Is Googles Eemshavens datacenter nou privacytechnisch spannend?

datacenterGoogle gaat in de Eemshaven in Groningen een enorm datacenter bouwen., las ik bij NRCQ. Het datacenter zal zo’n 150 banen in Nederland opleveren en vertegenwoordigt een investering van minstens 600 miljoen euro. Waarop iedereen dacht: ja maar wacht eens, valt dat datacentrum niet onder Amerikaanse (privacy- en andere) jurisdictie? Althans, als ik mijn inbox mag geloven.

Eh, nee. Als je in Nederland iets bouwt, dan valt dat iets onder Nederlands recht. Of het nu een datacentrum is, een chemische fabriek of een ambassade. Want nee, een ambassade is géén grondgebied van de gast maar gewoon van het gastland (bij ons Nederland dus). Het Verdrag van Wenen bepaalt dat diplomaten en diplomatieke vertegenwoordigingen immuniteit of onschendbaarheid genieten in de landen waar ze te gast zijn (artikel 22) en dat niemand een ambassade mag betreden zonder toestemming van de ambassadeur.

Verder maakt het specifiek voor de privacy totaal niet uit of het datacentrum onder Nederlands of Amerikaans recht zou vallen. De privacywet kijkt niet naar waar de data staat, maar om wiens data het gaat. En is dat data van Nederlanders, dan geldt daarop de Nederlandse privacywet (die afgeleid is van de Europese).

De privacywet bepaalt dat persoonsgegevens niet mogen worden verwerkt in landen waar geen adequaat beschermingsniveau geldt voor zulke gegevens. De VS is het schoolvoorbeeld van zo’n land – ze hebben daar niet eens een wet die iets zegt over persoonsgegevens.

Google mag dus best hier een datacentrum neerzetten en daar gegevens van Nederlanders in opslaan. Ze moet er alleen voor zorgen dat die gegevens binnen Nederland, althans binnen Europa, blijven en met name dat Amerikaanse overheden daar niet bij kunnen.

En dat wordt nog een lastige voor het Amerikaanse bedrijf, tenzij concurrent Microsoft haar hoger beroep wint over het moeten afgeven van data uit haar dochterondernemingsdatacentrum in Iederland. Of Google moet het datacentrum alleen gebruiken voor niet-persoonsgegevens. Maar dat lijkt me sterk.

Arnoud

9 reacties

  1. Interessant.

    @Arnoud: Klopt het dan dat als ik als Nederlands bedrijf (met data centers in Nederland) de Duitse markt op ga, ik de Duitse wetten betreffende dataretentie in acht moet houden? (verschil: in NL geldt de EU-wet dat data 6 tot 12 maanden bewaard moet worden, maar in DE hebben ze de EU-wet van tafel geschoven en geldt dat je data maar 7 dagen mag bewaren).

    1. De locatie van je datacenters is niet relevant. Het gaat erom waar je je diensten aanbiedt. Als jij in NL internettoegang aanbiedt, dan moet dat netneutraal en dataretentie van 6 tot 12 maanden. Als jij in DE Internettoegang aanbiedt dan heb je met hun wetgeving te maken.

      Waar je je diensten aanbiedt, volgt uit bv. de taal waarin je jezelf presenteert, de plekken waar je adverteert en de betaal- en leveringsmethoden die je hanteert.

      1. Waar je je diensten aanbiedt, volgt uit bv. de taal waarin je jezelf presenteert, de plekken waar je adverteert en de betaal- en leveringsmethoden die je hanteert.

        Ik blijf het bizar vinden. Sommige bedrijven kunnen niet aangepakt kunnen worden omdat ze in het buitenland zitten, en andere bedrijven, die in Nederland zitten, kunnen niet aangepakt worden omdat ze zich “toevallig” niet richten op een Nederlands publiek. Mijn cynische kant zegt nu dat de overheid dit expres zo heeft gedaan om bedrijven te stimuleren zich in Nederland te vestigen: zolang ze zich maar niet op Nederlanders richten, kunnen ze hier min of meer doen wat ze willen.

