DOJ Enforcement Under the National Security Division’s Data Security Program

Het beschermen van gevoelige gegevens is nog nooit zo belangrijk geweest. In een geglobaliseerde wereld met geavanceerde cyberdreigingen, verfijnde spionagetechnieken en externe gegevensmonetisatie is verhoogde beveiliging cruciaal om gevoelige informatie te beschermen tegen diefstal en misbruik. De recente implementatie van het Data Security Program (DSP) van het Amerikaanse ministerie van Justitie (DOJ) laat zien hoe serieus de overheid de dreiging van toegang tot dergelijke gegevens door buitenlandse tegenstanders neemt. Amerikaanse personen en bedrijven die persoonsgegevens van Amerikanen verzamelen of informatie verzamelen die verband houdt met personeel van de Amerikaanse overheid, worden nu geconfronteerd met verplichte beperkingen en verboden bij het overdragen van deze gegevens aan geïdentificeerde landen en personen die aanleiding geven tot bezorgdheid. Nu de overgangsperiode voor de handhaving van het programma officieel is verstreken op 8 juli 2025^[1], leidt het niet onmiddellijk naleven ervan tot strenge civielrechtelijke en strafrechtelijke sancties.

Achtergrond

Het DSP stelt in wezen exportbeperkingen vast die buitenlandse tegenstanders, en degenen die onder de controle en leiding van die tegenstanders staan, verhinderen toegang te krijgen tot gegevens die verband houden met de Amerikaanse overheid en gevoelige persoonlijke gegevens van Amerikaanse burgers.

De DSP werd uitgevaardigd krachtens de International Emergency Economic Powers Act (IEEPA) en in overeenstemming met Executive Order 14117, met betrekking tot het voorkomen van toegang tot gevoelige persoonsgegevens van Amerikanen en gegevens met betrekking tot de Amerikaanse overheid door landen die aanleiding geven tot bezorgdheid.^[2] Hoewel de ingangsdatum van het programma 8 april 2025 was, kondigde de National Security Division (NSD) van het Amerikaanse ministerie van Justitie een uitstel van 90 dagen aan, zodat Amerikaanse burgers en bedrijven extra tijd krijgen om de nodige wijzigingen door te voeren om aan de voorschriften te voldoen en met de NSD in gesprek te gaan over DSP-gerelateerde kwesties.

Nu de respijtperiode is verstreken, wordt van personen en entiteiten verwacht dat zij zich volledig aan de regels houden, en kan de NSD beginnen met het handhaven van mogelijke overtredingen. Het DSP is bedoeld om het voortdurende streven van buitenlandse tegenstanders om commerciële activiteiten te gebruiken om toegang te krijgen tot, misbruik te maken van en wapens te maken van bepaalde categorieën van Amerikaanse overheidsgegevens en gevoelige persoonlijke gegevens, aan te pakken. Aangezien het programma in overeenstemming is met verschillende prioriteiten van de regering-Trump, moeten Amerikaanse bedrijven rekening houden met agressieve handhaving en ervoor zorgen dat zij aan de regels voldoen.^[3]

Gedekte landen en personen

De DSP beperkt en verbiedt Amerikaanse personen en entiteiten om bepaalde transacties uit te voeren met betrekking tot gegevens van de Amerikaanse overheid en de persoonsgegevens van Amerikanen met "landen van zorg" of "betrokken personen".

Op 11 april 2025 heeft de NSD een nalevingsgids met betrekking tot het DSP uitgegeven, waarin elk van de volgende landen als een "zorgwekkend land" werd aangemerkt:

China (inclusief Hongkong en Macau)
Cuba
Iran
Noord-Korea
Rusland
Venezuela

Deze landen werden geïdentificeerd als landen die de intentie en het vermogen hebben om overheidsgerelateerde gegevens en gevoelige persoonlijke gegevens van Amerikanen te gebruiken om de nationale veiligheid van de VS op verschillende manieren te bedreigen.^[4]

"Betrokken personen" worden in de definitieve regel omschreven als (1) buitenlandse entiteiten die hun hoofdkantoor hebben in of zijn opgericht volgens de wetgeving van een betrokken land of die voor het grootste deel eigendom zijn van een of meer betrokken landen of andere betrokken personen, (2) buitenlandse entiteiten die voor het grootste deel eigendom zijn van een betrokken land of een andere betrokken persoon, (3) buitenlandse personen die werknemers of contractanten zijn van een land van zorg of een onder de regel vallende persoon, (4) buitenlandse personen die voornamelijk in een land van zorg wonen, en (5) personen die door de NSD worden aangewezen en openbaar worden geïdentificeerd.^[5] Wat subcategorie (5) betreft, zal de NSD personen aanwijzen en toevoegen aan een gepubliceerde lijst van betrokken personen nadat is vastgesteld dat deze personen aan bepaalde criteria voldoen, zoals het feit dat zij onder de eigendom en zeggenschap van een zorgwekkend land vallen.^[6]

Gedekte en vrijgestelde gegevenstransacties

Om te bepalen of de vereisten van het DSP van toepassing zijn op een bepaalde Amerikaanse persoon of entiteit, is het essentieel om inzicht te hebben in het soort gegevens waar het om gaat en de transacties die onder het programma vallen. Als een bedrijf gegevens verwerkt die onder het programma vallen, zal het in bepaalde omstandigheden worden beperkt of zelfs verboden om dergelijke informatie over te dragen.

