Op 16.07.20 vernietigde het Europese Hof van Justitie het raamwerk voor gegevensbescherming tussen de VS en Europa. Hoewel dit niet meteen het einde betekent van de gegevensoverdracht tussen de twee continenten, heeft het verstrekkende gevolgen. Laten we er snel naar kijken.

Privacy Shield – Wat houdt het in?

De Data Agreement is begin 2016 in werking getreden als opvolger van de Safe Harbor Agreement. Het doel van het Privacy Shield was volgens de makers ervan om niet alleen wettelijke zekerheid te bieden voor burger met een hoger beschermingsniveau, maar ook voor Europese bedrijven die gegevens uitwisselen met de VS. Amerikaanse bedrijven zouden dus verplicht zijn de gegevens van EU-burgers op te slaan zolang ze voor het oorspronkelijke doel werden gebruikt. Deskundigen op het gebied van gegevensbescherming hadden vanaf het begin kritiek op deze overeenkomst, omdat zij vermoedden dat deze geen significante wijzigingen zou opleveren in vergelijking met de vorige Safe Harbor-overeenkomst.

Als voorbeeld, het Privacy Shield deed toenadering tot een betere gegevensbescherming, maar dit was nog lang niet volgens de Europese norm. Met name de Amerikaanse geheime diensten hadden zonder beperkingen toegang tot gegevens van EU-burgers. Dit feit bracht het Hof ertoe het Privacy Shield ongeldig te verklaren.

Weg met het Privacy Shield – en wat nu?

Kunnen er nog steeds gegevens tussen de VS en Europa worden uitgewisseld? Het is duidelijk dat het verwijderen van de Privacy Shield overeenkomst voor verwarring zorgt. Allereerst is het belangrijk te beseffen dat er onderscheid moet worden gemaakt tussen particulieren en bedrijven. Particulieren kunnen nog steeds privé e-mails naar de VS sturen of een boeking maken op een Amerikaanse website. Voor bedrijven ligt de situatie anders.

Ongeveer 5.000 bedrijven worden rechtstreeks getroffen door de beslissing van het Hof van Justitie, aangezien zij een beroep doen op de Privacy Shield bij het overdragen van gegevens naar de VS. Dit zijn onder meer bedrijven zoals Facebook, Microsoft en Amazon. Om ervoor te zorgen dat in eerste instantie juridische gegevensuitwisseling naar de Verenigde Staten door blijven gaan, kunnen bedrijven zich ook beroepen op de standaardcontractbepalingen die tot nu toe van kracht waren. Maar ook hier is de vraag: kunnen deze nog geldig zijn, ook al kunnen ze de toegang door geheime diensten niet uitsluiten?

Vooral Duitse experts op het gebied van gegevensbescherming beginnen te praten over de digitale onafhankelijkheid van Europa. De Berlijnse gegevensbeschermingsdeskundige Maja Smoltczyk roept bijvoorbeeld degenen die verantwoordelijk zijn voor de doorgifte van persoonsgegevens naar de VS op om over te schakelen naar dienstverleners in de EU om een passend niveau van gegevensbescherming te waarborgen.

Er kan daarom van worden uitgegaan dat er geen “groen licht” zal zijn over de gegevensbescherming discussie om de wettelijke onzekerheid te overwinnen.

Wat houdt dit in voor Hornetsecurity klanten?

In principe levert Hornetsecurity haar voornaamste dienstverlening vanuit Duitsland binnen beveiligde datacenters aldaar. Er is geen gegevensuitwisseling met de VS en Hornetsecurity wordt daarom niet rechtstreeks beïnvloed door dit besluit.

Alle subcontractors in een derde land in opdracht van Hornetsecurity, die het Privacy Shield hebben benoemd als basis voor gegevensoverdracht, hebben ook een alternatieve juridische grondslag, zodat als een juridische grondslag niet meer van toepassing is, een van de andere alternatieven het overneemt. De twee andere varianten voor de overdracht van gegevens uit Europese Economische Gebied naar andere landen, met name naar de Verenigde Staten, zijn bindende bedrijfsregels / bindende interne gegevensbeschermingsregels en EU-contractuele standaardbepalingen / EU-contractbepalingen. Onze klanten vinden de exacte informatie over onze subcontractors in de Order Processing Agreement in Annex 3.

Hornetsecurity warns of phishing and malware attacks that pretend to be from global health organizations

Reports of new cases of Coronavirus infection are appearing rapidly. The pictures of sealed-off cities and people in quarantine suggest a horrifying scenario. But the virus is not only a risk in the analogue world: the growing fear is shamelessly exploited by cyber criminals with targeted phishing and malware campaigns. Sadly, there is now a Coronavirus infection risk via email.

Since the beginning of February, the Hornetsecurity Security Lab has observed an increased volume of emails sent in the name of the World Health Organization and the Centers for Disease Control and Prevention. The messages explicitly take advantage of people’s fear of the virus.

For example, a link provides an alleged list of new cases of infection in the immediate vicinity. The recipient would be able to access this list by entering an email address and a password. This is a classic phishing email that is intended to steal sensitive data. In other cases a download link or an attached document is offered. Both promise information on security measures to protect against infection.

If the link is clicked or the document is opened, a malicious file will be downloaded. There is a substantial risk that the IT system could be infected with a virus or ransomware.

Increase in attacks that reference current events

The experts at Hornetsecurity point out that more and more often, current events with a high emotional charge are being used as hooks for large-scale phishing and malware campaigns. By exploiting people’s emotions, cyber criminals know their emails will receive more attention and be seen as more credible. The probability that the messages will be opened increases.

The Coronavirus mailing is only one of many current cases. There have been similar mail attacks referencing the climate protests initiated by Greta Thunberg, GDPR and the bush-fires in Australia—all of these are actual exploits that have been intercepted by Hornetsecurity.

Since email communication in companies is still the number one gateway for cyber attacks, employees must be made aware of this issue in addition to setting up effective protection mechanisms. Detecting phishing emails is not easy – but not impossible either. To vet suspicious messages, the following areas should be checked:

• The sender’s email address can provide information about the true origin of the message. If it is not plausible or contains spurious letters or cryptic symbols, this is a warning sign.
• Large-scale phishing campaigns often only use a generic form of address for the recipient.
• Incorrect spelling and grammar and an unprofessional layout are also an indication.
• The use of pressure is a common tactic. This is intended to undermine critical thinking.
• Cyber criminals often try to get the recipient to open a URL or attachment. Email attachments can present serious risks.

Further Information:

• Blogpost: Cyber-criminals spread Emotet in the name of Greta Thunberg
• Blogpost: Formjacking – The New Invisible Threat in Cyberspace