Oké zullen we gewoon stoppen met de US cloud want ik wil niet stééds uitspraken van 60 pagina’s samenvatten tot “stop nou eens met de US cloud”

Ja sorry, ik word een beetje chagrijnig van dit gedoe. Maar zoals ik -en velen met mij- al een paar jaar roep: je kunt niet vertrouwen op Privacy Shield, en je mag niet zomaar data van je klanten naar Amerika sturen. Ook niet in een clouddienst en ook niet als je er een verwerkersovereenkomst bij hebt. En ja, ze hebben ook gezegd dat Standard Contractual Clauses wél rechtsgeldig zijn. Maar dat is alleen omdat in die SCC staat dat je onmiddellijk moet stoppen met data naar Amerika sturen zodra blijkt dat dat land onveilig is. Oftewel, per direct.

Goed, ik ben alweer rustig. het gaat dus om de Schrems II-zaak. Oostenrijkse GDPR-activist Max Schrems wilde alweer heel wat jaartjes geleden weten waarom Facebook Ierland persoonsgegevens van hemzelf mocht verstrekken aan Facebook Inc. uit Californië. Amerika heeft immers niet echt hetzelfde niveau van bescherming van persoonsgegevens als wij. De Ierse AP besloot die vraag aan het Hof van Justitie voor te leggen, en die kwamen toen met de verstrekkende uitspraak dat de toenmalige Safe Harbor-overeenkomst niet rechtsgeldig was. Mede gezien de Snowden-onthullingen kun je Amerika met de beste wil van de wereld geen persoonsgegevensrespecterend land noemen.

Dat gaf politieke onrust, vandaar dat een jaartje later het Privacy Shield er kwam. Daarmee was er formeel weer een grondslag voor uitbesteden van dataverwerking in de VS, mits het bedrijf maar plechtig zei dat ze Privacy Shield zou respecteren en de Amerikaanse overheid zou doen alsof die ombudsman en mooie verklaringen uit het verdrag iets betekenden. Ja moehaha zeg ik dan, maar goed het was even een schaamlap zodat u tijd had om uw clouddiensten en Amerikaanse onderaannemers uit te faseren.

En nu is het dus zover, het Hof van Justitie zegt wederom dat Amerika niet veilig is voor persoonsgegevens en dat je die er dus niet heen mag brengen vanwege mooie woorden in die Privacy Shield overeenkomst. De Europese Commissie had gewoon niet kunnen en mogen concluderen dat Amerika veilig is (net zoals ze dat bij Safe Harbor niet hadden gemogen). Met name specifiek omdat de NSA en andere overheidsinstanties data mogen besnuffelen zonder enige mogelijkheid van klacht of bezwaar, en dat recht moet je wel hebben. En die ombudsman valt onder de minister van binnenlandse zaken en is daarmee niet onafhankelijk. Daarmee had Privacy Shield nooit gesloten mogen worden, en dat ding dat ze wel gesloten hebben is dus ongeldig.

Vele privacyjuristen hadden hier al rekening mee gehouden en dus ingezet op de zogeheten Standard Contractual Clauses (SCC). Dat zijn door de Europese Commissie opgestelde bepalingen waarmee je een standaardcontract samenstelt om grip te krijgen op een buitenlandse (niet-EU) partij die voor jou persoonsgegevens gaat verwerken. In dat contract dwing je keihard af dat men zich aan de GDPR houdt, onder meer met een recht van audit voor jou bij hem, een plicht van hem om rare dingen te melden en de plicht om klachten van gebruikers daadwerkelijk op te lossen.

Het Hof van Justitie zegt nu dat die constructie nog wél geldig is. Die is immers bedoeld voor situaties waarin de buitenlandse partij ergens zit waar ze rare dingen doen met persoonsgegevens. Dus dan is het prima als je samen keiharde afspraken maakt waarmee je die rare dingen buiten de deur houdt. Afdwingbaar, met boetes en rechtszaken. Dat kan gewoon. Daarom zegt het Hof, prima om naar Amerika met SCC te werken.