Gedekte transacties: Elke transactie waarbij een van de betrokken landen of gedekte personen toegang heeft tot overheidsgerelateerde gegevens of gevoelige persoonlijke gegevens van de VS in bulk, is onderworpen aan DSP-beperkingen. Om een "gedekte transactie" te zijn, moet de transactie ook betrekking hebben op (1) gegevensbemiddeling, (2) een leveranciersovereenkomst, (3) een arbeidsovereenkomst of (4) een investeringsovereenkomst.^[7]

"Overheidsgerelateerde gegevens": bepaalde geolocatiegegevens met betrekking tot overheidsactiviteiten,^[8] en alle gevoelige persoonsgegevens, ongeacht de omvang ervan, die een transactiepartij op de markt brengt als gekoppeld of koppelbaar aan huidige of recente voormalige werknemers of contractanten van de Amerikaanse overheid, zoals een Amerikaans bedrijf dat reclame maakt voor de verkoop van een set gevoelige persoonsgegevens die toebehoren aan "overheidsmedewerkers".^[9]

"Gevoelige persoonlijke gegevens van Amerikaanse burgers in bulk": een verzameling of reeks gevoelige persoonlijke gegevens met betrekking tot Amerikaanse burgers, in welk formaat dan ook.^[10] "Gevoelige persoonsgegevens" omvatten (1) gedekte persoonlijke identificatiegegevens, (2) nauwkeurige geolocatiegegevens, (3) biometrische identificatiegegevens, (4) menselijke genomische gegevens, (5) persoonlijke gezondheidsgegevens en (6) persoonlijke financiële gegevens of een combinatie daarvan.^[11]

Onder het DSP zijn er twee algemene categorieën van transacties die onder de regeling vallen: 1) verboden transacties en 2) beperkte transacties.

Verboden transacties: hebben over het algemeen betrekking op gegevensbemiddeling met een land van zorg of een betrokken persoon en verbieden elke Amerikaanse persoon om deel te nemen aan een betrokken transactie, behoudens bepaalde uitzonderingen, en transacties waarbij een land van zorg of een betrokken persoon toegang krijgt tot bepaalde gevoelige Amerikaanse gegevens in bulk.^[12]

Beperkte transacties: hebben over het algemeen betrekking op gegevenstransacties in het kader van leveranciersovereenkomsten, arbeidsovereenkomsten of investeringsovereenkomsten, behoudens bepaalde uitzonderingen, die beperkt zijn tenzij de Amerikaanse persoon voldoet aan specifieke veiligheidseisen.^[13]

Vrijgestelde transacties: Verschillende transacties zijn vrijgesteld van de anderszins geldende verboden en beperkingen. Dergelijke vrijstellingen omvatten, maar zijn niet beperkt tot:

Informatie of informatiemateriaal;
Financiële diensten;
Transacties binnen een bedrijfsgroep (die gewoonlijk verband houden met en deel uitmaken van administratieve of ondersteunende bedrijfsactiviteiten);
Transacties die vereist of toegestaan zijn door federale wetgeving of internationale overeenkomsten;
Investeringsovereenkomsten die onderworpen zijn aan een CFIUS-maatregel;
Telecommunicatiediensten;
Vergunningen voor geneesmiddelen, biologische producten en medische hulpmiddelen; en
Andere klinische onderzoeken en gegevens uit post-market surveillance (die gewoonlijk verband houden met en deel uitmaken van klinische onderzoeken die worden gereguleerd door de Amerikaanse Food and Drug Administration of de verzameling en verwerking van bepaalde klinische zorggegevens of gegevens uit post-marketing surveillance).^[14]

Licenties

Het DOJ kan via de NSD algemene of specifieke vergunningen afgeven voor het uitvoeren van een gegevensverwerking die anders in strijd zou zijn met de DSP. Een algemene vergunning geeft toestemming voor een bepaald type transactie, met inachtneming van verboden of beperkingen, zonder dat een specifieke vergunning hoeft te worden aangevraagd.^[15] Een specifieke vergunning is een document dat door de NSD aan een bepaalde persoon of entiteit wordt afgegeven en waarmee een bepaalde transactie wordt toegestaan.^[16]

