Valt een datacentrum in de ruimte onder de AVG?

pencilparker / Pixabay

Waarom een datacenter in de ruimte een interessant idee is, kopte AG Connect onlangs. Koeling is iets minder een issue, energietoevoer gaat ook wel goed maar kosmische straling is iets meer een dingetje en even een monteur langs sturen om de server te powercyclen is geen optie. Maar dat zijn engineering problems my friends dus daar komen we wel uit. Iets lastiger is de juridische vraag: onder welk recht valt zo’n datacenter, en met name is de AVG dan van toepassing op wat daar gebeurt?

Lange tijd was ruimte-exploratie een zuivere overheidstaak, en dan zijn dit soort dingen iets minder van belang. Maar sinds de opkomst van private, vaak commerciële ruimtevaart krijg je natuurlijk ook meer juridische vragen: aansprakelijkheid, strafbaarheid of zoals hier gegevensverwerking. In principe zijn die vragen te herleiden tot “welk recht geldt in de ruimte”, omdat je daarna in dat wetboek gewoon het antwoord opzoekt. De ruimte is ook maar gewoon een grens, volgens sommigen de laatste grens maar toch.

Het recht begint bij internationale verdragen, en hier kom je dan uit bij het Outer Space Treaty (OST) dat al in 1967 aangenomen werd. Men voorzag destijds al de optie dat anderen dan statelijke actoren zelf ruimte-activiteiten zouden ontplooien, en daarom bepaalt artikel VI van het verdrag dat

States Parties to the Treaty shall bear international responsibility for national activities in outer space, including the moon and other celestial bodies, whether such activities are carried on by governmental agencies or by non-governmental entities, and for assuring that national activities are carried out in conformity with the provisions set forth in the present Treaty.
Oftewel: tussen de landen onderling geldt dat je als staat verantwoordelijk bent voor wat jouw burgers in de ruimte uitspoken, of ze dat nou namens de overheid of als private actoren doen. Dat is een heel brede norm, maar het universum is groot, enorm en ingewikkeld en belachelijk, dus veel meer kun je niet doen. En de truc is natuurlijk dat ieder land dan zelf regels stelt (“by your command” te accepteren, zoals dat heet) over hoe het met aansprakelijkheid en dergelijke zit – of gewoon verbiedt dat je de ruimte in gaat vanaf haar territorium.

In Nederland hebben we daarom de Wet ruimtevaartactiviteiten, die (art. 2) geldt voor ruimtevaartactiviteiten die worden verricht in of vanuit Nederland dan wel op of vanaf een Nederlands schip of Nederlands luchtvaartuig. De regel is simpel: zonder vergunning is het abort mission right away. Het Agentschap Telecom geeft die uit, iets dat ik zelf ook niet wist.

In die vergunning worden dan regels opgenomen over bijvoorbeeld je aansprakelijkheid of grenzen aan wat je wel of niet mag doen. Expliciet daarbij is een eis dat je goed verzekerd bent voor de gevolgen. En dat is maar goed ook, want als er een claim komt op Nederland (op grond van artikel VI OST) dan mag de staat die volledig verhalen op de organisatie.

Nederland is lid van het OST, maar de Europese Unie an sich niet. Nu is de AVG natuurlijk een Europese wet, maar zo’n wet (een Verordening) maakt gewoon deel uit van het Nederlands recht en zou daarmee via bovengenoemde route in te roepen moeten zijn tegen een partij die vanuit Nederland een datacentrum in de ruimte opereert.

Krijg je de volgende vraag: is er sprake van een verwerking binnen de scope van de AVG, als een DC in sp-a-a-a-ce persoonsgegevens door een of ander geautomatiseerd proces heen haalt. Nou ja, verwerking is het: iedere “bewerking of een geheel van bewerkingen” is per definitie (art. 4 lid 2 AVG) een verwerking. Die verwerking vindt dus plaats in de kosmische ruimte, waardoor vele blogs en analyses concluderen dat de AVG er niet op van toepassing is.