Alleen en nu komt ie: die afspraken moet je dan wel daadwerkelijk handhaven. Zo moet de Amerikaanse partij jou bijvoorbeeld informeren over rare praktijken of wetten die botsen met Europese rechten. Als jij onder FISA valt, zoals alle ICT-providers, dan moet jij dat aan je Europese klanten melden. En die mogen dan geen persoonsgegevens meer aan jou geven. Dus als je met SCC werkt, dan heb je jezelf contractueel verplicht om vandaag nog te stoppen met persoonsgegevens naar Amerika sturen.

Einde US cloud dus. Althans: voor laten we zeggen zakelijk gebruik door Europese bedrijven. Als jij zelf een Amerikaanse dienst gebruikt voor dienstverlening aan jou (hetzij zakelijk hetzij privé) dan blijft dat prima. Dat valt onder het kopje “toestemming”, dat nog steeds kan. Boeken bij een Amerikaans hotel, een Amerikaanse prijsvergelijker, lezen van een Amerikaanse krantwebsite, betalen met Paypal of een Amerikaans-gecontroleerde creditcard: allemaal prima. Gegevens van je klanten of je websitebezoekers door een Amerikaan laten analyseren: niet prima.

Ook niet als je een verwerkersovereenkomst hebt. Die zegt alleen maar dat die Amerikaan niets mag doen behalve wat jij hem opdraagt, maar dit borgt niet dat de NSA van die persoonsgegevens afblijft. En zolang dát niet geborgd is, mag je geen data laten verwerken in de VS.

Arnoud

56 reacties

  1. Msch goed om ook duidelijkheid te geven over de praktische impact. Niemand “,geeft data door”, dat is de juridische taal. In de praktijk: jij stopt je data in een SaaS Dienst, die in een cloud van een US aanbieder staat. Dat is ook verwerken.

    De grote vragen worden: hoe zit t met de EU takken / entiteiten , clouds en datacenters van US bedrijven. Equinix, Msoft, Amazon etc. Zij claimen: staat juridisch los van US dus geen probleem. Hoe zit t nu bijv met O365 Gebruik door de overheid. En dan de vraag: gaat de AP handhaven, ” u moet onmiddellijk uw systemen weghalen uit datacenter xyz” ?

  2. Wat betekent dit concreet voor het gebruik van Google reCAPTCHA, andere anti-spam maatregelen zoals Akismet en analytische software en/of tracking zoals Google Analytics, Facebook pixels en LinkedIn pixels voor advertentiedoeleinden? Moet iedereen hier nu massaal mee stoppen?

    1. Ik denk dat Arnoud zou willen zeggen dat men daar sowieso mee moet stoppen 😉 Maar ik ben ook wel benieuwd inderdaad! Voor Analytics is Google dacht ik GDPR-compliant, maar de rest is me onduidelijk. Bij Facebook-pixels zou je zeggen dat dit niet meer mogelijk kan zijn i.v.m. de mogelijk data transfer naar de VS op basis waarvan deze zaken zijn gestart. Bij reCAPTCHA weet ik niet wat er aan data opgeslagen en doorgestuurd wordt.

  3. Heb ik een lastige vervolg vraag; Hoe zit het met (dochter)-ondernemingen gevestigd in de EU?

    Simpel gezegd, Microsoft, Amazon, Google, Salesforce en dergelijke hebben ook allemaal pakhuizen met computers hier in Europa staan, is het gebruik hiervan nu ook niet toegestaan of is dat nu nog onzeker? Het lijkt mij logisch dat ook deze lokale vestigingen niet zijn toegestaan, omdat je geen garantie hebt dat wat in Europa staat, ook in Europa blijft.

