Een lezer vroeg me:
Pas heb ik ‘Advanced Data Protection’ van Apple op mijn iCloud-account geactiveerd. Toen kwam bij mij de volgende gedachte op: Als mijn data volledig versleuteld is, en ik ben de enige die sleutels heeft, maakt het dan (voor AVG/GDPR) uit waar die data opgeslagen is?
Wanneer persoonsgegevens buiten de EU (eigenlijk de Economische Ruimte) opgeslagen worden, gelden daar allerlei eisen voor die kort gezegd neerkomen op het tegenhouden van buitenlandse datagraaiers. De ideale oplossing is als het land erkend is als adequaat, zoals is gebeurd bij Zuid-Korea of het Verenigd Koninkrijk, maar je kunt ook goochelen met dingen als bindende bedrijfsvoorschriften of de model contractuele clausules.
Als het niet gaat om persoonsgegevens, dan gelden al die regels niet. En daar zit hem de kneep: is een encrypted blob nu wel of niet een (set) persoonsgegeven(s)? Het antwoord daarop beantwoordt meteen de vraag of de AVG van toepassing is. Er is niet zoiets als “een beetje van toepassing”, je valt onder de AVG en de héle berg eisen, of je valt er volledig buiten.
Het onleesbaar maken van persoonsgegevens is in de terminologie van de AVG een vorm van pseudonimiseren, de herleidbaarheid onmogelijk maken tenzij je beschikt over extra informatie. Een decryptiesleutel is daarvan een voorbeeld. Dus wie de definities letterlijk leest, ontkomt niet aan de conclusie dat dit gewoon onder de AVG valt – die blob bevat persoonsgegevens, ze zijn heel goed beveiligd maar ze zitten er toch echt in.
Vorige week blogde ik over het Breyer-arrest en haar opvolger. Een IP-adres is daar een voorbeeld van een persoonsgegeven, omdat het via wettige middelen kan worden herleid tot een persoon. En in die opvolger werd bepaald dat je de analyse over herleidbaarheid moet doen vanuit het perspectief van de ontvanger van de gegevens. Dat het in abstracto voor iemand mogelijk is om de identificatie te doen (de decryptie) is niet genoeg, kon specifiek die ontvanger dit doen met redelijke en wettige middelen?
Vertaald naar deze casus is dan dus goed verdedigbaar dat die buitenlandse partij zich niet aan de AVG hoeft te houden. Die mag dus alles doen dat hij wil (binnen het contract) met die blob. Niet erg, want het is een encrypted blob dus wat gaat hij doen?
Maar voor de klant van die hostingpartij blijft de blob gewoon persoonsgegevens bevatten. Hij kan immers de encryptie triviaal ongedaan maken, hij heeft namelijk de sleutel. En dat betekent ook dat hij de data niet op een buitenlandse server mag zetten, tenzij het land waar hij dat doet adequaat is, er BCR of MCC zijn of een van de andere uitzonderingen van toepassing zijn. De regels zijn dus precies hetzelfde als wanneer je plaintext gegevens ergens wilt parkeren.
Ik geef toe, dat doet vreemd aan want juist als je gegevens sterk versleutelt dan zou er niets mee moeten kunnen gebeuren. En dan zijn er ook geen risico’s voor betrokkenen. Maar bekijk het eens zo: als de sleutel toch ooit uitlekt, en die blob staat in een land waar persoonsgegevens vogelvrij zijn, dan zou de hostingpartij die lekker kunnen ontsleutelen en met de gegevens aan de haal gaan – waar mensen dan niets tegen kunnen doen. En ook dat is niet de bedoeling.
Arnoud
https://blog.iusmentis.com/2023/05/25/vallen-encrypted-data-ook-onder-de-avg-als-ik-ze-elders-opsla/