Mag je van de GDPR geen cloud-based office dienst meer inzetten?

It is currently impossible for Sweden’s public sector to purchase web-based office services (word processing, email and text/video chat) that comply with the European General Data Protection Regulation (GDPR). Dat las ik bij de Open Source Observatory. Men ging af op een studie van de Zweedse National Procurement Services die focust op de impact van de US CLOUD Act, waarmee data vanuit Europa ineens opgevraagd kan worden door Amerikaanse diensten, en dat is dan in strijd met de AVG/GDPR. Dus einde van de cloud-based office in Europa? Nou, niet helemaal.

Er is veel onduidelijkheid over de US CLOUD Act, en dat is niet gek want die wet is er stilletjes en zonder al te veel voorafgaande discussie gekomen middenin het getouwtrek tussen Microsoft en de FBI over afgifte van data bij een Europese dochter van het Office-cloudbedrijf. Kort en goed zegt die wet, niet zeuren maar doen. Afgeven die hap, ook als die in het buitenland staat. Letterlijk (paragraaf 2713):

Electronic communication service providers and remote computing service providers must comply with the obligations of [this Act] to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.

Zo’n bevel kan aan Microsoft in Redmond, Washington worden gegeven. Die zou dan haar Duitse dochter kunnen opdragen die gegevens door te geven, want je zit nu eenmaal in een concern. Maar dat kan eigenlijk niet, want binnen de regels voor concerns kán een moeder niet direct bevelen wat een dochterbedrijf moet doen. Aandelen geven wel zeggenschap, maar geen bestuursbevoegdheid. Je moet dus het bestuur overtuigen, en dat kan eigenlijk alleen door te zeggen dat je het bestuur eruit gooit als ze niet doen wat je zegt. Dat zou nogal opvallen, en als in de statuten van die dochter ook nog vervelende dingen staan dan wordt dit helemaal een heilloze route.

Meer effect zou je als FBI hebben als je direct die Duitse dochter pakt en zegt, afgeven die hap, strikte geheimhouding en anders Gitmo for you. Maar ook dat wordt dan nog knap ingewikkeld, want dat mág helemaal niet. In de AVG is hier namelijk een specifiek artikel over opgenomen, artikel 48:

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

Een bevel onder de CLOUD Act voldoet niet aan die omschrijving. (Een rechtshulpverzoek aan de Duitse federale politie natuurlijk wel, maar die toetsen dan naar Duits recht en daar hoort iets meer openbaarheid en toetsing aan grondrechten bij.) Daarmee zou die Duitse dochter dus niet mee mogen werken op straffe van hoge boetes. Een vervelende spagaat; je moet iets afgeven op straffe van hoge boetes of zelfs celstraf, maar je mag het niet afgeven op straffe van minstens zo hoge boetes en dreiging van sluiting van je bedrijf (een verwerkingsverbod). Wat moet je dan doen als directie?

Arnoud

29 reacties

            1. Dat hangt denk ik ook een beetje van je positie in het bedrijf af. Ik heb meer dan eens een Amerikaans bevel op laste van onze general council naast mij neergelegd. Heb daar bij vakanties nog nooit last van gehad.

              Heb overigens ook nog nooit persoonlijk geantwoord op dat soort zaken. Als ik daar bericht over kreeg stuurde ik dat door aan de GC en hoorde er nooit meer wat van.

      1. Is dit dan niet gewoon een storm in een glas water? Stel dat Microsoft meerderheidsaandelen Ziggo zou hebben zou de Amerikaanse rechter dan kunnen bevelen dat Microsoft de gegevens die zich onder Ziggo bevinden moet afgeven of zou een verweer dat Microsoft niet Ziggo is stand houden?

          1. Ik denk dat de CLOUD act Microsoft niet verplicht om data af te staan die zich onder Ziggo bevind, ook niet als Microsoft een meerderheidsaandeel heeft in Ziggo. De CLOUD act verplicht Ziggo om die gegevens af te staan.

  1. Je zou kunnen proberen de VS aansprakelijk te houden voor de hoge boetes die opgelegd worden. Maar de VS zal daar vast lak aan hebben. Dat zie je aan een tal van zaken, zoals dubbele belastingen, etc.