    1. Data mag niet buiten de EU verwerkt worden. Een Amerikaans rechtspersoon met vestiging hier verwerkt in de EU, dus dat gaat goed. Alleen zit je dan met die rare CLOUD Act, die dan zegt dat de US veiligheidsdiensten mogen spitten in die data. Die rechtspersoon overtreedt daarmee de AVG, maar jij kunt niet nagaan of hij dat doet. Je kunt die entiteit dus niet inzetten als verwerker.

      Een dochterbedrijf naar Nederlands recht met datacenter hier is anders. Die is van de AVG verplicht data hier te laten, en op haar is geen Amerikaans recht van toepassing (want ze zitten in Europa, in alle opzichten) dus geen CLOUD Act of andere rare regels.

          1. Is dat zo? Kan me herinneren dat er een issue was waarbij Amerikaanse rechters konden oordelen dat, ondanks dat de data in Europa opgeslagen werd, het moederbedrijf de data maar op moest halen bij het dochterbedrijf. Dan wordt de vraag eerder welk belang men zwaarder laat wegen (waarschijnlijk waar men de hoogste boete moet betalen), het Europese of het Amerikaanse.

          2. Ik meen dat de hele aanleiding van de CLOUD act was dat MS weigerde gegevens te verstrekken omdat die bij MS Ierland stonden. Zolang Google US directe zeggenschap heeft over de dochter, waarom zou Google US dan volgens US recht mogen weigeren de gegevens te verstrekken? Dat het niet mag van de AVG doet dan toch niets af aan dat het moet van de CLOUD act? En dat je er niet van uit kunt gaan dat het niet gebeurt, dat is toch juist het probleem? (Zeg ik zonder die Cloud act zelf gelezen te hebben, ik hoop het mis te hebben).

            1. Klopt, MS Amerika moest het gaan halen in Ierland. Maar dat zegt niet dat MS Ierland het moet geven. De Cloud Act kan wel zo veel zeggen, waarom zou een Iers bedrijf of rechtbank dat erkennen?

              Als het een dc is dat eigendom is van Google Amerika dan zie ik het nog wel. Dan kunnen en mogen zij overal bij. Maar als er een Europese dochter tussen zit, dan houdt de controle op. Aandeelhouders mogen de directie ontslaan op de jaarvergadering, maar dat is het.

          3. Voor Google heet het de G Suite for Education. Daar kunnen Nederlandse scholen gratis gebruik van maken. Je onderhandelingspositie is daarmee niet heel sterk. Microsoft is trouwens het enige alternatief, maar veel scholen gebruiken beide. Bv. Office 365 voor de leerkrachten en dan G Suite voor de kids, omdat het lekker werkt met Chromebooks. Maar dan zitten kinderen zelf hun documentjes en mailtjes de cloud in te sturen. Dat zijn toch ook persoonsgegevens? Google belooft in de overeenkomst er alles aan te doen om aan de AVG te voldoen. Maar ze verwijzen wel naar Privacy Shield en dat data ook de grens over gaat. Dat lijkt op zo’n SCC waar je over schrijft.

            Begrijp ik het goed en mag G Suite niet meer? En wat kan je dan doen? Google zal waarschijnlijk reageren met: We gaan het onderzoeken en zo nodig oplossen.

            Maar goed… Er zijn elk jaar weer nieuwe scholen die overstappen op Chromebooks en G Suite. Dat is een pittig implementatie traject. En daarna duurt het nog wel een aantal jaar voordat iedereen er ‘lekker mee kan werken’. Binnen een paar jaar overstappen op een ander systeem, zal kostbaar zijn en daarnaast ten koste gaan van de kwaliteit van het onderwijs op je school. Er is ook weer wetgeving die scholen verplicht de kwaliteit te borgen en daarvoor lange termijn plannen te maken (moet langs MZR en inspectie etc…), waar je je minimaal 3 aan moet houden. In het onderwijs valt overal wel een uitzondering op te maken als er een goede reden voor is, maar dat is wel een enorme belasting voor een school en drukt op de kwaliteit. Ik denk dat de afweging “kwaliteit onderwijs” versus “privacy leerlingen”, in dit specifieke geval in het voordeel van de kwaliteit van het onderwijs zal uitvallen. Dus even overstappen omdat e.e.a. niet meer aan de AVG voldoet, kan eigenlijk niet.

