Vergeet ik al die tijd helemaal wat te vinden van het Privacy Shield

privacy-shieldAlweer uit juli: het Privacy Shield, het nieuwe dataverdrag tussen de EU en de VS, is definitief aangenomen. Daarmee is er eindelijk weer een werkbare juridische basis voor doorgifte van persoonsgegevens aan de VS. Althans zou je denken. En ja sorry, dit is belangrijk maar het is me gewoon even ontschoten erover te bloggen.

Al sinds de jaren negentig schuurt het qua persoonsgegevens tussen de Europese Unie en de VS. De Europese regels over persoonsgegevens zijn de strengste ter wereld, en bepalen onder meer dat persoonsgegevens de EU niet uit mogen tenzij het derde land zelf een minstens zo goed niveau van bescherming heeft. En dat heeft de VS dus, zo bepaalde de Europese Commissie in de Safe Harbor-beslissing eind jaren negentig. Amerikaanse bedrijven konden zichzelf certificeren als compliant met Europese regels, en daarmee was het geregeld. Ja moehaha ik weet het.

Dankzij de Snowden-onthullingen kon niemand er meer omheen dat deze fictie geen stand kon houden. Het Hof van Justitie prikte er dan ook in 2015 doorheen: de Amerikaanse haven is niet veilig, punt. Safe Harbor kende geen harde garanties zoals Europees recht vereist, met name omdat de Amerikaanse overheid te allen tijde door de beschermingsregels heen kon prikken.

Na die uitspraak was het enige tijd paniek in de tent: mag je nog wel persoonsgegevens in de Amerikaanse cloud opslaan, of een Amerikaans bedrijf dingen laten doen met Europese persoonsgegevens? Eigenlijk niet, tenzij je via speciale ellenlange modelcontracten specifieke afspraken mag én die kon handhaven, wat nogal een gedoe is.

Nu is er dan een nieuw akkoord dat iets strengere regels stelt. Zo komt er een onafhankelijk toezichtpanel op de zelfcertificering; bij klachten kan een certificaat dan worden ingetrokken. Verder moeten Amerikaanse bedrijven zich duidelijker committeren aan Europese regels en wordt een ombudsman aangesteld die klachten over mogelijke massasurveillance onafhankelijk kan behandelen. De politiek zal de afspraken jaarlijks evalueren.

Zijn we er nu? Niet echt. Voorlopig zitten we goed, want als de Europese Commissie zegt dat een land veilig is, dan is dat zo – althans totdat de onafhankelijke toezichthouders en uiteindelijk het Hof van Justitie zeggen van niet. Dus zorg voor een bewerkersovereenkomst (ADV: doe die training) en let op dat je leveranciers gecertificeerd zijn onder Privacy Shield.

Op de lange termijn zal dit geen stand houden. Uiteindelijk blijft bij Privacy Shield net als bij Safe Harbor het probleem dat inlichtingen- en veiligheidsdiensten te makkelijk in bulk mogen graaien in persoonsgegevens die Amerikaanse bedrijven onder zich hebben. Dan kun je honderd ombudsmannen aanstellen maar die diensten gaan dat echt niet minder doen. En afspreken dat de VS niet gaat graaien in gegevens bij hun eigen onderdanen, dat kun je wel vergeten als Europese Unie.

Dus ja, leuk dat het gat van Safe Harbor tijdelijk gerepareerd is, we kunnen weer even door. Maar meer dan een doekje voor het bloeden is het niet. Het fundamentele probleem blijft: je moet haast wel de cloud in vandaag de dag, maar dat betekent automatisch opslag in de VS en dat wil je eigenlijk gewoon niet.

Arnoud

10 reacties

  1. Waarom betekent opslag in de cloud automatisch ook opslag in de VS? Zelfs Amerikaanse bedrijven die actief zijn in de cloud doen dat wel eens met Europese dochterbedrijven die fysiek opslaan in de EU, en die weigeren wel eens gegevens aan de Amerikaanse opsporingsdiensten te geven.