    De vraag is wel terecht; als je nu al concludeert dat ze wel moeten, en die boete moeten slikken, mag je daar dan wel zaken mee doen? Immers, het doel van de AVG is niet om boetes te incasseren, maar om data veilig te houden. Boete, het mag, gaat niet op voor mij. Ik vind dit juist een argument om géén zaken met ze te mogen doen.

    1. Geen zaken met ze doen…dat is praktisch onmogelijk, zeker als je al lopende contracten hebt. Veel (hosting)-bedrijven vallen direct of indirect onder (deze) Amerikaanse jurisdictie, of hebben onderaannemers die hieronder vallen. Die zitten nu dus in deze spagaat…

      1. Het kan de moeite waard zijn je overmachtclausules eens erop na te slaan: vaak staat er wollige taal in waarmee je ingrijpen van een bevoegde overheid als overmacht of opzeggingsgrond kunt aanmerken. Je zou hier dan zeggen dat die spagaat het onmogelijk maakt om de dienstverlening voort te zetten, of dat het immoreel is om voortgezette dienstverlening te vorderen wanneer de wet je verbiedt nog langer deze dienst af te nemen. Kan wel een hele rechtszaak worden, maar niet kansloos.

      2. Je zou ook de Nederlandse Staat kunnen proberen schadeplichtig te stellen voor het aannemen van nieuwe wetten die jou verplichten een lopend contract te breken. Maar het lijkt me eigenlijk sterk dat dit het geval is, omdat bedrijven geruime tijd de kans hebben gehad om voor te bereiden op de AVG. Of hebben we het over een 10-jarig contract ofzo?

  2. Waarom zou een Amerikaanse rechter een Europees bedrijf verplichten data af te geven op basis van de Amerikaanse wet? Is de Amerikaanse rechter daar bevoegd toe?

    Waarom zou een Amerikaanse rechter een Amerikaans bedrijf verplichten om data af te geven dat zich bevind onder een buitenlands bedrijf, dat deze gegevens niet af mag gegeven op basis van de wet in dat land?

    1. Dat zou de rechter doen omdat het in sectie 2713 van de CLOUD Act staat. Hierin kent de VS zichzelf wereldwijde rechtsmacht toe, en als de Amerikaanse wetgever dat besluit dan moet de rechter daarin meegaan. En foreign local law is dan leuk en aardig maar we staan hier in de US of A dus die wet gaan we nu volgen.

      1. En dan komt stap 2 in zicht: hoe gaat de VS die uitspraak handhaven? Ze kunnen al vrij veel, omdat een groot aantal diensten, met name op gebied van international betalingsverkeer in Amerikaanse handen zijn — een blokkade van betalingen naar jouw bedrijf is dus heel goed mogelijk, net zoals het afkappen van domeinnaamregistraties en verdere plagerijtjes. Het is niet voor niets dat Europa nu zoekt naar alternatieve voor die betaaldiensten.

        Helaas ontbreekt het nog te veel aan echt sterke bescherming van Europese bedrijven tegen dit soort Amerikaans machtsmisbruik. Voor ieder geval de VS ambasadeur op het matje roepen zou een goed begin zijn.

      2. Dus de Amerikaanse rechter kan ook beslissen dat Ziggo of een willekeurige andere Nederlandse provider gegevens moet afstaan en dit op straffe van een dwangsom? En dat deze provider geen vestiging heeft in Amerika maakt daarvoor niet uit?

        1. Juridisch niet. Als je in je wet opneemt dat je wereldwijd rechtsmacht hebt, dan heb je dat en dan zal je eigen rechtspraak mensen veroordelen voor wat ze waar ter wereld dan ook begaan. In Nederland is bijvoorbeeld strafbaar (art. <A HREF=’https://maxius.nl/wetboek-van-strafrecht/artikel4″>4 WvSr) om waar ter wereld ook op te ruien tegen het gezag (art. 131 Sr) of om Nederlandse bankbiljetten of munten na te maken (art. 208 Sr), plus nog een trits.

          Probleem is natuurlijk hoe je dat handhaaft. Het is bijvoorbeeld verboden om een Nederlandse vlag te voeren op je schip (art. 409) als je niet gerechtigd (=geregistreerd) bent hier. Maar stel een schipper in Oceanië doet dat, wat kan Nederland dan doen? Er is dan geen persoon te veroordelen, geen middelen in beslag te nemen, geen uitleveringsverdrag met Bora Bora waar de betreffende man woont. Daar houdt het recht dus op. Maar op papier kan het.

