Een gren­ze­loos vertrouwen in de Cloud?

door 10 oktober 2015

Het Europees Hof heeft afgelopen Dinsdag een streep gezet door het zoge­noemde ‘Safe Harbour’-verdrag, dat de opslag van Europese persoons­ge­ge­vens in de Verenigde Staten toestond.

Maar wat is die Safe Harbour eigenlijk?

Om de ongel­dig­ver­kla­ring van de Safe Harbour-beschik­king te begrijpen dient in eerste instantie de inhoud van de over­een­komst verder worden toege­licht. De Europese Unie, mede onder impuls van verschil­lende werk­groepen zoals de ‘Article 29 Working Party’, streeft al enkele jaren naar een strengere en meer uitge­breide privacy wetgeving en ‑regle­men­te­ring. De nieuwe wetge­vende stappen die de EU neemt ten opzichte van orga­ni­sa­ties, zowel commer­cieel als overheid, zijn niet mals. ‘The right to be forgotten’, waarbij de burger steeds de moge­lijk­heid heeft om aan een orga­ni­satie of bedrijf te vragen al zijn gegevens te wissen, is zo’n voorbeeld waar de EU erg ver wil gaan in de bescher­ming van de privacy.*

Safe Harbour’ zag het levens­licht in 2000. Het moest een compromis worden tussen het over­be­zorgde EU en de V.S. die heel wat tegen­ge­stelde belangen over privacy had. De Europese Commissie kwam daarom met de Verenigde Staten overeen dat gege­vens­ver­keer tussen bedrijven in de EU, en bedrijven in de V.S., flexibel kon worden geregeld, zij nog steeds aan bepaalde principes en veilig­heids­maat­re­gelen (de Safe Harbour Prin­ci­ples).

Onder het verdrag konden internet bedrijven zoals Facebook toestem­ming krijgen om de gegevens van Euro­pe­anen in de VS op te slaan. Het Hof vindt nu echter dat deze gegevens in dat land onvol­doende worden beschermd, en dat het verdrag daarom ongeldig is.

In de uitspraak (pdf) wordt ook duidelijk gemaakt dat het ongeacht het Europese verdrag al mogelijk had moeten zijn voor nationale toezicht­hou­ders in Nederland of België om te voorkomen dat gegevens naar servers in de VS worden gestuurd. Door de conclusie van het Hof ontstaat onze­ker­heid over de lega­li­teit van data-opslag door Public Cloud providers zoals bijvoor­beeld Amazon en Google in de VS. In de uitspraak wijst het Hof op een bericht van de Europese Commissie aan het Europees Parlement, waarin het op grote schaal verza­melen van privé data door de VS “onaan­vaard­baar” wordt genoemd. Met het oog op deze mede­de­ling had de Commissie het verdrag direct moeten opschorten.

Duide­lijke data grenzen

Het is voor het eerst dat het Europese Hof een zaak behandelt waar de onthul­lingen van Snowden een direct gevolg op hebben gehad en dat de rechtbank hierdoor een grote beleids­wij­zi­ging afdwingt.
Het arrest trekt een duide­lijke grens. Het verdui­de­lijkt dat massa­sur­veil­lance onze funda­men­tele privacy rechten als burger schendt. Men verwacht dat het arrest in de toekomst kan worden gebruikt in rechts­zaken tegen de prak­tijken van de eigen diverse inlich­tin­gen­dien­sten binnen Europa en ver daarbuiten.

Gevolgen

De exacte gevolgen van de uitspraak voor de Public Cloud service providers zijn nog ondui­de­lijk. Als zij gegevens in de VS willen blijven opslaan, zal daar een andere juri­di­sche basis voor moeten worden gevonden. Het Hof stelt dan ook voor dat de priva­cy­be­scher­mingen van de VS moeten worden onder­zocht, om te bepalen of deze voldoende zijn voor de opslag van Europese gegevens.
Momenteel zijn deze bedrijven in het bezit van een certi­fi­caat waarmee ze gebruik mogen maken van het Safe Harbour-verdrag. Hiervoor moesten zij voldoen aan verschil­lende voor­waarden, waaronder de invoering van een geldig privacy beleid. Er was echter geen externe toezicht­houder die in de gaten hield of die bedrijven zich wel aan de voor­waarden hielden.
Volgens een woord­voerder van Facebook ”Is het is essen­tieel dat de Europese en Ameri­kaanse overheden blijven zorgen voor betrouw­bare methodes om wettelijk data over te dragen en de kwesties rondom de nationale veilig­heid op te lossen”. En nog een reactie komt van Microsoft via Brad Smith als president and chief legal officer “People won’t use tech­no­logy they don’t trust. We need to work together to build that trust.”

Doordat Europa zelf continu bezig is met zijn bestaans­recht te bewijzen, en dat het noch een politieke noch een econo­mi­sche eenheid vormt, en zelfs haar eenheids­munt dreigt te verliezen maakt het dan ook nóg ondui­de­lijker aan welke kant we staan als EU burger. Moeten wij het comfor­tabel gevoel van veilig­heid op het Internet nu onder­ge­schikt maken aan onze privacy? Sowieso zijn de meeste burgers geen voor­stander om gere­gu­la­ri­seerd te worden door de overheid in ons doen en laten, en we weten toch allang met zijn allen dat “big brother is watching us”?
Moeten wij nu als leve­ran­cier van Cloud diensten de consument gaan beschermen die continue zelf bezig is met sociaal exhi­bi­ti­o­nisme en daardoor zijn privacy en meest persoon­lijke gevoelens en beelden te grabbel gooit op Facebook of Instagram. Tja, de aantrek­kings­kracht is dan ook groot van al deze Public cloud diensten, mede versterkt doordat de meeste zelfs volledig gratis worden aangeboden.

Maar als de dienst gratis is dan bent u zelf het product en zou u moeten weten wat daar de gevolgen van kunnen zijn, niet?

Voor de zakelijke gebruiker ligt het iets anders, daar zou men eerst moeten kijken welke infor­matie men wil delen en of deze al dan niet gevoelig is voor buiten­staan­ders. en ook hier speelt de wetgeving per land binnen de Europese unie een rol van betekenis. Immers er bestaat een soort van bewaar­plicht van gegevens van uw klanten en ook boek­houd­kundig gezien moet u tenminste vijf jaar terug in de tijd kunnen om de gegevens beschik­baar te maken tijdens een belas­ting­con­trole. Net om deze en andere zeker­heden te vrijwaren is de keuze voor een eigen data­op­slag of bij een lokale Cloud provider voor de hand liggend, ondanks misschien wel het verschil in het prijs­kaartje. En naar alle waar­schijn­lijk­heid zullen diezelfde Private Cloud providers u als zaak­voerder nóg meer gaan over­tuigen om met hen in zee te gaan. Kortom de strijd om de felbe­geerde klant in de Cloud is nog maar net begonnen, maar de Ameri­kanen hebben inmiddels een ruime voor­sprong weten uit te bouwen.

Om in voetbal termen af te sluiten: “EU-VS 1:1” met 95% balbezit voor de Amerikanen.

* Met dank aan Matthias Dobbe­laere-Welvaert voor zijn juri­di­sche bijdrage.

Pin It on Pinterest

Share This