    Sowieso, het probleem speelt toch alleen voor persoonsgegevens van EU-burgers? Gegevens van Amerikaanse klanten kan je, neem ik aan, gewoon in de VS opslaan. Het aantal keer dat EU-klanten in de VS van hun persoonsgegevens gebruik maken lijkt me relatief klein, dus het lijkt me niet zo erg dat die gegevens dan de oceaan over moeten reizen omdat de opslag in de EU is. En hoe je onderscheid maakt tussen EU- en niet-EU- klanten? Dat kan de klant eenvoudigweg zelf aangeven. Het lijkt me redelijk dat, als je klanten de keuze biedt voor EU-opslag (zonder extra kosten/voorwaarden), maar ze kiezen toch voor VS-opslag, dat je de gegevens dan in de VS mag opslaan.

    Verder lijkt het me dat dit alleen geldt voor niet-publieke gegevens. Als iemand zijn eigen persoonlijke video’s voor iedereen te zien op Youtube zet, dan mag Youtube dat volgens mij best mirroren op servers in de VS. Omdat niet-publieke gegevens veel minder worden opgevraagd dan publieke gegevens, lijkt me dit geen bandbreedte-problemen te geven.

    Dus: het lijkt me heel goed haalbaar om de VS niet als safe harbor te zien, en dit strak te handhaven. Er zijn dan heel wat bedrijven die veranderingen moeten doorvoeren, maar dat zijn geen show-stoppers, en meer algemeen denk ik dat het veranderingen zijn die hard nodig zijn. De centrale aanname van de cloud, dat het niet uitmaakt waar je gegevens fysiek zijn, klopt gewoon niet. Tenzij je de gegevens met goede encryptie (zonder backdoor) opslaat, maar goed, dan moet je alsnog de opslag van de ecryptiesleutels in de gaten houden.

    1. Je hebt gelijk, technisch is het geen probleem om een EUropese cloud te hebben en de persoonsgegevens zo buiten de jurisdictie van de VS te houden. Helaas zijn het politieke issues die het verplichten van deze technische oplossing tegenhouden. De NSA ziet niet graag haar investeringen in de toegang tot gegevens van EU burgers verdampen, de Amerikaanse overheid gaat (daarom?) schreeuwen dat het verbieden van opslag in de VS een protectionistische maatregel is en onze (slappe) EU bestuurders buigen voor die druk.

    2. There is no cloud, it’s just someone else’s computer 😉 En die computer kan prima in de EU of zelfs in Nederland staan. Een backup buiten Nederland kan best handig zijn, maar je hoeft echt de EU niet uit. Er zijn al cloud oplossingen die de opslag in de EU doen. En soms zijn die duurder, maar waarom zou dat een bezwaar zijn? De provider wordt extra beperkingen opgelegd en moet speciaal voor de EU extra privacy maatregelen nemen. Als dat geld kost dan is dat maar zo.

      Verder staat het mij natuurlijk vrij om mijn eigen data buiten de EU op te slaan. Waar het om gaat is dat mijn data niet buiten mijn weten om en/of zonder mijn toestemming buiten de EU opgeslagen wordt.

  2. Even advocaat van de duivel spelen.

    het probleem [blijft] dat inlichtingen- en veiligheidsdiensten te makkelijk in bulk mogen graaien in persoonsgegevens die Amerikaanse bedrijven onder zich hebben. […] Het fundamentele probleem blijft: je moet haast wel de cloud in vandaag de dag, maar dat betekent automatisch opslag in de VS en dat wil je eigenlijk gewoon niet.

    En is dit in Europa beter geregeld dan?

