Highberg

Zivver overgenomen: bescherming van uw zeer gevoelige gegevens in gevaar

Door: Arjen Bol & Samet Sevencan

In de Tweede Kamer zijn op 18 september vragen gesteld over de overname van de Nederlandse databeveiliger Zivver door het Amerikaanse bedrijf Kiteworks. Zivver levert systemen voor het (versleuteld) uitwisselen van zeer gevoelige informatie, zoals medische gegevens via onder andere e-mail, chat en video.

De klanten van Zivver zijn o.a. ziekenhuizen, zorginstellingen, overheidsinstanties, gemeenten, financiële en juridische dienstverleners.

Hoewel Zivver benadrukt dat data binnen de EU opgeslagen blijft, zorgt het Amerikaanse eigendom voor onzekerheid. Organisaties die Zivver gebruiken voor de veilige communicatie van zeer gevoelige gegevens moeten nu goed nadenken over de risico’s en eventuele alternatieven.

placeholder

De Cloud Act en Amerikaanse regelgeving

Omdat Kiteworks een Amerikaans bedrijf is, valt het onder de Amerikaanse CLOUD Act. Via deze wet kan de Amerikaanse overheid organisaties zoals Kiteworks dwingen om toegang te krijgen tot data die door hen wordt beheerd, zelfs als deze data fysiek in Europa wordt verwerkt. In de praktijk betekent dit dat gevoelige informatie kan worden opgevraagd door Amerikaanse autoriteiten.

Juridisch moet Kiteworks de privacy van EU-burgers respecteren, maar Amerikaanse wetten kunnen toegang afdwingen.

Dat betekent concreet dat:

  • gevoelige gegevens zoals patiëntendossiers, gemeentelijke beschikkingen en juridische communicatie kunnen door Amerikaanse autoriteiten worden opgevraagd;
  • u niet op de hoogte gesteld hoeft te worden van deze opvragingen;
  • de AVG u verplicht om de privacy van EU-burgers continu te beschermen. Zonder het te weten komt u deze verplichting niet na, waardoor u boetes, juridische claims en reputatieschade riskeert;
  • uw reputatie direct schade oploopt zodra klanten, patiënten, of burgers twijfelen aan de veiligheid van hun gegevens.

Handelingsperspectief

Gebruikt uw organisatie, een ketenpartner of een klant Zivver voor het veilig uitwisselen van zeer gevoelige informatie? Neem dan de volgende stappen:

  1. Inventariseer de juridische en technische risico’s die u loopt na de overname van Zivver.
  2. Stel vast of deze risico’s voor u en uw stakeholders acceptabel zijn.
  3. Neem maatregelen op basis van uw risico-inschatting:
    1. Is de uitkomst dat Zivver gebruikt kan blijven worden, maar wilt u meer zekerheid van de leverancier? Overweeg om aanvullende afspraken met Zivver te maken, individueel of op brancheniveau;
    2. Is de uitkomst dat Zivver niet meer gebruikt kan worden? Stel een exit-strategie op en start met een marktverkenning voor een alternatieve oplossing.

Ondersteuning en advies vanuit Highberg

Onze ervaren security- en privacy-experts helpen uw organisatie bij het uitvoeren van bovengenoemde stappen. Wij kijken verder dan alleen technische functionaliteiten en beveiliging: ook gebruiksgemak, naleving van wet- en regelgeving en de praktische inzetbaarheid in de dagelijkse werkprocessen nemen wij mee. Zo zorgen wij ervoor dat uw organisatie weloverwogen keuzes maakt die niet alleen toekomstbestendig zijn, maar ook naadloos aansluiten bij uw strategische doelen.

Meer weten? Neem contact op met Arjen Bol

Gerelateerde Insights

divider