            Conclusie kan ook zijn, dat als we ons aan alle wetgeving willen houden, er in het onderwijs geen plek is voor de cloud. In ieder geval tot er een europese cloud is. Is dat wenselijk?

            1. tot er een europese cloud is

              Toen enkele jaren geleden de Cloud een nieuw fenomeen was las ik in de Duitse vakpers een artikel over enkele bedrijven die een Duitse Cloud wilden gaan beginnen. Mij leek het een prima idee, niet omdat ik zo graag een cloud (dat zijn andermans computers) wil gebruiken maaar omdat daarmee wat juridische belemmeringen konden worden ontweken.

          4. Ik mag hopen dat ze contracteren met de Europese dochters van die bedrijven

            Het is altijd maar de vraag in hoeverre dat zo is. Als ik bijvoorbeeld bij Microsoft in de Online Services DPA kijk, staat onder de SCC de handtekening van de Exec. Vice President van Microsoft Corporation, de Amerikaanse entiteit dus. Als klein bedrijf heb ik verder niet zoveel te kiezen, en veel meer dan Office 365 of Google Apps heb je ook niet te kiezen voor zakelijke cloud all-in email- en telewerkoplossingen.

            Ja de factuur komt uiteindelijk bij MS Ierland vandaan, en bij Microsoft zelf kun je aangeven dat je je data in de EU wil hebben. Maar nergens wordt echt duidelijk uit met wie je nu een contract hebt. Voor de educatieve sector geldt daarbij ook nog eens dat Microsoft doodleuk vanwege Corona data ook naar de VS is gaan zetten. Zie https://docs.microsoft.com/en-us/office365/enterprise/o365-data-locations

            Due to the unprecedented circumstances around the COVID-19 crisis and the need to manage online services demand in Europe, if your organization is an educational institution, we may provision your Microsoft 365 tenant in the European Union (EU), European Free Trade Association (EFTA), the United Kingdom (UK), United States (US), or Canada (CA), or transfer your data to any data centers in the EU, EFTA, UK, US, or CA.
            Ik denk dus dat de praktijk niet zo simpel is als ‘het gaat via MS Ierland dus het is OK’, en dat dat contractueel helemaal niet juist is afgedekt. En eigenlijk niemand heeft mij daar nog een goede oplossing voor kunnen geven (ook je eigen bedrijf niet, ook Office 365 gebruiker trouwens).

            Overigens is het technisch ook waarschijnlijk zo dat Microsoft Inc. gewoon zelf toegang heeft tot die data. Daar zitten uiteindelijk de beheerders. Microsoft Ierland is alleen maar een schilletje voor wat belastingzaken. Juist hierom had Microsoft een aparte Duitse cloud. Alleen volgens mij zijn ze daar juist mee gestopt omdat het geen zin meer had vanwege de CLOUD Act.

  4. Als jij zelf een Amerikaanse dienst gebruikt voor dienstverlening aan jou (hetzij zakelijk hetzij privé) dan blijft dat prima. Dat valt onder het kopje “toestemming”, dat nog steeds kan.
    Geldt dat ook voor adresboeken in de cloud? Of kan ik met deze uitspraak in de hand mijn vriendenclub uitdunnen door boetes van ze te eisen omdat ze mijn persoonlijke informatie met Apple/Google/Microsoft delen via de almost-default-on sync opties van hun telefoon?

  5. Oproep: ondersteun NOYB (Max Schrems) met een donatie. Hij is en blijft een luis in de pels. Het liefst willen ze een periodieke overmaking, maar ik doe af en toe een eenmalige geldstorting: IBAN: AT91 2011 1837 8146 6601 of als één tekst zodat ze hem makkelijk kan copy-pasten in je bankapp: IBAN: AT912011183781466601 Ik post zo de URL zodat je weet dat dit echt is.

