Een grenzeloos vertrouwen in de Cloud?
Maar wat is die Safe Harbour eigenlijk?
Om de ongeldigverklaring van de Safe Harbour-beschikking te begrijpen dient in eerste instantie de inhoud van de overeenkomst verder worden toegelicht. De Europese Unie, mede onder impuls van verschillende werkgroepen zoals de ‘Article 29 Working Party’, streeft al enkele jaren naar een strengere en meer uitgebreide privacy wetgeving en ‑reglementering. De nieuwe wetgevende stappen die de EU neemt ten opzichte van organisaties, zowel commercieel als overheid, zijn niet mals. ‘The right to be forgotten’, waarbij de burger steeds de mogelijkheid heeft om aan een organisatie of bedrijf te vragen al zijn gegevens te wissen, is zo’n voorbeeld waar de EU erg ver wil gaan in de bescherming van de privacy.*
‘Safe Harbour’ zag het levenslicht in 2000. Het moest een compromis worden tussen het overbezorgde EU en de V.S. die heel wat tegengestelde belangen over privacy had. De Europese Commissie kwam daarom met de Verenigde Staten overeen dat gegevensverkeer tussen bedrijven in de EU, en bedrijven in de V.S., flexibel kon worden geregeld, zij nog steeds aan bepaalde principes en veiligheidsmaatregelen (de Safe Harbour Principles).
Onder het verdrag konden internet bedrijven zoals Facebook toestemming krijgen om de gegevens van Europeanen in de VS op te slaan. Het Hof vindt nu echter dat deze gegevens in dat land onvoldoende worden beschermd, en dat het verdrag daarom ongeldig is.
Duidelijke data grenzen
Het is voor het eerst dat het Europese Hof een zaak behandelt waar de onthullingen van Snowden een direct gevolg op hebben gehad en dat de rechtbank hierdoor een grote beleidswijziging afdwingt.
Het arrest trekt een duidelijke grens. Het verduidelijkt dat massasurveillance onze fundamentele privacy rechten als burger schendt. Men verwacht dat het arrest in de toekomst kan worden gebruikt in rechtszaken tegen de praktijken van de eigen diverse inlichtingendiensten binnen Europa en ver daarbuiten.
Gevolgen
De exacte gevolgen van de uitspraak voor de Public Cloud service providers zijn nog onduidelijk. Als zij gegevens in de VS willen blijven opslaan, zal daar een andere juridische basis voor moeten worden gevonden. Het Hof stelt dan ook voor dat de privacybeschermingen van de VS moeten worden onderzocht, om te bepalen of deze voldoende zijn voor de opslag van Europese gegevens.
Momenteel zijn deze bedrijven in het bezit van een certificaat waarmee ze gebruik mogen maken van het Safe Harbour-verdrag. Hiervoor moesten zij voldoen aan verschillende voorwaarden, waaronder de invoering van een geldig privacy beleid. Er was echter geen externe toezichthouder die in de gaten hield of die bedrijven zich wel aan de voorwaarden hielden.
Volgens een woordvoerder van Facebook ”Is het is essentieel dat de Europese en Amerikaanse overheden blijven zorgen voor betrouwbare methodes om wettelijk data over te dragen en de kwesties rondom de nationale veiligheid op te lossen”. En nog een reactie komt van Microsoft via Brad Smith als president and chief legal officer “People won’t use technology they don’t trust. We need to work together to build that trust.”
Moeten wij nu als leverancier van Cloud diensten de consument gaan beschermen die continue zelf bezig is met sociaal exhibitionisme en daardoor zijn privacy en meest persoonlijke gevoelens en beelden te grabbel gooit op Facebook of Instagram. Tja, de aantrekkingskracht is dan ook groot van al deze Public cloud diensten, mede versterkt doordat de meeste zelfs volledig gratis worden aangeboden.
Maar als de dienst gratis is dan bent u zelf het product en zou u moeten weten wat daar de gevolgen van kunnen zijn, niet?
Voor de zakelijke gebruiker ligt het iets anders, daar zou men eerst moeten kijken welke informatie men wil delen en of deze al dan niet gevoelig is voor buitenstaanders. en ook hier speelt de wetgeving per land binnen de Europese unie een rol van betekenis. Immers er bestaat een soort van bewaarplicht van gegevens van uw klanten en ook boekhoudkundig gezien moet u tenminste vijf jaar terug in de tijd kunnen om de gegevens beschikbaar te maken tijdens een belastingcontrole. Net om deze en andere zekerheden te vrijwaren is de keuze voor een eigen dataopslag of bij een lokale Cloud provider voor de hand liggend, ondanks misschien wel het verschil in het prijskaartje. En naar alle waarschijnlijkheid zullen diezelfde Private Cloud providers u als zaakvoerder nóg meer gaan overtuigen om met hen in zee te gaan. Kortom de strijd om de felbegeerde klant in de Cloud is nog maar net begonnen, maar de Amerikanen hebben inmiddels een ruime voorsprong weten uit te bouwen.
Om in voetbal termen af te sluiten: “EU-VS 1:1” met 95% balbezit voor de Amerikanen.