De Amerikaanse cloud in op basis van Safe Harbor: vergeet het maar

Wie met een Amerikaanse cloudprovider in zee gaat (met de wolken in zee?), kan niet achterover zitten met “Oh ze doen Safe Harbor”. Dat zegt namelijk niets over hoe ze met data omgaan; Safe Harbor regelt alleen het formele puntje dat de data überhaupt Europa uit mag. Dat is wat ik opmaak uit de recente Zienswijze van de privacytoezichthouder, waarin men in algemene zin ingaat op een serie vragen van academische software- en dienstenboer SURFmarket.

Als je met persoonsgegevens werkt, mag je die niet zomaar aan niet-Europeanen geven want die doen er enge dingen mee, zo staat in de wet. De Amerikanen hebben natuurlijk de Safe Harbor-verklaring, waarmee ze beloven zich echt aan de regels te houden. Maar dat gaat écht niet helpen, zo concludeert het College bescherming persoonsgegevens.

Ik moet ook wel eens mijn lachen inhouden als ik vertel hoe Safe Harbor werkt: het is dus écht genoeg dat je als Amerikaanse club zegt “oké ik zal me aan die Europese regels houden”. Zelfcertificering heet dat. Maar goed, die gekke Europeanen willen dat je dat zegt en vooruit dus maar. En wij maar denken dat daarmee de kous af is.

Maar nee: het Safe Harbor raamwerk gaat alleen over het mogen exporteren (doorgeven) van persoonsgegevens. Alles dat daarna gebeurt, moet alsnog apart worden geregeld. Een Amerikaans bedrijf dat bewezen zich houdt aan wat Safe Harbor eist, kan dus nog steeds de Europese privacyregels schenden. Men kan gegevens opslaan zonder adequate beveiliging, of gegevens gebruiken voor andere doelen dan waarvoor ze zijn verkregen. Dat valt buiten de scope van Safe Harbor. Nog even afgezien van de eis dat je een schriftelijk contract moet hebben als je verwerking uitbesteedt, en een accountje bij Google telt niet als “schriftelijk contract”.

Wie dus Amerikaanse bedrijven met data wil laten werken, moet dus zelf aan de bak. En naast dat contract zul je vooral moeten gaan auditten: wat doen die met onze data, beveiligen ze die wel goed en waar gaat de data allemaal nog meer heen? Dat ben je als Europese verantwoordelijke namelijk wettelijk verplicht, en je draait op voor de schade als de Amerikaanse cloudprovider de Europese wet blijkt te schenden.

Gelukkig is er een soort van oplossing: de Third Party Mededeling (TPM). Nee, ik weet ook niet waarom dat half Engels is en ik weet ook niet waar de spaties of koppelstreepjes horen, maar zo heet het kennelijk. (Update 15:15 het heet Third Party Memorandum officieel.) Het Cbp legt uit:

Een TPM is een verklaring van een onafhankelijke externe deskundige, waarin deze een oordeel geeft over de maatregelen die een bewerker heeft getroffen. De TPM wordt opgesteld in opdracht van de bewerker, en wordt verstrekt aan de verantwoordelijken die gebruikmaken van diens diensten. Het doel van het verstrekken van een TPM is om de verantwoordelijken inzicht te bieden in de getroffen maatregelen, zonder dat iedere verantwoordelijke daar zelf onderzoek naar hoeft te (laten) doen.

Zo kan een cloudprovider dus met één TPM laten zien wat hij allemaal doet aan beveiliging en dergelijke, zodat de verantwoordelijke weet dat het wel snor zit met die persoonsgegevens in de Amerikaanse cloud. Een SAS70 verklaring mag het niet meer heten, wat wel jammer is want “ISAE 3402 verklaring” of “SSAE 16 verklaring” bekt toch een stukje minder.

En ja, wat nu. Want zo’n bevinding is mooi, en dat er iets scheef zit is ook wel duidelijk, maar wat gaan we nu in de praktijk concreet doen om dit te verbeteren? Gaan we nu allemaal contractjes sluiten met de Amerikaanse cloudproviders? En wie gaat al die ISAE3402 verklaringen afgeven na het datacenter van Amazon te hebben bezocht?

Arnoud

19 reacties

  1. Ik denk dat we grotendeels gaan doen wat we al deden: ons hier niets van aantrekken. “Illegale” export van persoonsgegevens naar de VS komt volgens mij heel veel voor, maar er is feitelijk geen enkele handhaving. Ik heb een grotere kans op een boete wanneer ik door rood licht fiets.

