Op 25 mei 2018 wordt de General Data Protection Regulation (GDPR, in Nederlands Algemene Verordening Gegevensbescherming) van kracht. Deze regelgeving is in april 2016 door de Europese Commissie aangenomen. Ze geldt voor alle lidstaten in de EU. Het doel van de regelgeving is om burgers meer controle te geven over hun digitale persoonsgegevens. En dat heeft ingrijpende gevolgen voor de digitale sector. Niet in de laatste plaats voor hosting- en cloud providers.
In essentie is de GDPR een goede en broodnodige verordening. Er is ruim aandacht voor het waarborgen van ongeoorloofde uitwisseling van persoonsgegevens en het maatschappelijk belang van privacy. Er wordt een duidelijk onderscheid gemaakt in de rolverdeling tussen degene die persoonsgegevens verzamelt en derden die toegang hebben tot de data. De GDPR noemt die laatste groep processors (bewerkers). Tot zover geen vuiltje aan de lucht. Maar als we wat dieper ingaan op de materie, zien we dat de verordening op verschillende manieren uitgelegd kan worden. En de gangbare uitleg zal de bewerkers, met name hosters en cloud providers, voor problemen stellen.
Top-down regie
Bij de toepassing van de GDPR zetten de toezichthouders in op de gedachte van top-down regie en control. Degene die persoonsgegevens verzamelt, de responsible (verantwoordelijke) zou in principe volledige controle moeten kunnen behouden over de persoonsgegevens. Dat betekent ook dat de verantwoordelijke al zijn toeleveranciers, bewerkers, zal verplichten om zijn beleid toe te passen. Daartoe moet hij bewerkersovereenkomsten sluiten met alle bewerkers. De hosting provider is in deze relatie zo’n dienstverlener. Deze zal zodoende alle instructies van de partij die diensten afneemt moeten opvolgen. Ook zegt de GDPR dat de verantwoordelijke de verplichting heeft om de privacybescherming en informatieveiligheid bij zijn leveranciers zelf te controleren. Veel juristen leggen dat uit als de verplichting om de bewerker een eigen contract op te leggen. Met daarin opgenomen dat aanwijzingen van de klant moeten worden opgevolgd. En met de mogelijkheid om zelf audits te komen doen bij de betreffende hosters en datacenters.
Dit staat haaks op hoe de online wereld inmiddels in elkaar zit. De grote hyperscalers hebben soms miljoenen klanten in grote datacenters. Als zij al hun klanten de gelegenheid moeten bieden om te kunnen auditen, creëren ze een veiligheidsrisico op zich. Stel je maar voor: als in één van de datacenters van deze hyperscalers 500.000 klanten die hun persoonsgegevens daar opslaan een audit zouden verlangen, zouden zij gemiddeld genomen over een jaar iedere dag bijna 1400 audits moeten toestaan in het datacenter. Dat is onwerkbaar. Logischerwijs kiezen zij er dan ook voor om zelf hun security standaarden te bepalen. Niks geen regie: als je gebruik maakt van hun diensten ga je akkoord met de compliance en security policies van deze hyperscalers. Sommige juristen zeggen dat dat volgens de GDPR niet kan, en adviseren hun klanten om te gaan insourcen, in elk geval niet met cloud leveranciers in zee te gaan.
Eigen contracten
De regie- en control gedachte waarop de GDPR gebaseerd is zal ook voor Nederlandse hosters en cloud providers, ongeacht de omvang, een probleem gaan vormen. Zelfs als zij op dat gebied een uitstekende reputatie hebben, zullen zij moeten dulden dat klanten op basis van de GDPR een stevige regiefunctie claimen, en met eigen contracten komen aanzetten. Het gaat dan om bewerkersovereenkomsten, inspecties, en zelfs gedetailleerde opdrachten hoe hosters persoonsgegevens moeten opslaan en verwerken. Dat circus van contracten en lijstjes conflicteert met hun business model, leidt tot onnodige regeldruk en creëert ook schijnveiligheid: want wat op papier is geregeld, is nog geen praktijk.
En elke euro die aan juristen wordt uitgegeven, wordt niet aan veiligheid besteed. Die aanpak is daarom niet in het belang van de Nederlandse hosting- en cloudproviders en overigens ook niet van hun klanten. Niemand zit te wachten op extra papierwerk en een klantrelatie die voor een deel gebaseerd is op wantrouwen, wat impliciet toch in de GDPR besloten ligt.
Het is zelfs een bizarre ontwikkeling. Het zijn juist de eindklanten van hosters die nu onder dwang van de wet hun zaken beter gaan regelen. Maar dat vervolgens met contracten, soms met zelfbedachte lijstjes en met contractueel vastgelegde aansprakelijkheid gaan afwentelen op hun hosters en de datacenters. Die de veiligheid en certificeringen zelf allang op orde hadden.
Permissionless Innovation Paradigma
Er is nog een andere, meer fundamentele reden waarom de gedachte van centrale, top-down regie niet past: innovatie en ontwikkeling vinden tegenwoordig plaats op basis van het het zogenaamde ‘permissionless innovation paradigm’. Een Uber, Airbnb en in feite elke online partij maakt slim gebruik van diensten die al beschikbaar zijn. Zoals een berichtendienst, een payment provider, een mail service. Die diensten worden geleverd door een brede waaier aan digitale dienstverleners. Daar sluit je geen contracten mee, en die kun je onmogelijk allemaal aansturen volgens het regiemodel. Niet alleen omdat die dienstverleners dat niet willen, maar ook omdat je op die manier geen innovatief bedrijf kunt zijn. Want niet hun klanten, maar de partijen zelf willen de volledige regie over hun dienstverlening houden.
Voedselketen
Waar we heen willen is Circles of Trust. Vertrouwen is de basis waarop je met hosting- en cloudproviders in die circles zaken kan doen. Vergelijk het met de voedselketen. Een veehouder levert indirect aan honderden bedrijven. Supermarkten en restaurants die de eindproducten leveren staan niet met hordes op zijn land of in zijn stallen om te kijken of hij wel volgens de regels werkt. Daar hebben we inspecties zoals de Voedsel- en Warenautoriteit voor. Zo zou het ook moeten zijn in de hele online industrie als de GDPR in mei 2018 van kracht wordt. Iedereen moet erop kunnen vertrouwen dat compliant gewerkt wordt, en waar het vermoeden bestaat dat dit niet zo is, is een rol weggelegd voor de inspecties. Als de SLA’s en bewerkersovereenkomsten in orde zijn, en de partijen hun veiligheid verifieerbaar hebben geregeld, is er geen reden om met iedere klant steeds opnieuw afspraken te moeten maken.
Er zijn gelukkig meer partijen die dit inzien. En de eerste voorbeelden van zulke trust modellen zijn al in de markt te vinden. Het ministerie van Economische Zaken heeft ECP gevraagd het project “Partnering Trust” te gaan leiden. Zo moet een oplossing voor dit probleem gevonden worden. Stichting DINL doet mee aan het project, mede namens DHPA, en heeft hierin een actieve rol
Kortom, regie is soms goed. Aantoonbaar vertrouwen echter, de basis van de digitale online economie, is beter!
Michiel Steltman, Directeur Stichting DINL