        Daarnaast is het bizar omdat deze criteria niet 1-op-1 matchen met de grenzen van Nederland. Je hebt misschien nog een punt bij web-winkels die leveren aan adressen in Nederland, of wellicht bij het accepteren van iDeal-betalingen. Maar als je geen web-winkel bent maar wel privacy-gevoelige informatie verwerkt, dan zou het dus juridisch een boel uitmaken of je de Nederlandse vertaling van je website een beetje Vlaams of Surinaams aandoet?

  2. Ik vraag mij af of de Amerikaanse Wetgeving het toestaat dat de wetgever een Amerikaans bedrijf dwingt om de wet van andere landen te breken en dus in die andere landen een misdrijf te begaan. En in hoeverre de Amerikaanse Wetgever vervolgens de vervolgschade voor dat bedrijf moet gaan vergoeden. Het lijkt mij ook dat indien Amerikaanse bedrijven privacy-gegevens van Europese burgers doorgeeft aan de Amerikaanse Wetgever, deze bedrijven in Europa gewoon een zware straf moeten krijgen. Ik denk dan aan het blokkeren van de domeinen van die bedrijven en het in beslag nemen van kantoorpanden en goederen van die bedrijven in Europa om te voorkomen dat ze doorgaan met deze privacy-schending. De straf moet dusdanig hoog zijn dat deze bedrijven liever de strijd aangaan met de Amerikaanse wetgeving dan de Europese. Maar ja, dat is mijn mening hierover…

    1. In Frankrijk kunnen advocaten die hier aan meewerken een celstraf krijgen (is ook al een keer gebeurt). Dit is overigens precies waar de huidige MS zaak over gaat. De Amerikaanse overheid is in ieder geval van mening dat het om controle/toegang gaat. Dus als je erbij kunt moet je opleveren, schijt aan wetten van andere landen.

      Met vrienden als deze, heb je geen vijanden meer nodig …

  3. De privacywet kijkt niet naar waar de data staat, maar om wiens data het gaat. En is dat data van Nederlanders, dan geldt daarop de Nederlandse privacywet (die afgeleid is van de Europese).

    Dat lijkt mij onjuist want de WBP zegt letterlijk:

    1. Deze wet is van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland. 2. Deze wet is van toepassing op de verwerking van persoonsgegevens door of ten behoeve van een verantwoordelijke die geen vestiging heeft in de Europese Unie, waarbij gebruik wordt gemaakt van al dan niet geautomatiseerde middelen die zich in Nederland bevinden, tenzij deze middelen slechts worden gebruikt voor de doorvoer van persoonsgegevens.

    Er staat niks in de wet over gegevens van Nederlanders of zelfs inwoners van Nederland. Er staat juist wel expliciet dat de wet kijkt naar waar de data staat omdat alle gegevensverwerkingen van personen die worden uitgevoerd in een datacentrum (vestiging) in Nederland onder deze wet vallen (ongeacht uit welke land die persoon komt).

    Ze moet er alleen voor zorgen dat die gegevens binnen Nederland, althans binnen Europa, blijven en met name dat Amerikaanse overheden daar niet bij kunnen.

    Nergens in de WBP staat expliciet dat Amerikaanse overheden daar niet bij kunnen komen.

    Er staat wel expliciet in de WBP: Persoonsgegevens mogen slechts worden verwerkt indien: … de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is (en daarbij worden geen buitenlandse wettelijke verplichtingen uitgezonderd)

    Ook staat er expliciet dat de wet niet geld voor bijvoorbeeld ten behoeve van de uitvoering van de Wet justitiële en strafvorderlijke gegevens en daarin staat weer dat Justitiële gegevens (dat kunnen persoonsgegevens zijn) kunnen ten behoeve van de strafrechtspleging worden verstrekt aan rechterlijke ambtenaren dan wel aan andere autoriteiten in het buitenland. (zonder dat er bijstaat wie die gegevens dan moet verstrekken).

    Volgens mij is juist 1 van de problemen met de privacy wetgevingen in de EU dat er geen expliciete/duidelijke regels zijn die het leveren van persoonsgegevens verbieden als bijvoorbeeld de Amerikanen met een gerechtelijk bevel komen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.