    Ik wil hier zelf wel rekening mee houden, maar ik denk dat de meeste webbouwers niet eens bekend zijn met safe harbor. In feite sluit dit hosten in de VS ook gewoon uit, tenzij dit een Europese praktijk wordt. Ik denk dat geen enkele hoster zin heeft in een lastige procedure alleen voor die Nederlanders.

  2. Maar, ondanks alles kunnen ze je altijd nog pakken met de Patriot Act. Je zult maar een politieke activist (Rop Gonggrijp bijvoorbeeld) onder je medewerkers hebben, de Amerikaanse overheid aarzelt dan echt niet om alle data te verzamelen, desnoods bij zijn werkmailadres in Google Apps… om maar eens een voorbeeld te noemen.

  3. Hier gaat men natuurlijk niks aan doen. Overheden gaan doen of hun neus bloeden, en alle 3 parties zijn blij dat ze zich niet verantwoordelijk hoeven te voelen. Iedere partij wijst, wanneer puntje bij paaltje komt, naar de andere 2 partijen. En de gedupeerde burger wiens privacy wordt geschonden, die zal eerder als rare activist worden aangekeken als hij wat durft te zeggen.

  4. Super interessant artikel. Je hebt het in het artikel over “Amerikaanse cloudproviders”. Nu vraag ik me af wat je hier precies mee bedoelt. Is het belangrijk voor de wet op de persoonsgegevens, wat het adres is van het bedrijf (de VS in dit geval) of gaat het erom waar de “cloudservers” zich bevinden? Bijvoorbeeld een Amerikaanse provider die een cloudservice aanbiedt op servers die geplaatst zijn in een datacenter in Amsterdam.

  5. @Jan: Dat is een hele goeie. Het gaat er denk ik om waar de persoonsgegevens fysiek staan, want de wet gaat over het verwerken van de gegevens. Als de Amerikaan de gegevens in Amsterdam parkeert dan is het Wbp-technisch in orde.

    (Behalve dus als je gelooft in het verhaal dat de Amerikaanse FBI kan zeggen “trek eens een kopie van die Amsterdamse database en stuur die naar ons, en mond houden want national security”.)

  6. De kans dat de Amerikaanse overheid in mijn data geintresseerd is vele malen kleiner dan de Nederlandse overheid. Ik zet mijn data dus liever op een plek waar de Nederlandse overheid er niet bij kan en neem dan dat minieme risico dat de Amerikaanse overheid (of de overheid van het land waar de data is geparkeerd) mijn data gaat doorzoeken.

  7. @Michel

    Het effect van de patriot act wordt erg overdreven.

    Het klopt dat NSL’s kunnen worden afgegeven door opsporingsorganisaties zonder rechterlijke bevel maar met NSL’s mogen alleen gestructureerde data zoals verkeersgegevens worden opgevraagd en geen inhoudelijke gegevens. De NSL opvraging uit patriot act is daarom vooral toepasbaar voor het opvragen van communicatiegegevens van telco’s, isp en dergelijke. Voor inzien buitenlandse clouddata is de patriot act dus helemaal niet zo geschikt.

    Verder is de patriot act in 2005/2006 aangepast zodat ISP’s en hoster zich voor een rechter kunnen verzetten tegen een NSL informatieverzoek en ook tegen een eventuele gag-order die daarbij kan zitten. En dat lijkt me dus ook iets wat je met je hoster kan afspreken zodat die niet zo maar akkoord gaat met NSL verzoeken tav jouw data.

  8. @11 – De vraag is mss niet eens waar de ‘gegevens fysiek’ staan. Heel veel communicatie gaat via satellieten. Datamining van een satelliet, het tappen dus, geschied in de ruimte. Is de ruimte een fysiek land? Gelden op die satelliet de wetgeving van de afzonderlijke landen waaruit gegevens verzonden worden via de satelliet naar de cloudprovider? Gegevens, ook gevoelige, kunnen tijdens het proces getapt worden. En dat is dus dan niet een ‘inbreuk’ in een specifiek land. Zie ook: http://www.wired.com/threatlevel/2012/03/ff_nsadatacenter/all/1

  9. Hoe zit het nu met Mailchimp. Nederlandse overheid die de groepmail (Nieuwsbrief) uitbesteed aan dit Amerikaanse bedrijf. Wat gebeurt er dan met de persoonsgegevens. Er wordt verwezen naar het Vrijstellingsbesluit art. 11. Valt de overheid daar ook onder? De voorwaarden van Mailchimp geven mij geen zekerheid, zeker dit artikel niet “..When you send email, it bounces around from server to server as it crosses the internet. Along the way, server administrators can read what you send. Email wasn’t built for confidential information. If you have something confidential to send, please don’t use MailChimp.”. De CBP heeft op mijn bovenstaande vraag geen antwoord.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.