  6. Maar als ik het goed begrijp, is het gebruik van Google-suite dus niet meer toegestaan voor bedrijven, als je ook (soms) persoonsgegevens verwerkt. Eigenlijk is dat altijd zo, omdat veel e-mailadressen te herleiden zijn naar personen. Als je daarnaast ook nog eens sollicitatiebrieven en CV’s ontvangt per Gmail, ben je dus fout bezig. Of ligt dit toch genuanceerder?

    1. Ik denk dat jij het bij het in principe bij rechte eind hebt (en het cloud verhaal geldt ook voor online Office 365, enz.). Nu bieden Google en Microsoft ook “regionale clouds” aan, waar jouw data binnen een specifiek gebied blijft. Als je met een (EUropese) regio-organisatie van Google of Microsoft een contract sluit voor dataverwerking en opslag binnen EUropa (en andere landen die aan de EU privacy eisen voldoen), dan voldoe je mogelijk wel aan de GDPR.

      1. Dat betwijfel ik! De Amerikaanse inlichtingendiensten en zo hebben namelijk ook controle over opslag buiten de VS. Dus dat Microsoft een server in Amsterdam heeft staan maakt voor hen niets uit. Microsoft is een Amerikaans bedrijf dus als men informatie van de Nederlandse server opvraagt dan dient Microsoft hieraan mee te werken. En mag dit niet doorvertellen aan de klant indien dat erbij gezegd wordt.

          1. Denk jij dat die systeembeheerder van Microsoft in Nederland zit? Die loggen gewoon direct vanuit de VS in en halen die data op hoor, daar komt geen Nederlandse (of Ierse) entiteit bij kijken. Dat onmogelijk maken was juist het hele idee achter ‘Azure Germany’, maar dat hebben ze weer de nek omgedraaid.

              1. Waar wil je precies een bron van hebben? Als het gaat om het feit dat de Amerikaanse tak van Microsoft gewoon bij de data kan: als ik data in Azure heb staan, of een Office 365 account heb, kan ik simpelweg verzoeken om die data naar een andere regio te zetten. Ik kan data ook over meerdere regio’s repliceren. Dat allemaal vanuit 1 en dezelfde portal. Er is dus geen administratieve scheiding, want dan zouden dat soort acties nooit mogelijk zijn. Dat houdt dus in dat (vanuit een technisch oogpunt) Microsoft US overal bij kan.

                Die administratieve scheiding was er wel bij Azure Germany. Dat stond helemaal los: eigen accounts, eigen portal, eigen beheerder (T-Systems). Meer info daarover hier: https://docs.microsoft.com/en-us/azure/germany/germany-welcome Microsoft is daar alleen weer mee gestopt. Waarom dat is, is nooit expliciet gezegd. Ja, ‘changing customer demands’. Maar eerlijkgezegd denk ik dat Microsoft de discussie in eigen land niet verder aandurfde na invoering van de CLOUD Act.

                De hele reden dat de CLOUD Act is ingevoerd, is juist omdat er onduidelijkheid was over data die bijvoorbeeld Microsoft in Ierland had staan. Microsoft wou deze niet afgeven, dus is de CLOUD Act ingevoerd. Vervolgens is Microsoft er akkoord mee gegaan om de data af te geven. Blijkbaar ziet Microsoft die US vs. EU scheiding dus ook niet meer zo, sinds invoering van de CLOUD Act.

                Mogen ze dat onder de AVG, zeker nu Privacy Shield de nek omgedraaid is? Nee natuurlijk niet. Maar er is geen enkele manier waarop jij dat als klant kan afdwingen, anders dan door je data bij geen enkele Amerikaanze partij neer te zetten (ook niet in een EU datacenter). Dus heel Amazon AWS, Microsoft Azure en Google Cloud kan allemaal de deur uit. Alleen een beetje jammer dat er geen Europees alternatief is.

