In een wereld waarin data het nieuwe goud is, rijst de vraag: wie bewaakt jouw digitale kluis? Zeker nu Donald Trump opnieuw aan de macht is in de Verenigde Staten, komt de bescherming van persoonsgegevens onder zware druk te staan en dat raakt ook Europese bedrijven, overheden én burgers.
1. De afbrokkelende bescherming van privacy in de VS
De Verenigde Staten hebben geen overkoepelende nationale privacywet zoals wij in Europa kennen. In plaats daarvan zijn er versnipperde sectorale regels, met grote gaten in de bescherming van persoonsgegevens. Amerikaanse overheidsdiensten, zoals de NSA, kunnen op grond van surveillancewetten gegevens opvragen bij bedrijven als Google, Microsoft, Amazon en Meta.
Wat de situatie extra zorgwekkend maakt: de belangrijkste Amerikaanse toezichthouder op dit gebied, de Privacy and Civil Liberties Oversight Board (PCLOB), is feitelijk uitgeschakeld. Nadat drie kritische leden werden ontslagen door president Trump, blijft er slechts één lid over. En dat terwijl deze toezichthouder juist moest garanderen dat Europese privacyrechten in de VS gerespecteerd zouden worden.
Trump heeft bovendien een presidentieel bevel ondertekend dat het hele Data Privacy Framework (DPF) op losse schroeven zet. Dit akkoord was juist bedoeld om veilige data-uitwisseling tussen Europa en de VS te waarborgen, maar nu dreigt ook dit – net als zijn voorgangers – te worden vernietigd.
Gertjan Westerlaken, privacy & security officer Johan.nl: “Dat de VS privacy nog verder laat afbrokkelen, wordt ook duidelijk uit hun laatste begrotings- en belastingwet, Trumps ‘One big, beautiful bill’. Deze wet, die recent is aangenomen door het Huis van Afgevaardigden -, geeft AI vrij spel. Amerikaanse staten mogen de komende tien jaar namelijk geen eigen wetgeving doorvoeren om kunstmatige intelligentie aan banden te leggen. En iedereen weet: AI platforms floreren alleen dankzij hun enorme datahonger. En welke data dat is, weet ook iedereen: uw data, uw persoonsgegevens.”
2. Hoe heeft Europa dit geregeld?
Binnen de Europese Unie hebben we de Algemene Verordening Gegevensbescherming (AVG) – internationaal bekend als de General Data Protection Regulation (GDPR). Deze wet is streng, uniform en geldt voor alle EU-lidstaten. Bovendien heeft de AVG extraterritoriale werking: ook bedrijven buiten de EU moeten zich eraan houden als ze gegevens van EU-burgers verwerken.
Daarnaast geldt in Europa een dataopslagprincipe: persoonsgegevens mogen alleen buiten de EU worden opgeslagen als het betreffende land een gelijkwaardig beschermingsniveau biedt. De EU toetst dat zorgvuldig en verklaarde eerder al dat de VS daarin tekortschoot. Twee keer eerder heeft het Europees Hof van Justitie een datadeal met de VS ongeldig verklaard.
Met de AVG is Europa in principe één rechtsgebied, wat betekent dat gegevens vrij binnen de EU mogen bewegen, zolang ze goed beveiligd zijn. In tegenstelling tot de VS kan de overheid hier niet zomaar je data opvragen zonder tussenkomst van een rechter of wettelijke grondslag.
Gertjan Westerlaken, privacy & security officer Johan.nl: “De AVG is een krachtig Europees antwoord op de noodzaak om persoonsgegevens te beschermen. Omdat Johan.nl is opgericht in dezelfde periode waarin de AVG tot stand kwam, hebben wij de principes van ‘privacy-by-design’ vanaf het begin verankerd in onze software, processen en werkwijze. Daardoor is ons platform van nature veilig en volledig AVG-compliant.
