijn in de nieuwe datawereld ná de Schrems II-uitspraak van het Europese Hof van Justitie moeten sleutels zelf binnen vertrouwde landen blijven. Dit omvat lidstaten van de EU en andere landen die formeel op de lijst van 'AVG-vertrouwden' staan.

De kanttekening voor versleuteling ondermijnt mogelijk de toepassing van encryptie waarbij cloudgebruikers eigen systemen daarvoor benutten, schrijft The Register. Dit zogeheten bring-your-own-key encryptie (BYOK) laat organisaties eigen diensten gebruiken voor data in cloudomgevingen van aanbieders, die veelal van Amerikaanse bodem zijn. De gebruikte BYOK-diensten vallen ook onder de AVG-vereiste, wat bij decryptie door cloudaanbieders dan toch grensoverschrijdend kan zijn. De aangescherpte privacyregels van de EDPB zijn eerder deze maand al gepubliceerd.