Ons antwoord op Schrems II

Bijgewerkt: 8 augustus 2023

CBRE zet zich in om de gegevensbescherming en privacyrechten van onze klanten, werknemers en belanghebbenden over de hele wereld te waarborgen, waar we ook zaken doen. CBRE heeft proactief gereageerd op de recente wijzigingen met betrekking tot grensoverschrijdende gegevensoverdrachten, waaronder die in Europa en China. 

Europa

Sinds de "Schrems II"-uitspraak van het Hof van Justitie van de Europese Unie in 2020, hebben we gecoördineerde stappen ondernomen en blijven we die nemen om te voldoen aan de vereisten voor gegevensoverdracht onder de veranderende Europese privacywetgeving, waaronder:

  • Het uitvoeren van een reeks Transfer Impact Assessments voor deoverdracht van gegevens naar CBRE-locaties, waaronder naar CBRE, Inc. en haar Amerikaanse dochterondernemingen ("CBRE US"). In het Transfer Impact Assessment voor CBRE US werd geconcludeerd dat  (i) dergelijke overdrachten rechtmatig  kunnen doorgaan, aangezien ze niet onderworpen zijn aan openbaarmaking aan Amerikaanse inlichtingenautoriteiten op grond van de U.S. Foreign Intelligence Surveillance Act Section 702 (50 U.S.C. §1881a) ("FISA 702") of Uitvoeringsbesluit 12333.
  • Uitvoeringsbesluit 14086, zoals beoordeeld door de Europese Commissie in het adequaatheidsbesluit voor het EU-US Data Privacy Framework, heeft de gegevensbescherming en privacywaarborgen voor niet-Amerikaanse personen aanzienlijk verhoogd door duidelijke en precieze regels vast te stellen, evenals noodzakelijkheids- en evenredigheidsbeginselen voor Amerikaanse inlichtingenactiviteiten, en een nieuw tweeledig verhaalmechanisme, dat zelfs van toepassing is als CBRE US (nog) niet gecertificeerd is onder het nieuwe EU-US Data Privacy Framework.
  • Implementatie van een kader voor het uitvoeren van Transfer Impact Assessments voor gegevensoverdrachten buiten de EU/EER.
  • Blijven vertrouwen op de SCC’s van de EU (zoals bijgewerkt) voor de doorgifte van persoonsgegevens vanuit de EU/EER naar niet-EU/EER-landen en, indien aangegeven in het relevante Transfer Impact Assessment, aanvullende maatregelen implementeren zoals aanbevolen door het Europees Comité voor gegevensbescherming (EDPB) en andere toezichthoudende autoriteiten van de EU.
  • Het implementeren van passende waarborgen met betrekking tot andere Europese landen die overdrachtsvereisten opleggen, zoals het aannemen van het UK addendum en het doorvoeren van de wijzigingen die vereist zijn onder de Zwitserse wetgeving.
  • Het aanvullen van CBRE’s wereldwijde Data Privacy beleid met een "Inadequate Jurisdiction Order Disclosure Standard" volgens welke CBRE, naast andere maatregelen, alle redelijke juridische stappen zal ondernemen om openbaarmakingsbevelen van inadequate derde landen aan te vechten en op te schorten en om alleen de minimale gegevens te produceren die nodig zijn voor wettelijke naleving.
  • Toenemende EU/EER datalokalisatie.

China

Om naleving van de wetgeving inzake Cybersecurity en bescherming van persoonsgegevens te waarborgen, inclusief de rechtmatige overdracht van Chinese gegevens buiten China, heeft CBRE alle relevante Multi-Level Protection Scheme certificeringen verkregen en de maatregelen voor het standaardcontract voor uitgaande overdracht van persoonsgegevens geïmplementeerd door het door de Cyberspace Administration of China (CAC) uitgegeven standaardcontract aan te nemen en privacy impact assessments uit te voeren voor grensoverschrijdende gegevensoverdracht.

Cryptografie 

CBRE maakt gebruik van sterke cryptografische technologie die is afgestemd op de nieuwste best practice beveiligingsstandaarden in overeenstemming met de internationaal erkende normeringsinstanties, waarbij encryptie-algoritmen waarvan bekend is dat ze zwakke plekken of exploits bevatten, worden vermeden. We hebben wereldwijd Information Security beleid dat wordt ondersteund door een standaard voor gegevensclassificatie en cryptografiestandaarden die betrekking hebben op gegevensclassificaties, cryptografische algoritmen en het gebruik van encryptie. 

  • In transit: CBRE implementeert beschermende maatregelen tegen actieve en passieve aanvallen op de verzendende en ontvangende systemen die transportversleuteling bieden, zoals adequate firewalls, wederzijdse TLS-codering, API-authenticatie en codering om de gateways en pijplijnen te beschermen waar gegevens doorheen reizen, evenals testen op kwetsbaarheden in software en mogelijke achterdeurtjes. We gebruiken effectieve versleutelingsalgoritmen en parametrering over niet-vertrouwde netwerken met Transport Layer Security (TLS) protocol 1.2 of hoger, SSH 2 (Secure Shell), IPsec (IP Security).
  • In rust: CBRE versleutelt ook gegevens in rust, passend bij declassificatie van de gegevens, door gebruik te maken van effectieve coderingsalgoritmen en parametrering, waaronder Symmetric Key Algorithms - Advanced Encryption Standard (AES) en Triple Data Encryption Standard of Asymmetric Key Algorithms - Rivest, Shamir & Adelman (RSA) en Elliptic Curve Digital Signature Algorithm (ECDSA). CBRE staat het schrijven van gegevens naar verwisselbare media in het algemeen niet toe. Wanneer een dergelijk apparaat nodig is, wordt een tijdelijke uitzondering gemaakt en gedurende de gehele duur ervan beheerd. Gebruikers die een legitieme behoefte hebben om USB-opslag te gebruiken, worden voor dit doel voorzien van een gecodeerde USB-drive.

Hashing Functies:
De hashfuncties die worden gebruikt, omvatten SHA‐2 en SHA‐3, maar geen verouderde functies zoals MD5 en SHA-1.

Voor meer informatie over CBRE's aanpak van grensoverschrijdende gegevensoverdracht kunt u contact opnemen met CBRE's Global Data Privacy Office.


Elizabeth Atlee
Chief Ethics & Compliance Officer

Shannon Clark
Global Director and Associate General Counsel – Data Protection and privacy