          2. Het zou niet de eerste keer zijn dat “criminelen” door “onbekenden” op een “privé-vlucht” naar de Verenigde Staten gezet zijn om daar bij aankomst door de autoriteiten gearresteerd te worden.

          3. Nee, ze hebben hier geen arrestatiebevoegdheid. Hooguit kunnen ze om uitlevering vragen. Maar de betreffende directieleden kunnen verwachten dat als ze ooit naar de VS moeten, ze ter plekke worden gearresteerd zodra ze daar het vliegtuig uit stappen.

            De vraag is ook in hoeverre Microsoft Nederland ook daadwerkelijk onafhankelijk is van de Amerikaanse tak. Als justitie in de VS inzage eist in de VS van alle communicatie tussen de Amerikaanse vestiging en de Nederlandse dochter en daarbij ook aangeeft dat Microsoft dit stil moet houden dan wordt het toch best lastig voor Microsoft. En dan is er nog de vraag of de data van de Nederlandse dochter ook daadwerkelijk in Nederland staat. Wat overigens ook geldt voor de backups, waar de meesten niet aan denken! Want waar worden de backups van alle data bewaard?

            1. Er zijn wel degelijk gevallen geweest van Amerikaanse veiligheidsdiensten die in ons land mochten opereren onder hen eigen wetten. Zo is “zwarte kobra” met uitlokking (wat hier niet mag, maar daar wel) opgepakt in Maastricht door de Verenigde Staten.

        1. Als mijn contract loopt met de Nederlandse rechtspersoon van MS en die rechtspersoon speelt het door naar de Amerikaanse overheid ( of MS in de VS ) dan lijkt het me dat ik dan bij de AP kan aankloppen.

          1. 1) je moet er achter komen 2) de data in beslagname wordt door FISA verordoneert, onder geheimhouding voor alle andere partijen dan FISA, (NSA/FBI/… wat van toepassing is) en management van het bedrijf dat moet uitvoeren.

            De levering wordt stiekem gedaan. En ja je staat in je recht als je kan aantonen dat het gebeurd is en dan zou het duur kunnen worden voor MS (paar % van de wereldwijde omzet). Des te meer reden voor MS om dat erg stil te houden en te ontkennen etc. Het aantonen is dus wat nodig is. Succes. Daarentegen door niet bij een US -databoer (FB,Google, MS, GEISCO, etc) kun jij veel makkelijker aantonen dat het niet fout kan gaan. Als achteraf je gelijk proberen te halen.

              1. FISA is niet een openbare rechtbank en met name bedoeld voor NSA en FBI “search warrants” Geen wets artikelen maar: https://en.wikipedia.org/wiki/UnitedStatesForeignIntelligenceSurveillance_Court Met levering wordt stiekem gedaan bedoel ik: jij als klant van US provider zal niet op de hoogte gebracht mogen worden. Officiële stukken heb ik niet en ook geen toegang tot juridische databases. Ik kan het makkelijk bij het verkeerde eind hebben, en ben geen jurist. .

  7. Shortcut? Maak wetgeving waarin staat dat alle GDPR-gevoelige data die buiten een gesloten intern bedrijfsnetwerk komt moet zijn versleuteld met een unieke key die alleen in het bezit is van het betreffende bedrijf. Kan je direct al die onbetrouwbare verdragen in de prullenbak donderen…

    Oh ja, die key moet natuurlijk binnen de software beschikbaar zijn om te ontsleutelen, dus 1 miljard boete voor de softwareleverancier die de key toch doorspeelt aan zijn overheid.