De AVG kiest alleen niet als insteek “waar de persoonsgegevens worden geanalyseerd en de computer vervolgens I can’t do that” zegt, maar de plek waar de verwerkingsverantwoordelijke gevestigd is (art. 3 AVG):

1. Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt.

  1. Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, (…)
Dus stel het bedrijf dat het kosmisch DC (of beter: een systeem dat draait in dat DC) exploiteert zit in Nederland, dan is volgens lid 1 simpelweg de AVG van toepassing. Zit het bedrijf buiten Nederland (de EU) dan kom je er via lid 2 ook, want ook hier is niet vereist dat de verwerking in de EU plaatsvindt. Handhaving is natuurlijk lastig, maar niet lastiger dan wanneer het DC in zeg India staat.

Een voor mij veel lastiger vraag is of het wel mag, die data overbrengen naar een DC in de ruimte. Telt dat bijvoorbeeld als een doorgifte naar een niet-EU land? Doorgifte gaat namelijk over landen, niet over vestigingsplaatsen van een verwerkingsverantwoordelijke. Ik zou als Nederlands bedrijf bijvoorbeeld bij een datacenter in India een server kunnen huren en daar verwerkingen op uitvoeren. Dan is sprake van een doorgifte naar een derde land, ondanks dat er geen derde partij (zoals een Indiase dochter van mijn bedrijf) bij komt kijken.  Het lijkt erop dat de ruimte geen derde land is, zodat hier geen AVG-bezwaren tegen bestaan.

Arnoud

 

29 reacties

      1. Luchtdicht zijn maakt voor de koeling weinig uit. Wel dat je je in een vacuüm bevind, waardoor je dus je warmte niet kwijt kan via conductie of convectie en enkel alleen via radiatie (uitstralen). En laat radiatie nou net (helaas) de minst snelle methode zijn om je warmte kwijt te kunnen 😉

      2. Een antwoord op jouw vraag: ja je zou de raampjes open kunnen zetten, bijvoorbeeld door de warmte over te dragen naar water of een andere substantie en daarna dat te lozen. Maar dat betekent dat je dat ook regelmatig zou moeten vervangen, gaat dus flink in de kosten lopen 😉

      3. https://en.wikipedia.org/wiki/ExternalActiveThermalControlSystem Niets eenvoudigs aan 🙂 Vloeibare ammonia daar houden mensen niet van = DIRECT gasmasker op, afsluiten en ACTIE https://www.space.com/28262-space-station-ammonia-leak-false-alarm.html Electronica houdt daar ook niet van. 😉 In het ISS kunnen ze 70kW aan hitte wegwerken “The EATCS is capable of rejecting up to 70 kW,” wereldwijd gebruiken data centers een miljard keer meer vermogen. Zeg even dat 10% warmte is dan heb je 100.000.000 ISS koel systemen nodig om dat te koelen 🙂 Warmte is echt een uitdaging, het ISS kan aan de ene kant -150 graden zijn en aan de ander kant +150 graden. En dat moet je allemaal omhoog schieten.

        1. Ja het is nog steeds moeilijk te koelen, je genereert hitte en moet die middels radiation kwijt, niet anders als in een baan om de aarde. Je hebt een voordeel dat je in de ‘schaduw’ van de aarde bent, maar …
        2. Hoe ga je de energie opwekken? In de ‘schaduw’ betekent minder licht, minder stroom van zonnepanelen. Je moet dus ul;tra zuinig met energie omgaan. Niet echt iets waar ik aan denk bij een datacenter.
        3. Het tweede Zon-Aarde Lagrange punt is ca. 1.5 miljoen kilometer verwijderd van de aarde, niet lekker voor je latency. Daar worden datacenters ook niet blij van!
  1. Voor zover ik weet lijkt mij het koelen van een datacentrum in de ruimte juist wel heel lastig. Er is namelijk geen medium om warmte mee uit te wisselen. Op aarde koelen we door lucht langs de servers te sturen; maar dat kan in de ruimte niet. Het kan er dus wel heel koud zijn; warmte kwijtraken is heel moeilijk. Nu ja, je moet het doen als stralingsenergie met hele grote oppervlakken. Kan wel, maar een veel warmte producerende serverfarm in de ruimte plaatsen lijkt mij niet handig qua koeling.

