De discussie over hoe er in Amerika wordt omgegaan met de gegevens van Europeanen die bijvoorbeeld in Amerikaanse clouds worden bewaard of die burgers zelf beschikbaar stellen aan Amerikaanse partijen als Facebook, is niet nieuw. Maar nu Donald Trump weldra aan de macht komt in de VS, is het interessant om de feiten en risico’s opnieuw na te gaan. We weten immers dat Trump als Republikein minder aandacht heeft voor liberale rechten. Denk aan het recht op privacy. Hij heeft meer focus op het ‘veilig’ maken van Amerika.
Safe Harbor
De Europese privacywetgeving is behoorlijk helder over wat er wel en niet mag gebeuren met de persoonsgegevens van Europeanen: die mogen de EU niet verlaten. Dat was nogal problematisch in een periode waarin internetdiensten uit Amerika opkwamen, die als voorwaarde hadden dat persoonsgegevens de EU uit moesten. Denk hierbij aan Amerikaanse Cloud-aanbieders en Amerikaanse sociale netwerken. Het verdrag Safe Harbor gaf de oplossing voor dit probleem: Amerika werd officieel door de EU aangewezen als ‘veilige haven’ voor persoonsgegevens. Een uitzondering op de privacywet werd hiermee mogelijk. Toen Edward Snowden opstond als klokkenluider, werd duidelijk dat de haven misschien toch niet zo veilig was. Vorig jaar verklaarde het Europees Hof van Justitie Safe Harbor dan ook nietig.
En dan nu: Privacy Shield
Na deze uitspraak van het Hof ontstond er een soort grijze periode waarin de Europese privacywetgeving weer exclusief voor Europa gold. In feite opereerde elk Europees bedrijf dat persoonsgegevens bewaarde of bewerkte in de VS in strijd met deze wet. Dat was een groot probleem voor zowel de klanten als de aanbieders van onder andere de grote Amerikaanse Cloud-aanbieders. Er werd dus razendsnel gewerkt aan een alternatief verdrag, waarin de privacy van Europese aanbieders beter werd geregeld. Dat verdrag is er sinds enkele maanden: Privacy Shield.
Veel nationale privacy-waakhonden en andere privacy-voorvechters zijn niet echt onder de indruk van Privacy Shield. Het bleek (kennelijk) geen haalbaar resultaat om de VS zover te krijgen dat ze de privacy van Europeanen onder alle omstandigheden en te allen tijde zouden respecteren. Massasurveillance door onder andere de NSA is onder het nieuwe verdrag weliswaar aan striktere voorwaarden verbonden, maar het is niet uitgesloten.
GDPR
In mei 2018 gaat de nieuwe Europese dataprotectiewetgeving (GDPR) in. Volgens verschillende experts, zijn Amerikaanse Clouds onder Privacy Shield niet compliant met deze nieuwe wetgeving. Onder andere omdat er geen garantie kan worden afgegeven over waar de gegevens zijn. Vaak blijven die immers niet gegarandeerd in de VS. Bovendien is er geen garantie dat de gegevens te allen tijde confidentieel blijven. Dat zou onder de nieuwe dataprotectiewet wel moeten.
Wie zich enigszins heeft verdiept in de verkiezingscampagne van Donald Trump, zal het met mij eens zijn dat die laatste garantie zelfs verder weg lijkt dan ooit. De ruimte die Privacy Shield biedt voor ‘analyse’ zal door Donald Trump zonder scrupules worden gebruikt. Vergeet niet dat we het hier hebben over de man die voorstander is van ‘stop & frisk’, waarbij willekeurige voorbijgangers die er, naar de mening van individuele politieagenten ‘verdacht’ uitzien, kunnen worden gestopt en gefouilleerd. Mijn idee is dan ook dat de privacy van Europese gegevens onder Donald Trump volledig terug is op het niveau van voor het einde van Safe Harbor, als het niet nog veel erger wordt.
En hoe verder?
Kortom: het probleem met Amerikaanse Clouds is nog niet de wereld uit. Maar wat kun je daar als Europese ondernemer nu precies aan doen? Je kunt twee routes bewandelen. De eerste route wordt massaal gekozen. Het is de route van ‘we zien wel wat er gebeurt’. De meeste bedrijven blijven werken met hun Amerikaanse aanbieders. Ze hopen dat niet onmiddellijk in mei 2018 massaal boetes worden uitgeschreven aan kleine ondernemers die gebruik maken van de onveilige clouds.
De tweede route is de moreel hogere weg. Maak de keuze om weg te blijven uit onveilige clouds. Dat is absoluut mogelijk. Kies voor Europese aanbieders, die hun gehele infrastructuur beperken tot locaties binnen de EU. Microsoft biedt in Europa 1 cloud aan die gegarandeerd compliant is met GDPR: de Duitse Cloud. Er is een partnership gesloten met het Duitse T-Systems voor de huur van hun (Duitse) servers. Microsoft heeft formeel geen toegang tot de hard- en software van deze cloud. Dit is een uitstekende manier om uit de handen van de NSA te blijven. De tweede route biedt nog een andere optie. Gebruik alleen een private cloud binnen Europa. Daarmee zijn alle problemen ook opgelost.
Dirk Cools, Country Manager G DATA Benelux