    1. Ook volstrekt encrypted data die wordt opgeslagen door een partij die het niet kan ontsleutelen en waarin persoonsgevens zitten zijn een ‘verwerking’. Ik denk niet dat deze shortcut OK is juridisch gezien, maar lees graag waarom ik het mis heb…

  8. Wij hebben alle data voor de uitspraak van Schrems I al binnen de EU bij een Europese provider ondergebracht. Toch heb ik ik een vraag of dit wel nodig was, of anders gezegd welke nuance kent de AVG.

    Alle gevoelige data is namelijk at rest en in transit versleuteld. Die sleutel is alleen bekend op de client.

    Het is voor de cloudprovider dus niet mogelijk de data terug te voeren tot de onversleutelde gegevens en dus ook niet te herleiden tot een persoon. Dus wat boeit het dan nog dat de Amerikaanse veiligheids diensten die data kunnen ‘inzien’. Wat ze zien is voor hun niet meer als noise.

    1. In die situatie denk ik dat jij wel adequate beveiliging hebt genomen om ongeautoriseerd gebruik door de verwerker (of inlichtingendiensten die hem dat opdragen) tegen te gaan. Ik denk dat jij dan verder kunt in de VS als je SCC afsluit met je verwerker.

      Het is hooguit een wat beperkt model want heel vaak wil je juist dat de verwerker meer doet dan een blob opslaan en teruggeven. En er zijn maar weinig verwerkers die diensten aanbieden die ze op versleutelde data kunnen uitvoeren.

    2. Een goed antwoord op deze vraag vereist een nauwkeurige technische en juridische analyse van hoe jouw systeem werkt. De eerste opmerking: versleuteling is goed, het beschermt tegen technisch minder geavanceerde tegenstanders dan de NSA. (Maar de NSA was nou net het Save Harbour en Privacy Shield pijnpunt) En bij versleuteling geldt altijd: hoe bescherm je de sleutel?

      Welke bewerkingen doe je in de cloud op je gegevens? Daar is meestal ontsleuteling bij nodig en dan moet je je cloudprovider toegang tot je sleutel geven. Daar zit een risico van interceptie van de sleutel door “derden”, bij Amerikaanse bedrijven een GDPR risico.

  9. Is het nu niet gewoon weer wachten totdat de VS een regering heeft die we wel lief vinden? Onder Obama was een ‘inlegvel’ snel geregeld om de safe harbour te redden. Dat we massaal met de cloud stoppen vind ik niet geloofwaardig.

    1. Trump zal er (ook onder het golfen) mee lastig gevallen worden. Tal van Amerikaanse techbedrijven leven van de “Privacy-schild-uitzondering”. En de inlichtingendiensten willen hun uitzonderingspositie ook graag behouden. Een extra velletje papier is zo te regelen, maar de kans dat dat velletje in een volgende procedure bij het hof afgeschoten wordt is levensgroot.

      Om cloudverwerking van Europese data in de VS permanent te redden zal de Amerikaanse overheid EU-burgers privacyrechten moeten geven. Het pijnpunt is dan dat “Aliens” meer rechten krijgen tegenover de Amerikaanse staat dan Amerikaanse burgers (nu) hebben. Helaas zijn privacy en surveillance zaken waar in de Amerikaanse politiek niet makkelijk vooruitgang in is te boeken.

      Conclusie: Er zal wel weer een nieuw doekje voor het bloeden worden aangebracht waarna het Europese Hof over een aantal jaren wederom kan constateren dat de etterende wond nog steeds niet geheeld is.

      1. Wat ik zie gebeuren is dat er wederom een loze belofte wordt gedaan, dat het weer vier jaar voordat het Europese Hof het weer afschiet, en zo gaat het tot in lengte van jaren dan door. Da’s natuurlijk de dwaasheid ten top. Wordt het dan niet eens tijd dat toezichthouders gigantische boetes gaan uitdelen aan partijen als Google, Amazon, e.d., en aan hun klanten, omdat data niet effectief buiten bereik van grijpgrage buitenlandse overheden wordt gehouden. Deze zaken lossen duidelijk het probleem niet of.