Onze klantdata staat sinds de oprichting bewust uitsluitend op servers in Nederlandse datacenters. Tegelijkertijd vraagt het bouwen van een veilig én schaalbaar platform soms om keuzes waarbij buitenlandse technologie niet volledig te vermijden is.
Zo maken wij – naast onze Nederlandse servers – gebruik van Cloudflare als extra beveiligingslaag. Dat doen wij vanzelfsprekend onder strikte voorwaarden en met aanvullende maatregelen om maximale grip op onze data te behouden. Zo worden onze SSL-certificaten via Cloudflare uitsluitend beheerd op Europese servers, zodat gevoelige informatie binnen de EU blijft.
Op deze manier combineren wij wereldwijde technologische kracht met Europese privacywaarden – een benadering die in het huidige geopolitieke klimaat belangrijker is dan ooit.”
3. Wat is het risico van Amerikaanse softwareleveranciers voor onderzoek?
Voor het uitvoeren van onderzoek – denk aan gezondheidsonderzoeken, klanttevredenheid, beleidsanalyses – maken organisaties vaak gebruik van Amerikaanse tools zoals SurveyMonkey, Google Forms, Microsoft Forms, Qualtrics of QuestionPro. Maar hier zit een aantal risico’s:
- De data die via deze tools verzameld wordt, komt regelmatig (onzichtbaar) terecht op Amerikaanse servers.
- Wanneer je werkt met gevoelige persoonsgegevens (zoals in zorg, overheid, of onderwijs), kan dat ernstige privacyrisico’s opleveren – en eventuele juridische consequenties voor jouw organisatie.
Wat betekent dit concreet voor jouw organisatie?
Als je persoonsgegevens verzamelt of verwerkt met Amerikaanse software, loop je het risico dat:
- Europese privacyregels worden geschonden.
- De toegang tot je eigen data in gevaar komt, bijvoorbeeld als de VS plotseling bepaalde toegang blokkeert.
- Je juridische sancties riskeert van Europese toezichthouders.
- Jouw data in AI trainingsmodellen gebruikt gaan worden, waardoor je de grip op gegevensbescherming nog verder verliest.
Conclusie: Europese data hoort thuis in Europa
De boodschap is duidelijk: bescherm je organisatie, je medewerkers en je klanten door bewust te kiezen voor software die voldoet aan de AVG en waarvan de data in de EU wordt opgeslagen en beheerd. Er zijn voldoende Europese alternatieven voor onderzoeks- en dataverwerkingstools die wél in lijn zijn met onze privacyregels.
In een tijd waarin privacy onder druk staat, is het cruciaal om de regie over je eigen data niet uit handen te geven.
Gertjan Westerlaken, privacy & security officer Johan.nl: “Uiteindelijk gaat het zowel bij privacy als informatiebeveiliging om één simpel motto: ‘Zeg wat je doet; doe wat je zegt én toon dat aan’.
Wij hebben de beloften en kernwaarden uit ons privacystatement volledig kunnen implementeren in onze organisatie en onze software doordat wij ons, vanaf dag 1, keer op keer dezelfde vraag stellen: ‘draagt dit bij aan de privacy van onze klanten?’. Zo nee: weg ermee. Zo ja: doen!En wat aantoonbaarheid betreft: sinds 2018 is Johan b.v. ISO 27001 gecertificeerd. Sindsdien is ieder jaar opnieuw aangetoond dat Johan b.v. voldoet aan strenge eisen met betrekking tot veiligheid en privacy. Daarnaast is Johan b.v. ook NEN 7510 gecertificeerd – de Nederlandse norm voor informatiebeveiliging in de zorg. Deze certificering onderstreept dat Johan b.v. bij het verwerken van gezondheidsgegevens voldoet aan de hoogste beveiligingsstandaarden.”
Wil je zeker weten of jouw organisatie écht AVG-proof werkt?
Laat ons vrijblijvend met je meekijken. Wij helpen je graag inzicht te krijgen in je softwaregebruik en adviseren over veilige, krachtige Europese alternatieven. Neem contact op met support@johan.nl.