China

Chinese Data Security Law

door

Werking, reikwijdte, risico’s en impact op buitenlandse bedrijven en gebruikers

De Chinese Data Security Law (DSL), die op 1 september 2021 in werking trad, is een kernwet binnen het Chinese stelsel voor data- en informatiecontrole. Samen met de Cybersecurity Law (CSL) en de National Intelligence Law (NIL) bepaalt deze wet hoe data in China moet worden geclassificeerd, opgeslagen, gedeeld en beschermd, en onder welke omstandigheden de staat toegang kan opeisen.

De DSL heeft verstrekkende gevolgen voor Chinese én buitenlandse bedrijven die met China zaken doen, in China actief zijn of data verwerken die volgens China als “belangrijk” of “kritiek” kan worden aangemerkt.

1. Wat is de Chinese Data Security Law?

De Data Security Law is gericht op het reguleren van alle data-activiteiten in China: verzamelen, opslaan, gebruiken, verwerken, overdragen en openbaar maken van data. De wet introduceert een systeem van dataclassificatie en risicobeheer, waarbij de Chinese staat bepaalt welke data als strategisch, kritisch of gevoelig wordt gezien.

Kernpunten van de wet zijn:

  • een nationaal dataclassificatiesysteem;
  • verhoogde staatscontrole op “belangrijke” en “kritieke” data;
  • verplichte risicobeoordelingen en rapportage;
  • strenge regels voor data-export naar het buitenland;
  • zware sancties bij overtredingen, waaronder boetes en mogelijke sluiting.

2. Dataclassificatie: gewone, belangrijke en kritieke data

De DSL introduceert een gelaagd systeem waarbij data kan worden ingedeeld in verschillende categorieën. Hoewel de exacte uitwerking via aanvullende regelgeving en sectorale richtlijnen verloopt, zijn de belangrijkste niveaus:

Gewone data

Data die niet direct raakt aan nationale veiligheid, grote publieke belangen of kernbelangen van de staat. Toch kunnen ook hier algemene beveiligings- en compliance-eisen gelden.

Belangrijke data

Data waarvan lekken, misbruik of verlies een aanzienlijke impact kunnen hebben op economie, publieke orde, technologie, infrastructuur of bepaalde sectoren. Bedrijven die belangrijke data verwerken moeten strengere beveiligingsmaatregelen en rapportageverplichtingen volgen.

Kritieke data

Data die direct in verband wordt gebracht met nationale veiligheid, defensie, kerntechnologie, grote infrastructuur, strategische industrieën of maatschappelijke stabiliteit. Voor kritieke data gelden de zwaarste beperkingen, vooral op het gebied van export en toegang door buitenlandse partijen.

3. Verplichtingen voor bedrijven onder de DSL

Databeheer en risicobeoordeling

Bedrijven moeten:

  • een intern systeem voor databeheer opzetten;
  • data inventariseren en classificeren;
  • regelmatig risicobeoordelingen uitvoeren;
  • incidenten en datalekken melden aan de Chinese autoriteiten.

Data-export en grensoverschrijdende overdracht

Voor belangrijke en kritieke data gelden strikte regels voor export naar het buitenland. Dit kan betekenen:

  • dat data China niet mag verlaten zonder toestemming;
  • dat voorafgaande veiligheidsbeoordelingen nodig zijn;
  • dat contracten en technische maatregelen onderworpen zijn aan goedkeuring;
  • dat buitenlandse verzoeken om data kunnen worden geweigerd.

Verplichtingen voor buitenlandse verzoeken om data

De DSL verbiedt bedrijven in China om data te verstrekken aan buitenlandse rechtshandhavings- of justitiële autoriteiten zonder toestemming van de Chinese overheid. Dit kan botsen met verplichtingen uit andere landen, zoals de Amerikaanse Cloud Act of Europese strafrechtelijke verzoeken.

4. Samenhang met andere Chinese wetten

De Data Security Law staat niet op zichzelf. Zij vormt één pijler in een breder raamwerk:

  • Cybersecurity Law (CSL): reguleert netwerkveiligheid, infrastructuur, data-lokalisatie en technische audits.
  • National Intelligence Law (NIL): verplicht bedrijven en burgers om mee te werken met inlichtingenverzoeken.
  • Personal Information Protection Law (PIPL): focust op bescherming van persoonsgegevens, enigszins vergelijkbaar met de Europese AVG, maar ondergeschikt aan staatsbelangen.

In combinatie betekent dit dat de Chinese staat brede juridische middelen heeft om data, systemen en digitale infrastructuur te controleren en in te zien, ook wanneer hier buitenlandse partijen bij betrokken zijn.

5. Welke bedrijven en sectoren worden geraakt?

De DSL is van toepassing op alle organisaties die data verwerken binnen China, onder andere:

Chinese technologiebedrijven

  • Alibaba en Alibaba Cloud
  • Tencent (WeChat, QQ, Tencent Cloud)
  • Huawei (cloud, telecom, enterprise-oplossingen)
  • Baidu (zoekmachine, AI en cloud)
  • ByteDance (TikTok, Douyin, CapCut)

Chinese industriële en financiële sector

  • banken en fintechbedrijven;
  • energie- en infrastructuurbedrijven;
  • transport- en logistieke platforms;
  • productie- en hightechindustrie.

