Skip to main content

Strengere privacy-wetgeving jaagt juist privacy-bedrijven weg

Het dreigement van de Amerikaanse chatapp Signal om Europa te verlaten voert Proton al uit in Zwitserland. Strengere surveillancewetgeving zet privacy-bedrijven onder druk en mogelijk ook hun gebruikers.

Het dreigement van Signal om de EU te verlaten als die de wet aanneemt om verplicht backdoors voor overheden te plaatsen, moet serieus genomen worden. Dat laat Proton zien, de Zwitserse aanbieder van privacygerichte online-diensten. Het bedrijf is nog wel in Zwitserland gevestigd, maar wil vanwege vergelijkbare ontwikkelingen zijn activiteiten in andere landen onderbrengen. De Zwitserse regels worden strenger dan in de EU of de VS, door het verplicht registreren en met de overheid delen van metadata, zoals ip-adressen en mailontvangers, in realtime en zónder gerechtelijk bevel.

Strengere wet kost veel geld

‘Proton zal zich nooit onderwerpen aan een verordening die de Zwitserse wetgeving strenger maakt dan die van de Europese Unie,’ zei ceo Andy Yen eerder tegen de Tribune de Genève. ‘Hoe kunnen we geloofwaardig blijven als we moeten meewerken aan overheidsspionage die zelfs verder gaat dan wat Amerikaanse wetten vereisen?’

Proton heeft nog iets meer dan tweehonderd mensen in dienst in Zwitserland. De kwestie speelt al een tijdje. In 2021 wist het bedrijf er nog een rechtszaak over te winnen, maar verplaatste het, vanwege het risico onder de nieuwe wetgeving te vallen, toen al de meeste computerservers van Zwitserse naar Duitse en Noorse datacenters. Nu de Zwitserse overheid alsnog verder lijkt te willen met een nieuwe wet heeft Yen al aangekondigd investeringen in Zwitserland te bevriezen en in plaats daarvan honderd miljoen Zwitserse frank te pompen in datacenters in Duitsland en Noorwegen.

Wordt de EU ook te streng?

Nu dreigt strengere wetgeving in de EU ook voor problemen te zorgen, bijvoorbeeld voor bedrijven uit landen buiten de Europese Economische Ruimte (EER). ‘Datasoevereiniteit is al jarenlang een belangrijk onderwerp,’ legt Stephan Mulders uit. Hij is advocaat bij Blenheim en gespecialiseerd in het privacyrecht. ‘De AVG stelt in principe twee eisen qua data-overdracht. De eerste is dat je een transfer-mechanisme moet hebben, dat wil zeggen dat er sprake moet zijn van een zogeheten adequaatheidsbesluit, of een SCC (een Standard Contractual Clauses, een modelcontract, n.v.d.r.), en als je dat laatste hebt moet je ook aanvullende maatregelen nemen om eenzelfde beveiligingsniveau te bereiken als in de EU. Verder moet je passende maatregelen nemen om de persoonsgegevens te beveiligen.’

‘Momenteel is er een adequaatheidsbesluit voor de VS, dat is recent nog bevestigd door het Hof van Justitie. Echter, als de VS aanvullende surveillance- en inzageverplichtingen opleggen, dan kan dat adequaatheidsbesluit onder druk komen te staan’, vervolgt Mulders. ‘Los daarvan moet je als verwerkingsverantwoordelijke een inschatting maken van de beveiligingsrisico’s voor jouw data. Als je op basis daarvan tot de conclusie komt dat bijvoorbeeld de Amerikaanse overheid de gegevens op de Amazon-cloud kan inzien, dan moet je maatregelen nemen om die risico’s te verminderen. Een van die maatregelen is dat je de data volledig versleuteld, en zo op de cloud opslaat. Dan kán Amazon er niet meer bij en de Amerikaanse overheid dus ook niet meer. Datzelfde geldt voor de E2E encryptie van Proton. Dan kan Proton er zelf ook niet meer bij.’

‘Voor zover bekend is er in de VS en de EU tot op nu toe geen verplichting om een backdoor in te bouwen in encryptie, al is de EU nu wel bezig met een zeer controversiële wet om zo’n backdoor te verplichten om kinderporno te bestrijden,’ waarover Signal zich momenteel dus zo druk maakt.

Kanarie in de privacy-kolenmijn

‘Ik denk dat het vertrek van Proton de kanarie in de kolenmijn is. Het laat zien dat je bij een keuze voor buitenlandse cloud- of saasdiensten constant op je hoede moet zijn voor veranderingen in buitenlandse wetgeving.

Verder lezen bij de bron
IB&P

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

De nieuwe Archiefwet: waarom informatiebeveiliging hierbij moet aanhaken
Op 1 januari 2027 treedt de nieuwe Archiefwet in werking. Op het eerste gezicht lijkt dat vooral een onderwerp voor informatiebeheer, DIV, de gemeentearchivaris of juridische zaken. Toch raakt de nieuwe wet ook duidelijk aan informatiebeveiliging.
Waarom BIO2 vooral om eigenaarschap in de lijn vraagt
BIO2 maakt informatiebeveiliging nadrukkelijk onderdeel van goed management: proceseigenaren moeten risico’s kennen, keuzes maken en opvolging organiseren. Daarmee verschuift de focus van losse maatregelen naar aantoonbaar eigenaarschap, samenwerking en risicogestuurde sturing binnen de gemeentelijke praktijk.
Jouw leverancier, jouw risico: Waarom ketenrisico’s geen IT-probleem zijn
Veel gemeenten vertrouwen op leveranciers, maar blijven zelf verantwoordelijk voor de risico’s in de keten. In deze blog lees je waarom ketenrisico’s actief bestuurd moeten worden en hoe je als organisatie grip krijgt op leveranciers, contracten en continuïteit.

Meer recente berichten

Applicatiebeveiliging kraakt onder de snelheid van AI-ontwikkelingen
Verder lezen
Evaluatie datalek gemeente Epe
Verder lezen
Waarom informatiebeveiliging nooit af is
Verder lezen
De Cloud Act en digitale soe­ve­rei­ni­teit ontrafelt
Verder lezen
AI zet decennia cybersecurity op zijn kop
Verder lezen
Privacyklachten stijgen explosief – en de overheid staat in de top 3
Verder lezen
Maatregelen nodig voor automatisering Van Brienenoordbrug
Verder lezen
AP stelt procesbeschrijving voor verscherpt toezicht vast
Verder lezen
Digitale weerbaarheid: waarom een strategische aanpak noodzakelijk is
Verder lezen
Privacyschending bij de verkoop van ‘verloren pakketten’: Bol start onderzoek
Verder lezen