      1. Met genoeg geld zou je een kunstmatig eiland kunnen maken in internationale wateren. Ok, het kost meer, maar bijkomend voordeel is dat je dan makkelijker vaste internetkabels kan gebruiken ipv draadloze verbindingen.

        In tegenstelling tot in de ruimte heb je wel echter de kans dat iemand (e.g. CIA) langs komt varen en de servers komt onderzoeken.

        1. De kans op gewapende piraten die gewoon alles meenemen lijkt me een stuk groter?

          En wat die onderzeekabel betreft: waarom zou een bedrijf in een land dat wél aan allerlei wetten is onderworpen, een peering mogen en willen aangaan met een bedrijf in een vaag zelfgemaakt eiland dat claimt buiten alle wetten te vallen?

        2. Het kopen van een bestaand eiland en daar een onafhankelijke eilandstaat uitroepen lijkt me makkelijker (en is waarschijnlijk goedkoper.) Het is wel een stevige investering. Ik verwacht ook dat je de onderzeese Internetkabel zelf zult moeten financieren. Allemaal te doen als je genoeg budget hebt.

          En ja, een kleine defensiemacht tegen piraten en/of CIA agenten… je hebt ook je jaarlijkse onkosten.

    1. Richard, In de ruimte kun je fysieke bezoekers mijlenver zien aankomen en een bezoek is niet zo makkelijk; ik plaats de fysieke beveiliging in de top-categorie. Communicatie moet draadloos, maar er zijn bekende oplossingen (encryptie) om vertrouwelijkheid en integriteit bij draadloze communicatie te waarborgen. Beschikbaarheid is een probleem: radiocommunicatie kan vrij makkelijk verstoord worden.

      Maar laten we niet al te ver van het juridische onderwerp afdwalen.

      1. Ehm, vertrouweljkheid, integriteit en beschikbaarheid is het juridische onderwerp. Ik dwaal helemaal nergens van af.

        Dat het lastig bereikbaar is wil niet zeggen dat de fysieke beveiliging op orde is. De wanden zijn dun en de brandveiligheid is problematisch.

        Stel dat het datacenter om wat voor reden dan ook explodeert, hoe ga je dan aan mijn recht op inzage voldoen? En als het neerstort en die server onverhoopt semi-intact op een Siberische steppe terecht is gekomen, hoe zorg je ervoor dat de Russen niet bij mijn data kunnen?

        1. In vacuum is er een serieus gebrek aan zuurstof, waardoor brand zich niet kan uitbreiden. Ja, net als bij een on-shore datacenter wil je een off-site backup hebben. Neerstorten is te voorzien en je kunt data wissen voordat je het station gecontroleerd laat terugkeren en verbranden. (Er zal niet veel bruikbaars meer overblijven door de hitte bij terugkeer in de atmosfeer.)

  2. Ik ben het eens met Arnoud dat de AVG van toepassing is als een bedrijf in Nederland een datacenter in de ruimte exploiteert. Ook als het bedrijf buiten de EU gevestigd is, geldt de AVG nog steeds als er persoonsgegevens verwerkt worden van mensen die zich in de EU bevinden. De verwerkingen in de ruimte zelf vallen daarom ook onder de AVG. Een interessante vraag is of er beperkingen zijn aan het overbrengen van data naar een datacenter in de ruimte, omdat dit als een doorgifte naar een derde land kan worden gezien.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.