        1. Die grijpgrage overheden willen graag bij die data. Dat is al zo sinds 18 september 1947 opgericht door president Harry S. Truman, als opvolger van de op 22 januari 1946 opgerichte Central Intelligence Group om het zogenaamde oprukkende communisme tegen te gaan. Geen idee wat er tegen communisme is als het goed uitgevoerd word, maar dat geld ook voor de huidige democratie, ook opgelegd door Washington waarbij je 51 vrolijke gezichten en 49 zure gezichten hebt (uitspraak van o.a. Nelson Mandela)

          MAW het gaat nooit opgelost worden zolang de U naait me Steeds en consorten het voor het zeggen hebben.

  10. Geldt dit echt ook voor PayPal? Voor zover ik weet vallen Europese gebruikers onder de Europese vestiging van PayPal die hier ook een bankvergunning heeft tegenwoordig. Dan zouden die toch ook gewoon onder de GDPR vallen lijkt me?

  11. Wat een nonsens,, Schrems geld geven? Een verbod om te procederen moet hem opgelegd worden. Privacy is prima dit is meer dan belachelijk, de noodzaak om onredelijke regels na te komen. Bureaucratische pennelikkerij, alsof de NSA geïnteresseerd is in de e-mailadressen van de klanten van sokkenwinkel. Maak de regels nog ingewikkelder, maak dat nog meer juiste betrokken moeten worden bij vuistdikke documenten die geen hond wil lezen om alles juridisch af te dekken en de enige die er baat bij hebben zijn de grootste bedrijven, die wel geld en macht en uithouding hebben om het prima op orde te hebben. Sorry een grote bull shit van nutteloze regels. De wantoestanden moet je voorkomen maar regels maken voor 99% die geen enkel negatief tav hun privacy is een grote onzin.

    1. Wat een nonsens. De VS en haar bedrijfsleven heeft meermaals laten zien nul te geven om onze grondrechten. Dus dan moeten wij stoppen met daar dingen te doen. De AVG gaat niet alleen over NSA spionage.

      Deze rechtszaak was juist nodig om de bullshit te doorbreken. Want nu kan niemand meer zeggen dat verdrag A of contract B genoeg is om data aan de VS bloot te stellen.

  12. Ik zie weer een mooi verdienmodel voor de (cloud)software leveranciers die globaal opereren opkomen. Geld vragen aan EU klanten als ze er zeker van willen zijn dat hun data alleen in de EU staat. Soms zijn er gewoon geen goede alternatieve, lokale (EU) partijen, dus dan moet je wel. Zendesk vraagt bv. een maandelijkse fee als je wilt dat ze de data in de EU houden: to balance demand, improve performance, and provide the best service, we may move account data between regions without notice. If an account has purchased the Data Locality Add-On, we will ensure that regional moves stay within the required country or legal boundaries > bronnen: – https://support.zendesk.com/hc/en-us/articles/360022185194https://support.zendesk.com/hc/en-us/articles/360022367553-Data-Hosting-Locations-for-Your-Zendesk-Service-Data

    1. Dat is al veel langer het verdienmodel van veel partijen waaronder Zendesk. Ik geloof alleen dat het nu niet meer opgaat, want bij Zendesk sluit je nog steeds de SCC af, hebben ze intern BCR, en kan al je data dus nog steeds bij Zendesk US komen (als je contract daar überhaupt al niet mee is). Dat was nu juist niet de bedoeling.

  13. hmmm – heel interessant allemaal – maar welke cloud providers mag een bedrijf in de EU dan nog wel gebruiken? De meeste startups/scale-ups die ik ken zijn er als de kippen bij om een US branch te openen om hun markt te vergroten (think big, remember), hebben dan een US poot en vallen onder de Cloud Act. Ik lees hier vooral een politiek proces met zijn merites, alleen zie ik niet meteen in hoe we daar praktisch gevolg aan kunnen geven zonder onszelf terug naar de steentijd te bombarderen…

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.