Buitenlandse bedrijven actief in of met China

Iedere buitenlandse onderneming die:

  • activiteiten in China heeft;
  • Chinese gebruikers bedient;
  • samenwerkingsverbanden heeft met Chinese partners;
  • Chinese data verwerkt of opslaat;

kan met de DSL te maken krijgen, bijvoorbeeld via datalocatie-eisen, audits of exportbeperkingen.

6. Risico’s en gevaren van de Data Security Law

Risico 1: Versterkte staatscontrole over data

De DSL maakt het mogelijk dat de Chinese overheid zeer gedetailleerde zeggenschap krijgt over hoe data wordt beheerd, gedeeld en opgeslagen. Dit kan leiden tot ingrijpende inmenging in bedrijfsprocessen en IT-architectuur.

Risico 2: Botsing met buitenlandse wetgeving

Europese en Amerikaanse bedrijven kunnen klem komen te zitten tussen:

  • Chinese verplichtingen om data niet of alleen met Chinese toestemming te delen;
  • eigen nationale of internationale verplichtingen om data juist wel te delen.

Dit creëert juridische onzekerheid en kan leiden tot zware sancties in één van beide jurisdicties.

Risico 3: Economische en technologische spionage

Doordat audits, inspecties en data-exportbeperkingen toegang tot bedrijfsdata kunnen geven, bestaat er een verhoogd risico dat bedrijfsgeheimen, R&D-gegevens en strategische informatie indirect in handen komen van concurrenten of staatsbedrijven.

Risico 4: Afhankelijkheid van Chinese infrastructuur

Bedrijven die zwaar leunen op Chinese cloud- of IT-oplossingen, kunnen moeite hebben om data of systemen los te koppelen wanneer risico’s toenemen of regelgeving verandert.

Risico 5: Onzekerheid voor datastromen binnen internationale organisaties

Multinationals die data tussen vestigingen in Europa, China en andere regio’s willen uitwisselen, worden geconfronteerd met complexe compliance-eisen en mogelijk tegenstrijdige regels. Dit kan interne processen vertragen en kosten verhogen.

7. Gevolgen voor Europese bedrijven en overheden

Complexere contracten en compliance

Contracten met Chinese partners moeten rekening houden met:

  • Chinese dataclassificatie;
  • exportbeperkingen van data;
  • mogelijk verplichte audits en inspecties;
  • het risico dat data door de Chinese staat kan worden opgevraagd.

Herwaardering van leverancierskeuze

Overheden en bedrijven moeten kritisch beoordelen:

  • of Chinese cloud- of IT-leveranciers geschikt zijn voor gevoelige data;
  • wélke datasets überhaupt aan Chinese partijen mogen worden toevertrouwd;
  • of er Europese of nationale alternatieven zijn die minder juridisch risico opleveren.

Risicobeoordeling op nationaal veiligheidsniveau

Voor kritieke sectoren (energie, telecom, defensie, overheid, zorg) is het noodzakelijk om te beoordelen of de inzet van Chinese technologie in lijn is met nationale veiligheidsbelangen en strategische autonomie.

8. Wat kunnen organisaties concreet doen?

1. Data-inventarisatie en classificatie

Breng in kaart welke data je waar opslaat, welke data te maken heeft met China en of daar gevoelige of strategische informatie tussen zit.

2. Leveranciers- en ketenanalyse

Onderzoek in hoeverre je afhankelijk bent van Chinese leveranciers, cloudproviders of datacenters, direct of via sub-leveranciers.

3. Beperk data-uitwisseling met Chinese entiteiten

Deel geen kritieke of gevoelige gegevens met partijen die onder de DSL, CSL en NIL vallen, tenzij dit strikt noodzakelijk is en zorgvuldig is afgewogen.

4. Kies voor Europese of soevereine cloudoplossingen

Gebruik waar mogelijk cloud- en IT-oplossingen die onder Europese jurisdictie vallen en niet onder controle staan van buitenlandse wetgeving met extraterritoriale werking.

5. Integreer geopolitieke risico’s in je IT- en databeleid

Digitale strategie is niet meer alleen een technische of financiële kwestie, maar ook een geopolitieke. Neem juridische en geopolitieke risico’s expliciet mee in beslissingen over IT, cloud en data-infrastructuur.

De Data Security Law verstevigt de greep van China op data

De Chinese Data Security Law maakt duidelijk dat China data ziet als een strategische grondstof, vergelijkbaar met energie of grondstoffen. In combinatie met de Cybersecurity Law en de National Intelligence Law geeft de DSL de Chinese overheid vergaande mogelijkheden om data te controleren, te reguleren en op te eisen.

Voor Europese bedrijven, overheden en burgers betekent dit dat samenwerking met Chinese technologie- en cloudpartijen altijd gepaard gaat met verhoogde risico’s voor privacy, bedrijfsgeheimen, nationale veiligheid en digitale soevereiniteit. Bewuste keuzes, transparantie en het zoeken naar alternatieven zijn daarbij essentieel.