- 2/5/2021
- 5 minuten om te lezen
-
- r
Over de EAR
Het Amerikaanse ministerie van Handel handhaaft de Export Administration Regulations (EAR) via het Bureau of Industry and Security (BIS). De EAR regelt in grote lijnen en legt controles op de uitvoer en wederuitvoer van de meeste commerciële goederen, software en technologie, met inbegrip van “dual-use” items die zowel voor commerciële als militaire doeleinden kunnen worden gebruikt en bepaalde defensie-items.
BIS-richtlijnen stellen dat, wanneer gegevens of software worden geüpload naar de cloud of worden overgedragen tussen gebruikersknooppunten, de klant, niet de cloud-provider, de “exporteur” is die de verantwoordelijkheid heeft om ervoor te zorgen dat de overdracht van, opslag van, en toegang tot die gegevens of software voldoet aan de EAR.
Volgens de BIS verwijst export naar de overdracht van beschermde technologie of technische gegevens naar een buitenlandse bestemming of de vrijgave ervan aan een buitenlands persoon in de Verenigde Staten (ook wel aangeduid als een veronderstelde export). De EAR regelt in het algemeen:
- Export uit de Verenigde Staten.
- Wederuitvoer of heroverdracht van producten van oorsprong uit de VS en bepaalde producten van buitenlandse oorsprong met meer dan een de minimis gedeelte aan inhoud van Amerikaanse oorsprong.
- Overdracht of bekendmaking aan personen uit andere landen.
Impots die onder de EAR vallen, zijn te vinden op de Commerce Control List (CCL), waar aan elk item een uniek Export Control Classification Number (ECCN) is toegekend. Artikelen die niet op de CCL staan, worden aangeduid als EAR99 en voor de meeste EAR99-commerciële producten is geen vergunning vereist om te worden uitgevoerd. Afhankelijk van de bestemming, de eindgebruiker of het eindgebruik van het item, kan echter zelfs een EAR99-item een BIS-uitvoervergunning vereisen.
De definitieve regel, gepubliceerd in juni 2016, verduidelijkte dat EAR-vergunningsvereisten ook niet van toepassing zouden zijn op de overdracht en opslag van niet-gerubriceerde technische gegevens en software als ze end-to-end werden gecodeerd met behulp van FIPS 140-2 gevalideerde cryptografische modules en niet opzettelijk werden opgeslagen in een land met een militair embargo of in de Russische Federatie.
Microsoft en de EAR
Microsoft-technologieën, -producten en -diensten zijn onderworpen aan de Amerikaanse Export Administration Regulations (EAR). Hoewel er geen nalevingscertificering voor de EAR is, bieden Microsoft Azure, Microsoft Azure Government en Microsoft Office 365 Government (GCCHigh- en DoD-omgevingen) belangrijke functies en hulpmiddelen om in aanmerking komende klanten die onder de EAR vallen, te helpen exportcontrolerisico’s te beheren en aan hun nalevingsvereisten te voldoen.
Het Amerikaanse ministerie van Handel, dat de EAR handhaaft, heeft het standpunt ingenomen dat klanten, en niet aanbieders van clouddiensten zoals Microsoft, worden beschouwd als exporteurs van hun eigen klantgegevens. Hoewel de meeste klantengegevens niet worden beschouwd als “technologie” of “technische gegevens” die onderworpen zijn aan EAR-exportcontroles, zijn Microsoft-clouddiensten in het bereik gestructureerd om klanten te helpen bij het beheren en aanzienlijk beperken van de potentiële exportcontrolerisico’s waarmee zij worden geconfronteerd. Microsoft beveelt over het algemeen, maar niet uitsluitend, het gebruik van zijn overheidsclouddiensten aan voor in aanmerking komende klanten. Met de juiste planning kunnen klanten de volgende hulpmiddelen en hun eigen interne procedures gebruiken om volledige naleving van de exportcontroles van de VS te helpen waarborgen.
- Controles op de locatie van gegevens. Klanten hebben zicht op de plaats waar hun gegevens zijn opgeslagen en toegang tot krachtige instrumenten om de opslag ervan te beperken. Zij kunnen er derhalve voor zorgen dat hun gegevens in de Verenigde Staten worden opgeslagen en de overdracht van gecontroleerde technologie of technische gegevens naar landen buiten de Verenigde Staten tot een minimum beperken. Bovendien worden klantgegevens niet opgeslagen op een niet-conforme locatie, in overeenstemming met de EAR-verboden inzake de plaats waar gegevens “opzettelijk worden opgeslagen”: geen enkel datacenter van Azure bevindt zich in een van de 25 landen van Groep D:5 of de Russische Federatie.