Implementatie en handhaving door het Amerikaanse ministerie van Justitie

De DSP wordt beheerd en gehandhaafd door de Foreign Investment Review Section (FIRS) van de NSD, die verantwoordelijk is voor de niet-strafrechtelijke inspanningen van het DOJ om nationale veiligheidsrisico's voor grensoverschrijdende transacties, bedrijven en technologie aan te pakken en te beheren die worden gevormd door bedreigingen zoals buitenlandse tegenstanders. De FIRS kan ook verzoeken om advies behandelen die worden ingediend door potentieel gereguleerde partijen met betrekking tot de toepassing van het DSP op specifieke transacties, wat een mechanisme is dat is opgenomen in de definitieve regel met betrekking tot het DSP.^[17]

Alle civiele of strafrechtelijke vervolgingen in verband met schendingen van de DSP zullen waarschijnlijk worden behandeld door de NSD of worden doorverwezen naar het bevoegde Amerikaanse openbaar ministerie. Amerikaanse bedrijven moeten ervan uitgaan dat de handhaving van de DSP grotendeels overeenkomt met traditionele maatregelen tegen schendingen van exportcontroles of sancties. Zowel de DSP als de Amerikaanse economische sanctieregelingen ontlenen hun bevoegdheid aan de IEEPA. De civielrechtelijke en strafrechtelijke aansprakelijkheid onder de IEEPA kan aanzienlijk zijn, met civielrechtelijke boetes tot maximaal 386.136 dollar of tweemaal de waarde van elke overtredende transactie, en strafrechtelijke boetes tot maximaal 20 jaar gevangenisstraf, een boete van 1.000.000 dollar, of beide.^[18] Daarom moeten Amerikaanse personen of bedrijven waarvan de activiteiten onder de werkingssfeer van de DSP kunnen vallen, vroegtijdig en regelmatig contact opnemen met een advocaat om ervoor te zorgen dat aan de juiste nalevings- en rapportagevereisten wordt voldaan.

Belangrijkste conclusies en aanbevelingen

Amerikaanse personen en bedrijven die nog niet zijn begonnen met de planning voor de volledige implementatie van het DSP, moeten onmiddellijk aan de voorschriften gaan voldoen. Tot de bedrijven die hierdoor worden beïnvloed, behoren onder meer:

Cloudserviceproviders

Virtuele dienstverleners

Gegevensverwerkingscentra

Fabrikanten van medische hulpmiddelen

Academische instellingen

Data-analysebedrijven en consultants

Overheidscontractanten in de defensie- of gezondheidszorgsector

Net als bij maatregelen voor naleving van exportcontrole, moeten deze Amerikaanse personen en entiteiten een advocaat inschakelen die ervaring heeft op dit gebied om het volgende te doen:

Voer interne beoordelingen en audits uit om mogelijke toegang tot beschermde gegevens of transacties waarbij dergelijke gegevens naar beschermde landen of personen worden doorgegeven, te identificeren.

Implementeer beleid, procedures en trainingen met betrekking tot gegevensbeveiliging en de overdracht van of toegang tot gegevens die verband houden met de Amerikaanse overheid of gevoelige persoonlijke gegevens van grote groepen Amerikanen.

Bepaal of algemene vergunningen van toepassing zijn of dat er specifieke vergunningen moeten worden aangevraagd voor verboden of aan beperkingen onderworpen transacties.

Implementeer een nalevingsprogramma om transacties bij te houden, regelmatig due diligence uit te voeren en nauwkeurige gegevens bij te houden.

Schakel een advocaat in om indien nodig leverancierscontracten op te stellen of te herzien, due diligence uit te voeren en indien nodig contact te onderhouden met overheidsinstanties zoals het ministerie van Justitie.

Pas de werkplekken, functies of verantwoordelijkheden van werknemers aan op basis van de nabijheid van of blootstelling aan landen die reden tot zorg geven of personen die onder de regeling vallen.

Implementeer de beveiligingsvereisten van het Cybersecurity and Infrastructure Agency (CISA).

Het nemen van deze maatregelen zal Amerikaanse bedrijven en personen helpen om zich adequaat voor te bereiden op de handhavingsmaatregelen die waarschijnlijk zullen volgen.

Betrokken bedrijven en personen moeten ook rekening houden met 6 oktober 2025. Vanaf die datum moeten entiteiten en individuen voldoen aan de due diligence- en auditvereisten voor beperkte transacties en aan de rapportagevereisten voor beperkte transacties en afgewezen verboden transacties.

Als u vragen heeft over dit onderwerp, neem dan gerust contact op met een van de auteurs of uw Foley & Lardner advocaat. Als u in de toekomst updates wilt zien over "Wat elke multinational moet weten" over het opereren in de huidige gecompliceerde internationale handelswereld, meld u dan aan voor onze Tariff & International Trade blog - klik hier om u aan te melden.