          1. Sterker nog: dat van die vlag gebeurt zelfs al. Onlangs nog met die ene boot die vluchtelingen oppikt onder Nederlandse vlag, waarvan de overheid zei dat ze dat niet verplicht om ook de vluchtelingen op te nemen omdat dat schip zelf gekozen heeft om zomaar die vlag te voeren.

  3. Even misschien een rare vraag. Maar stel je doet zaken met een bedrijf, en je veronderstelt dat je je netjes aan alle regels houdt wat betreft de AVG. Maar nu kom je er plotseling achter dat het bedrijf in kwestie anders is dan eerst voorgesteld. Bijvoorbeeld, het bedrijf blijkt plots niet Nederlands, en data wordt buiten de EU opgeslagen. Wat moet je dan doen? Is er eigenlijk dan al sprake van een data-lek?

    1. Dat is een contractenissue, iets dat je als wanprestatie onder de verwerkersovereenkomst aanmerkt en vervolgens gaat oplossen. Het is geen datalek want er is geen beveiliging geschonden, maar je hebt geen passende maatregelen in place om je verwerker onder de duim te houden dus je GDPR compliance is nu wankel. Naleving afdwingen en/of contract opzeggen dus.

      1. Je data is nu wel onbedoeld in ‘buitenlandse handen’ gekomen. Een (bijvoorbeeld) Amerikaanse overheid kan die data nu opeisen, en er ook nog een gag-order op zetten, zodat je het niet te weten komt. Is dat enkel een wanprestatie dan?

  4. Ik vind dit een perfecte aanleiding om een technische oplossing te geberuiken. Gewoon on premisis private cloud. Probleem opgelost. Dit is waaarschijnlijk dereden dat zowel MS als google hele grote data centers aan het neerzetten zijn in noordholland. Maar als die opvraging gewoon door kan blijven gaan vanuit de vs (andere landen) heeft dat ook geen zin.

    Ofwel zorg gewoon dat je data veilig in huis blijft, en op je iegen intranet. En alleen initenetten op een speciale pc, old scool:-) Heel veel data is tijds onafhankelijk dus geen probleem, zeker mail. Het hele internet is nog steeds anarchie, en de eerste die mij bewijst dat dat niet zo is moet nog geboren worden. Alles is te hacken en te kraken, waarbij de mens nog steeds de zwakke schakel is en blijft.

  5. Arnoud, maakt het dan nog uit als je de german office365 dienst afneemt ?

    Office 365 Germany is a differentiated option to the Office 365 services already available across Europe. It helps address the needs of the most regulated customers in Germany, the European Union (EU), and the European Free Trade Association (EFTA) by delivering our industry-leading productivity services for digital work, from German datacenters, with data residency in Germany, and strict data access and control measures via a unique data trustee model governed under German law. The data trustee, T-Systems International, an independent German company and subsidiary of Deutsche Telekom, controls physical and logical access to customer data. Customer data cannot be accessed without approval from or supervision by the data trustee, which is governed by German law.

    Bron

    het klinkt mij als een route voor microsoft dat ze tegen de US kunnen zeggen, sorry maar we hebben de data niet

    1. Het jammere aan de Office365 Germany cloud, is dat deze geen nieuwe klanten meer aanneemt en ook niet op hetzelfde niveau zit als de ‘reguliere Office 365’. Zo zijn nieuwe features in O365 niet opgenomen in O365G. Zie tweakers.

      Dus ondanks dat dit een hele mooie oplossing is voor de wetgeving spagaat, zal deze oplossing vrees ik geen heel lang leven meer beschoren zijn. Het zou mooi zijn als er opnieuw een dergelijke oplossing komt, maar die zal dan ook weer tegen dezelfde soort problemen aan lopen.

      1. Als de EU stopt met de kop in het zand steken met zijn half bakken privacy shield ‘oplossing’ in plaats van te wachten tot het hof met een onvermijdelijk ‘non’ komt. (Er is niets wezenlijks veranderd tov het eerder verworpen systeem wat al verworpen is). Op dat moment kan Microsoft met een Office 365 EU komen op dezelfde leest, waarbij vrijwel iedere organisatie (wie werkt er nu nooit mer persoonsgegevens) eigenlijk alleen nopg maar deze versie af mag nemen.

        Dan wordt het vanzelf rendabel om die versie te exploiteren.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.