- End-to-end encryptie. Door gebruik te maken van de end-to-endencryptie safe harbor voor fysieke opslaglocaties die in het EAR wordt gespecificeerd, bieden de in het toepassingsgebied vallende clouddiensten van Microsoft encryptiefuncties die kunnen helpen beschermen tegen exportcontrolerisico’s. Ze bieden klanten ook een breed scala aan opties voor het versleutelen van gegevens in doorvoer en in rust, en de flexibiliteit om te kiezen tussen versleutelingsopties.
- Hulpmiddelen en protocollen om ongeoorloofd geachte export te voorkomen. Het gebruik van encryptie helpt ook beschermen tegen een potentiële met uitvoer gelijkgestelde uitvoer (of met wederuitvoer gelijkgestelde uitvoer) onder de EAR, omdat zelfs als een niet-Amerikaanse persoon toegang heeft tot gecodeerde gegevens, er niets wordt onthuld als zij de gegevens niet kunnen lezen of begrijpen terwijl deze zijn gecodeerd; er is dus geen “vrijgave” van gecontroleerde gegevens.
Microsoft in-scope clouddiensten
- Azure en Azure Government
- Office 365 Government (GCC-High en DoD)
- Intune
Hoe te implementeren
Overzicht van Amerikaanse exportcontroles en richtsnoeren voor klanten bij het beoordelen van hun verplichtingen onder de EAR.
- Azure
- Office 365
Veel gestelde vragen
Wat moet ik doen om te voldoen aan exportcontroles bij gebruik van Microsoft-clouddiensten?
Onder de EAR wordt, wanneer gegevens worden geüpload naar een cloudserver zoals de Microsoft-cloud, de klant die eigenaar is van de gegevens – niet de aanbieder van de clouddiensten – beschouwd als de exporteur. Om die reden moet de eigenaar van de gegevens – dat wil zeggen de Microsoft-klant – zorgvuldig beoordelen hoe zijn gebruik van de Microsoft-cloud Amerikaanse exportcontroles kan impliceren en bepalen of de gegevens die hij daar wil gebruiken of opslaan, onderworpen kunnen zijn aan EAR-controles, en zo ja, welke controles van toepassing zijn. Meer informatie over hoe Azure- en Office 365-clouddiensten klanten kunnen helpen ervoor te zorgen dat zij volledig voldoen aan de Amerikaanse exportcontroles.
Zijn Microsoft-technologieën, -producten en -diensten onderworpen aan de EAR?
De meeste Microsoft-technologieën, -producten en -diensten zijn ofwel:
- Zijn niet onderworpen aan de EAR en staan dus niet op de Commerce Control List en hebben geen ECCN;
- Of ze zijn EAR99 of 5D992 Mass Market-geschikt voor zelfclassificatie door Microsoft en mogen zonder licentie als No License Required (NLR) worden geëxporteerd naar niet-embargolanden.
Dat gezegd hebbende, aan enkele Microsoft-producten is een ECCN toegekend waarvoor al dan niet een licentie vereist is. Raadpleeg de EAR of juridisch advies om het juiste type vergunning en de in aanmerking komende landen voor exportdoeleinden te bepalen.
Wat is het verschil tussen de EAR en de International Traffic in Arms Regulations (ITAR)?
De primaire Amerikaanse exportcontroles met de breedste toepassing zijn de EAR, die worden beheerd door het Amerikaanse ministerie van Handel. De EAR is van toepassing op produkten voor tweeërlei gebruik die zowel commerciële als militaire toepassingen hebben, en op produkten met louter commerciële toepassingen.
De Verenigde Staten hebben ook afzonderlijke en meer gespecialiseerde exportcontroleregelingen, zoals de ITAR, die de meest gevoelige produkten en technologie bestrijkt. Deze regels, die worden beheerd door het Amerikaanse ministerie van Buitenlandse Zaken, zijn van toepassing op de uitvoer, tijdelijke invoer, wederuitvoer en overdracht van vele militaire, defensie- en inlichtingenartikelen (ook bekend als “defensieartikelen”), met inbegrip van de bijbehorende technische gegevens.