    Dat bedoel ik als serieuze vraag. Nou kan ik best Rob Bertholee (directeur AIVD) op zijn blauwe (eigenlijk groene) ogen vertrouwen, dat hij het beste met iedereen voorheeft. Ik kan best de GHCQ vertrouwen dat ze het in mijn belang doen als ze Ziggo telefoongesprekken aan een Australisch bedrijf geeft, maar als ik zo goed van vertrouwen ben, wat is dan nog het verschil met Amerikaanse inlichtendiensten? Die hebben ook geen baat om mijn persoonlijke gegevens verder te verspreiden. Dat geeft namelijk een kijkje in de keuken welke gegevens ze hebben. Dus: is er fundamenteel verschil in wetgevening, of is dit inmiddels een wassen neus?

    1. In theorie hebben de EUropese burgers via de politiek controle over hun lokale inlichtingen- en veiligheidsdiensten. EUropese burgers hebben dat niet over de diensten in de VS.

      Dat de praktijk van de controle ver af staat van de theorie is een ander probleem.

  3. je moet haast wel de cloud in vandaag de dag, maar dat betekent automatisch opslag in de VS en dat wil je eigenlijk gewoon niet.
    Tja, met Microsoft Azure, Amazon of Google zit je inderdaad in de Amerikaanse Cloud, ook al hebben ze servers binnen Europa staan. Maar ik ben het niet mee eens dat er geen Europese cloud-omgevingen zijn. Maar bovendien, wat is de Cloud eigenlijk? Want dat is iets dat velen gewoon niet eens weten maar het klinkt wel interessant op marketing-technisch gebied…

    Een Cloud-omgeving is eigenlijk gewoon een soort host-omgeving voor een (web) server die je automatisch kunt upgraden en downgraden naar behoefte. Heb je als webwinkel een drukke periode rond de kerst dan voeg je 4 processors en 16 GB RAM toe en na de kerst kan die weer weg. Dat is wat Azure feitelijk doet en wat je ook bij andere hosting-bedrijven kunt doen met je eigen VPS omgeving.

    Lastiger wordt het met bepaalde diensten die in de Cloud zitten. Bijvoorbeeld email en document-beheer via Google Apps of Microsoft Office. Er zijn wel enkele Europese bedrijven die hier oplossingen voor bieden maar Google en Microsoft zijn hele grote spelers op deze markt. Maar natuurlijk is het wel weer mogelijk om in Europa een VPS te nemen en in te richten als mailserver.

    Met Microsoft Office is het wat lastiger omdat dit eigenlijk desktop applicaties zijn die documenten in de Cloud kunnen opslaan. Dat zou je dan moeten uitschakelen als bedrijf. Of je moet het kunnen opslaan op je eigen (VPS) server. Irritant hierbij is dat Microsoft de versies met cloud-opslag juist voordeliger maakt en daar ook nog eens belminuten via Skype aan toe voegt. Maar goed, er is nog altijd OpenOffice…

    Wel denk ik dat deze problemen qua wetgeving de populariteit van open-source oplossingen ten goede komt. Je kunt dan als bedrijf in Europa meerdere VPS systemen huren en deze indelen voor diverse taken. Via open-source services kun je dan een vergelijkbaar systeem opzetten als wat Google, Microsoft, Amazon en Dropbox allemaal bieden. Het probleem is nu vooral dat er nog te weinig goede open-source alternatieven bestaan die de kwaliteit van deze grote bedrijven ook maar enigszins benaderen…

  4. Waarom gaat iedereen er van uit dat als het juridisch is afgetikt, het automatisch goed is? Dan is het massale datagraaien (door welke partij dan ook) ineens wel in orde? Ik kan daar gewoon niet bij. Wat wil je nu voorkomen? Een boete wegens niet nakomen van een wet of je data beschikbaar hebben voor buitenstaanders?

    1. Het hangt van af wie dit leest. Sinds 1 januari zijn de wettelijke eisen weer aangescherpt, dus het juridisch aftikken van dit soort dingen wordt belangrijker, de juristerij heeft weer wat aan werkruimte gewonnen, de overhead die ze veroorzaken is weer wat groter geworden, jurist worden is weer wat aantrekkelijker geworden. Wat voor- en nadelen heeft.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.