Enige tijd terug ondervond de Duitse bondskanselier Merkel hoever de reikwijdte van de NSA gaat, toen bleek dat haar Blackberry was afgetapt door de Amerikaanse inlichtingendienst. Nu komt Merkel met het idee van een Europees netwerk van datacenters door Europese aanbieders dat ze in samenwerking met Frankrijk wil opzetten. Met een dergelijk datacenternetwerk wil de bondskanselier naar eigen zeggen bewerkstelligen dat e-mail en andere data van Europese bedrijven en burgers uit handen blijft van de Amerikaanse overheid. Merkel verwoordde het als volgt: ‘Hierdoor hoeven zij niet langer met hun e-mail en andere data de Atlantische oceaan over te steken.’
De woorden van Merkel dienen niet letterlijk te worden genomen, gezien het feit dat er al meerdere datacenternetwerken van Europese colocatie-aanbieders en met een Europese dekking zijn. Zo omvat het meest omvangrijke netwerk van één aanbieder 36 cloud- en carrier-neutrale datacenters, verspreid over elf landen in Europa, die via een fijnmazig fiber-netwerk met elkaar zijn verbonden. Merkel zal dan ook niet daadwerkelijk een nieuw netwerk van datacenters in Europa willen laten ontwikkelen. Haar achterliggende vraag is hoe we de reeds bestaande datacenterinfrastructuur zo kunnen inzetten dat Europese data buiten het bereik van Amerikaanse inlichtingsdiensten blijven en worden afgeschermd van bijvoorbeeld de Patriot Act. Deze wet geeft de Amerikaanse overheid de mogelijkheid zonder tussenkomst van een rechter data op te vragen van Amerikaanse bedrijven. En mits aan bepaalde criteria is voldaan, geldt dit ook voor Amerikaanse vestigingen van Europese bedrijven.
Het idee van een Europees datacenternetwerk volgt na alle ophef die wereldwijd is ontstaan naar aanleiding van meerdere afluisterschandalen. Deze schandalen hebben ervoor gezorgd dat data opslaan in de Verenigde Staten niet langer een vanzelfsprekendheid is die is gevrijwaard van enige kritiek. En dit is echt niet alleen de mening van regeringen, bedrijven en burgers in Europa. Ook bij Amerikaanse bedrijven heerst een soortgelijk sentiment. Onder druk van klanten hebben meerdere grote Amerikaanse cloud-providers al laten weten in te zetten op meerdere datacenters in meerdere landen, verspreid over de wereld. En ook president Obama opteert reeds voor een inperking van de NSA.
De woorden van Merkel kunnen eveneens niet los worden gezien van de nieuwe Europese Privacy Verordening die in de maak is. De voorgestelde verordening biedt een voor alle Europese lidstaten eenduidig kader als het gaat om dataprivacy. Een belangrijk punt in de verordening is dat voor doorgifte van Europese persoonsgegevens aan buitenlandse overheden toestemming is vereist. Daarnaast maakt de Europese Privacy Verordening organisaties zelf verantwoordelijk voor het bewaken van de privacy van persoonsgegevens. Zij moeten kunnen aantonen dat privacy over de gehele linie en in alle bedrijfsprocessen is geborgd. Daarbij moeten zij inzicht kunnen geven over hun manier van dataverwerking.
Alleen al daarom is het goed dat Merkel een tweesporenbeleid voorstaat; enerzijds de nieuwe Europese data privacy-wetgeving en anderzijds een Europees netwerk van datacenters dat helpt aan die nieuwe Europese richtlijnen te voldoen. Want met alleen beleid en richtlijnen kom je er niet. Cloud- en carrier-neutrale datacenters zijn faciliteiten waarmee concrete invulling aan het beleid kan worden gegeven. Hoewel datacenters zelf geen data verzamelen of data in eigendom hebben, worden er in een onafhankelijk datacenter volop innovaties gedaan op het gebied van data-privacy-oplossingen, zoals encryptie en keuzemogelijkheden om data lokaal op te slaan al dan niet in combinatie met het verzenden naar de cloud. Bovendien heeft een onafhankelijk datacenter de veiligheid doorgaans geregeld volgens de hoogste industriële standaarden. De veiligheidscertificeringen die een neutraal en professioneel datacenter kan overleggen, dienen als onafhankelijk bewijs dat een klant de privacy over de gehele linie heeft geborgd. De nieuwe Europese Privacy Verordening en het idee van een Europees datacenterwerk zoals Merkel dat lanceerde, gaan dan ook hand in hand.
Goed verhaal, Michael!
Ik mis één nuance die ik graag met jullie deel. Merkel triggert me daarop.
Het is een breed verspreide misvatting dat het opslaan van gegevens binnen de Europese Economische Ruimte (EER) voldoende bescherming biedt tegen de Patriot Act. Ik noem twee voorbeelden van situaties waarin de Patriot Act ook voorziet in vordering van gegevens. In beide gevallen is de verstrekker wettelijk gehouden aan geheimhouding.
Allereerst geldt deze verplichting voor alle medewerkers van Europese vestigingen van bedrijven die gevestigd zijn in de Verenigde Staten. Verder geldt deze verplichting voor alle staatsburgers van de Verenigde Staten die werken bij of voor bedrijven die gevestigd zijn in Europa.
De gevolgen zijn verstrekkend: als je een staatsburger van de Verenigde Staten in dienst hebt die toegang heeft tot de gegevens dan overtreed je als bedrijf de Wet Bescherming Persoonsgegevens (Wbp) en dan heb ik het nog niet over het verlies van strategische bedrijfsinformatie.
Veel Nederlandse bedrijven zijn al in overtreding. Want onder de “foute” bedrijven vallen zeker ook onder meer Apple, Google, Amazon, SalesForce en Windows Azure. Daar mag je dus echt geen (persoons)gegevens in de cloud zetten!
Dus als Merkel spreekt over “een Europees netwerk van datacenters door Europese aanbieders” dan blijkt hieruit dat ze bovenstaande heel goed begrepen heeft. De nuance zit hem in de Europese aanbieder. Ik ben voor!