Argh, wéér een popup – “D66 wil bijsluiter voor datagraaien in de cloud”

waarschuwing-webwereldHier krijg ik búitengewoon veel jeuk van. Aanbieders van clouddiensten die niet gevestigd zijn in Europa moeten verplicht en compleet duidelijk maken dat data toegankelijk kan zijn voor geheime diensten en onderworpen aan surveillance door buitenlandse autoriteiten, meldde Webwereld gisteren. NEE. Gewoon NIET. Het wérkt niet, mensen om toestemming vragen nadat je ze een door een jurist opgestelde tekst hebt geïnformeerd over de mogelijke risico’s.

Ja, de cloud is eng en de Amerikaanse al helemaal. De NSA tapt het hele internet, en de FBI kan met geheime gag orders en zonder gerechtelijk bevel een heel datacenter leegtrekken op het moment dat je derde voornaam twee letters gemeen heeft met iemand uit een terroristendatabank. Dus als je als politicus zegt, hier gaan we wat aan doen, dit kan zo niet langer: helemaal prima. (Of de angst reëel is, is een andere discussie.)

Maar als je zegt, de VS doen dingen met persoonsgegevens die in strijd zijn met de wetgeving rond persoonsgegevens en de fundamentele grondrechten die wij in de Europese Unie respecteren, dan moet je dus zeggen: blijf met je rotpoten van onze persoonsgegevens af. Oftewel dan verbied je Europese hosters/dienstverleners om met de Amerikaanse cloud te werken.

Vind je dat dat óók weer wat te ver gaat, dan ga je met de Amerikanen bakkeleien dat die hun wetten moeten aanpassen. Of je zegt, het gaat in de praktijk prima dus we draaien lekker totdat we horen dat het misgaan en dán gaan we de boel verbieden. En dat signaal kun je eventueel ook naar Washington sturen.

Wat je alleen vooral NIET moet gaan doen is op dat moment zeggen: weet je wat, we gaan de burger opvoeden dat ze moeten beseffen dat buitenlandse veiligheidsdiensten mogelijk meekijken en dat de FBI niet gebonden is aan onze Grondwet. En al helemáál niet met een popup. Want dat wérkt eenvoudig niet – zie de cookiewet.

Iets juridischer komt het erop neer dat ze in de Privacyverordening wil opnemen dat doorgifte aan een buitenlandse (lees: niet-EU) cloudprovider alleen mag met aparte toestemming van de betrokkene (argh, popup) en dan ook nog eens

after having been informed in clear, unambiguous and warning language through a separate and prominently visible reference to:
– the possibility of the personal data being subject to intelligence gathering or surveillance by third-country authorities; and
– the risk that the protection of personal data and fundamental rights provided by Union and Member State law cannot be guaranteed, despite the legal basis of the transfer

Het idee van “leg mensen uit hoe het juridisch zit en dan maken ze een geïnformeerde keuze” is een idealistisch maar buitengewoon irreëel denkbeeld als we het hebben over de gemiddelde internetter. Hoe kan ik nu vrijwillig en zinnig de afweging maken, ja, dat is prima dat de CIA en de NSA mij gaan profilen en de FBI mijn data besnuffelt? Wat betékent dat? Ga ik op de No Fly lijst als ik blogs als deze plaats op WordPress?

Ik snap hier wérkelijk helemaal niets van. Als er iets is dat de privacywetgeving en het concept “privacy is belangrijk” kapot maakt dan is het wel het idee “als we maar verplicht stellen dat iedereen het mensen maar uitlegt, dan komt het goed”. Nee. Mensen zijn niet bezig met privacy, wíllen daar niet mee bezig zijn; zij vertrouwen erop dat bedrijven zich netjes gedragen en dat anders de overheid optreedt.

In heel uitzonderlijke gevallen waarin een gemiddelde(!) burger redelijkerwijs zowel ja als nee zou kunnen zeggen, kan ik me nog iets voorstellen bij een aparte opt-in. Maar dat behoort echt een uitzondering te zijn en te blijven, en niet de hoofdregel die ie in de privacywetgeving is geworden. Net als bij cookies. Of je zegt, cookies en tracking zijn te eng voor woorden, verbieden die hap. Of je zegt, de technologie werkt maar er is ruimte voor misbruik – en dan verbied je het misbruik. Maar je gaat niet zeggen “dat misbruik is eigenlijk wel oké als mensen op ja klikken”.