***

[1] “DATA SECURITY PROGRAM: IMPLEMENTATION AND ENFORCEMENT POLICY THROUGH JULY 8, 2025” (Programma voor gegevensbeveiliging: implementatie- en handhavingsbeleid tot en met 8 juli 2025), Ministerie van Justitie (11 april 2025), https://www.justice.gov/opa/media/1396346/dl?inline

[2] Zie 50 U.S.C. § 1705; zie ook Executive Order 14117, "Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern" (28 februari 2024), https://www.federalregister.gov/documents/2024/03/01/2024-04573/preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related

[3] Het Witte Huis, "American First Investment Policy" (21 februari 2025), https://www.whitehouse.gov/presidential-actions/2025/02/america-first-investment-policy/; Het Witte Huis, "Fact Sheet: President Donald J. Trump Restores Maximum Pressure on Iran" (4 februari 2025), https://www.whitehouse.gov/fact-sheets/2025/02/fact-sheet-president-donald-j-trump-restores-maximum-pressure-on-iran/

[4] “DATA SECURITY PROGRAM: COMPLIANCE GUIDE” (Programma voor gegevensbeveiliging: nalevingsgids), Ministerie van Justitie (11 april 2025), https://www.justice.gov/opa/media/1396356/dl

[5] Zie §§ 202.211(a)(1)-(5)

[6] Zie § 202.701

[7] Zie §§ 202.214, 202.258, 202.217 en 202.228.

[8] Zie § 202.222(a)(1)

[9] Zie § 202.222(b)

[10] Zie § 202.206

[11] Zie § 202.249

[12] Zie §§ 202.301-303

[13] Zie § 202.401

[14] Zie §§ 202.501-511

[15] Zie § 202.801

[16] Zie § 202.802

[17] Zie § 202.901

[18] Zie § 202.1301; zie ook 50 U.S.C. § 1705

Disclaimer

Deze blog wordt ter beschikking gesteld door Foley & Lardner LLP ("Foley" of "het kantoor") voor informatieve doeleinden. Het is niet bedoeld om het juridische standpunt van het kantoor namens een cliënt over te brengen, noch is het bedoeld om specifiek juridisch advies te geven. Eventuele meningen in dit artikel weerspiegelen niet noodzakelijkerwijs de standpunten van Foley & Lardner LLP, haar partners of haar cliënten. Handel daarom niet op basis van deze informatie zonder advies te vragen aan een bevoegde advocaat. Deze blog is niet bedoeld om een advocaat-cliënt relatie te creëren en de ontvangst ervan vormt geen advocaat-cliënt relatie. Communicatie met Foley via deze website per e-mail, blogbericht of anderszins creëert geen advocaat-cliënt relatie voor welke juridische kwestie dan ook. Daarom wordt communicatie of materiaal dat u via deze blog naar Foley verzendt, hetzij via e-mail, blogpost of op een andere manier, niet behandeld als vertrouwelijk of als eigendom. De informatie op deze blog wordt gepubliceerd "AS IS" en is niet gegarandeerd volledig, nauwkeurig en/of up-to-date. Foley geeft geen verklaringen of garanties van welke aard dan ook, expliciet of impliciet, met betrekking tot de werking of inhoud van de site. Foley wijst uitdrukkelijk alle andere garanties, waarborgen, voorwaarden en verklaringen van welke aard dan ook af, hetzij uitdrukkelijk of impliciet, hetzij voortvloeiend uit een wet, wet, commercieel gebruik of anderszins, met inbegrip van impliciete garanties van verkoopbaarheid, geschiktheid voor een bepaald doel, titel en niet-inbreuk. In geen geval zal Foley of een van haar partners, functionarissen, werknemers, agenten of filialen aansprakelijk zijn, direct of indirect, onder welke rechtsleer dan ook (contract, onrechtmatige daad, nalatigheid of anderszins), jegens u of iemand anders, voor claims, verliezen of schade, direct, indirect speciaal, incidenteel, bestraffend of gevolgschade, voortvloeiend uit of veroorzaakt door de creatie, het gebruik van of het vertrouwen op deze site (inclusief informatie en andere inhoud) of websites van derden of de informatie, middelen of het materiaal waartoe toegang wordt verkregen via dergelijke websites. In sommige rechtsgebieden kan de inhoud van deze blog worden beschouwd als advocaatreclame. Houd er, indien van toepassing, rekening mee dat eerdere resultaten geen garantie bieden voor een vergelijkbaar resultaat. Foto's zijn alleen voor dramaturgische doeleinden en kunnen modellen bevatten. Afbeeldingen impliceren niet noodzakelijkerwijs een huidige status als cliënt, partner of werknemer.