Home Cloud Grenzeloos vertrouwen in de Cloud?

Grenzeloos vertrouwen in de Cloud?

62

Het Europees Hof heeft onlangs een streep gezet door het zogenoemde ‘Safe Harbour’-verdrag, dat de opslag van Europese persoonsgegevens in de Verenigde Staten toelaat.

Wat is die Safe Harbour eigenlijk?
Om de ongeldigverklaring van de Safe Harbour-beschikking te begrijpen dient de inhoud van de overeenkomst te worden toegelicht. De Europese Unie, mede onder impuls van verschillende werkgroepen zoals de ‘Article 29 Working Party’, streeft al enkele jaren naar een strengere en meer uitgebreide privacy wetgeving en -reglementering. De nieuwe wetgevende stappen die de EU neemt ten opzichte van organisaties, zowel commercieel als overheid, zijn niet mals. ‘The right to be forgotten‘, waarbij de burger steeds de mogelijkheid heeft om aan een organisatie of bedrijf te vragen al zijn gegevens te wissen, is zo’n voorbeeld waar de EU soms te ver wil gaan in de bescherming van de privacy.*

‘Safe Harbour’ zag het levenslicht in 2000. Het moest een compromis worden tussen de overbezorgde EU en de VS die heel wat tegengestelde belangen over privacy had. De Europese Commissie kwam daarom met de Verenigde Staten overeen dat gegevensverkeer tussen bedrijven in de EU, en bedrijven in de VS, flexibel kon worden geregeld, zij dat nog steeds aan bepaalde principes en veiligheidsmaatregelen moet worden voldoen (de Safe Harbour Principles).

Onder het verdrag konden internet bedrijven zoals Facebook toestemming krijgen om de gegevens van Europeanen in de VS op te slaan. Het Hof vindt nu echter dat deze gegevens in dat land onvoldoende worden beschermd, en dat het verdrag daarom ongeldig is.
In de uitspraak (pdf) wordt ook duidelijk gemaakt dat het ongeacht het Europese verdrag al mogelijk had moeten zijn voor nationale toezichthouders in Nederland of België om te voorkomen dat gegevens naar servers in de VS worden gestuurd. Door de conclusie van het Hof ontstaat onzekerheid over de legaliteit van dataopslag door Public Cloud providers zoals bijvoorbeeld Amazon en Google in de VS.
In de uitspraak wijst het Hof op een bericht van de Europese Commissie aan het Europees Parlement, waarin het op grote schaal verzamelen van privé data door de VS “onaanvaardbaar” wordt genoemd. Met het oog op deze mededeling had de Commissie het verdrag direct moeten opschorten.

Duidelijke data-grenzen
Het is voor het eerst dat het Europese Hof een zaak behandelt waar de onthullingen van Snowden een directe invloed op hebben gehad en dat de rechtbank hierdoor een grote beleidswijziging afdwingt.
Het arrest trekt een duidelijke grens. Het verduidelijkt dat massasurveillance de fundamentele privacy rechten van de burger schendt. Men verwacht dat het arrest in de toekomst kan worden gebruikt in rechtszaken tegen de praktijken van de eigen Europese inlichtingendiensten.

Gevolgen
De exacte gevolgen van de uitspraak voor de Public Cloud service providers zijn nu nog onduidelijk. Als zij gegevens in de VS willen blijven opslaan, zal daar een andere juridische basis voor moeten worden gevonden. Het Hof stelt dan ook voor dat de privacy beschermingen van de VS moeten worden onderzocht, om te bepalen of deze voldoende zijn voor de opslag van Europese gegevens. Momenteel zijn deze bedrijven in het bezit van een certificaat waarmee ze gebruik mogen maken van het Safe Harbour-verdrag. Hiervoor moesten zij voldoen aan verschillende voorwaarden, waaronder de invoering van een geldig privacy beleid. Er was echter geen externe toezichthouder die in de gaten hield of die bedrijven zich wel aan de voorwaarden hielden.

Volgens een woordvoerder van Facebook ”Is het is essentieel dat de Europese en Amerikaanse overheden blijven zorgen voor betrouwbare methodes om wettelijk data over te dragen en de kwesties rondom de nationale veiligheid oplossen”. En nog een reactie komt van Microsoft via Brad Smith als president and chief Legal officer “People won’t use technology they don’t trust. We need to work together to build that trust.”
Doordat Europa zelf continu bezig is zijn bestaansrecht te bewijzen, en dat het noch een politieke noch een economische eenheid vormt, en zelfs haar eenheidsmunt dreigt te verliezen, maakt het dan ook nog onduidelijker welke kant we op gaan als EU burger. Moeten wij het comfortabel gevoel van veiligheid op het Internet nu ondergeschikt maken aan onze privacy? Sowieso zijn de meeste burgers geen voorstander om geregulariseerd te worden door de overheid in ons doen en laten, en we weten toch allang met zijn allen dat “big brother is watching us”?

Moeten wij nu als leverancier van Cloud diensten de consument gaan beschermen die continue zelf bezig is met sociaal exhibitionisme en daardoor zijn privacy en meest persoonlijke gevoelens en beelden te grabbel gooit op Facebook of Instagram? Tja, de aantrekkingskracht is dan ook groot van al deze Public Cloud diensten, mede versterkt doordat de meeste volledig gratis worden aangeboden.

“Maar als de dienst gratis is dan bent u zelf het product en zou u moeten weten wat daar de gevolgen van kunnen zijn, niet?”

 Voor de zakelijke gebruiker ligt het iets anders, daar zou men eerst moeten kijken welke informatie men wil delen en of deze al dan niet gevoelig is voor buitenstaanders. Ook hier speelt de wetgeving per land binnen de Europese unie een rol van betekenis. Immers, er bestaat een soort van bewaarplicht van de gegevens van uw klanten en ook boekhoudkundig gezien moet u tenminste vijf jaar terug in de tijd kunnen om de gegevens beschikbaar te maken tijdens een belastingcontrole. Net om deze en andere zekerheden te vrijwaren is de keuze voor een eigen dataopslag of bij een lokale Cloud provider voor de hand liggend, ondanks misschien wel het verschil in het prijskaartje. En naar alle waarschijnlijkheid zullen diezelfde Private Cloud Providers u als zaakvoerder nog meer gaan overtuigen om met hen in zee te gaan. Kortom de strijd om de felbegeerde klant in de Cloud is nog maar net begonnen, maar de Amerikanen hebben inmiddels een ruime voorsprong weten op te bouwen.

Om in voetbal termen af te sluiten: “EU-VS 1:1” met 95% balbezit voor de VS.

* Met dank aan Matthias Dobbelaere-Welvaert voor zijn juridische bijdrage.

Peter Witsenburg – Cloud Makelaar

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in