“U gaat dood van deze sigaret” werkt al maar nauwelijks. Dus waarom zou “Mogelijk dat uw fundamentele rechten zoals gegarandeerd door het EU Handvest niet gewaarborgd worden ondanks dat de overdracht legaal is” dat dan wel zijn? (En ja dat gaat de tekst zijn, laat dat maar aan de nu-cookieverklaring-schrijvende juristen over.)

Argh. Echt.

Arnoud

15 reacties

  1. Het is beter dan niets lijkt me. D66 zou het vermoedelijk wel gewoon willen verbieden maar dat is politiek niet haalbaar gok ik. Je maakt in elk geval minder vaak accounts aan dan dat je websites met cookies bezoekt, dus de overlast van deze pop-ups zou stukken kleiner moeten zijn.

    1. Ik ben het niet met je eens dat het beter is dan niets. Mensen worden moe van al die pop-ups en gaan privacy dan als iets irritants zien. Dat lijkt mij slechter dan niets.

      Overigens, waarom zou je niet een wet aannemen die Europese dochters verbied informatie aan amerikaanse moeders door te geven. En een verplichting voor deze ondernemingen als ze een conflict hiermee krijgen dit aan een Nederlandse toezichthouder bekend te maken.

      De amerikanen hebben dan gewoon de keuze. Of ze leven ermee dat ze niet alles kunnen vragen, of hun eigen industrie wordt uitgesloten in europa. Andersom hebben ze weinig moeite met een systeem als de bij de FACTA dus als ze klagen sla je daar keihard mee om de oren.

      1. Dat is tot op zekere hoogte al verboden, zonder ondubbelzinnige toestemming van de persoon in kwestie. Probleem daarbij is dat er vrijwel geen handhaving is, en je jezelf dus achterstelt op de concurrentie als je je hier netjes aan houdt.

        1. Is dat doorvoeren van beter privacywetgeving niet waar ze op europees niveau al mee bezig zijn? Jeweetwel, waar al die ophef over is. Waar BOF vandeweek nog over bericht heeft Die privacywetgeving die zo ongeveer wordt doodgelobbied door amerikaanse bedrijven en de amerikaanse overheid. Zo’n wet erdoor krijgen lijkt me aardig kansloos zolang lobbyen mag. De bedrijven/organisaties met de diepste zakken kopen op die manier de wetgeving die hun het meeste winst oplevert. En goede privacywetgeving, dat hoort daar niet bij, helaas.

  2. @Arnoud: mooi stuk. @Jeroen: “Het is beter dan niets lijkt me.” Weet je, compromissen zijn irritant en zijn vaak schijnoplossingen. Iets is niet altijd beter dan niets. Ik zou bijna zeggen: typische D66-opmerking 🙂

  3. Ik zie wel wat in een regeling die cloudaanbieders verplicht om eerlijk aan te geven welke jurisdicties allemaal bij de gegevens kunnen. (Om onzin als dit de nek om te draaien.) Kunnen de potentiële cloudklanten een geïnformeerde beslissing nemen over het wel- of niet opslaan van vertrouwelijke gegevens in de cloud.

    Ik zou het zelf heel leuk vinden om tegen een bedrijf te kunnen zeggen: je mag mijn gegevens verwerken, maar niet in de cloud; maar ik zie een bedrijf niet zomaar een datacenter optuigen voor een handvol klanten.

    1. Mathfox, iedere hosting provider moet ergens beginnen. Ik ken genoeg bedrijven die een VMware cluster(tje) hebben opgetuigd waarop zij een Windows Terminal Server omgeving op hosten. Active directory, Exchange (met adreslijstsegregatie), per klant aparte policies, duidelijke rechten scheiding, applicaties pushen via App-V (of een dergelijke techniek). Je kunt op een relatief eenvoudige manier een ‘cloud-achtige’ (wat is nou een cloud, ik ken ook bedrijven die een enkelvoudige terminal server al een cloud oplossing noemen) omgeving opbouwen waarmee je een behoorlijke uptime kunt realiseren. Kernzaken blijven daarbij wel shared storage, strenge rechtenstructuur en een beheerclub die weet wat ze doen.

  4. Interessant… En achterlijk.

    Maar, waarom enkel de cloud? Als je servers in Amerika huurt, val je onder dezelfde wetgevingen. Is dat dan geen probleem? Want dan kan je net zo goed ook alle Nederlandse providers die ook servers in Amerika aanbieden ook zo’n achterlijke popup laten tonen… Ze kunnen onder dezelfde act ook gewoon een server uit de racks trekken hoor, geen probleem…

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.