Mag ik ondertussen data in de cloud zetten als die fysiek in Europa blijft?

Een lezer vroeg me:

Het is 2025 en ik heb duidelijkheid nodig. De AVG zegt dat persoonsgegevens niet zonder aanvullende waarborgen naar een niet-Europese partij mogen worden doorgegeven. Als ik bij een cloudprovider zoals bijvoorbeeld Amazon AWS of Microsoft Azure gebruik maak van region in Europa, wat betekent dat de servers fysiek in Europa staan, voldoe ik dan gewoon aan deze regel?
De AVG stelt inderdaad strenge eisen aan ‘doorgifte’, iedere handeling met persoonsgegevens waardoor ze buiten een EU/EER land komen. Het maakt daarbij niet uit of je doorgeeft aan een verwerker of een verwerkingsverantwoordelijke.

Overigens is de AVG niet de enige: ook bij niet-persoonsgegevens gelden er vanaf 12 september regels over doorgifte van data naar buiten de EU, wanneer dat in strijd is met andere EU regels. Dit volgt uit de Data Act (Verordening 2023/2854) die vanaf die datum van kracht wordt.

Aan dergelijke doorgifte kleven twee kanten, de praktische en de formele. Het makkelijkst te regelen is de formele. Je spreekt af dat de data niet buiten de EU/EER mag komen, en dat de ontvanger de Europese wet- en regelgeving zal respecteren. Dit is bijvoorbeeld de EU Data Boundary van Microsoft, het contractuele raamwerk waarmee Microsoft garandeert dat EU data binnen de grenzen van de Unie blijven. Amazon heeft ook iets dergelijks.

Wie de juiste set papieren doorloopt, de afspraken reviewt en de juiste kruisjes bij de juiste opties zet, heeft formeel de doorgifte goed afgeschermd.

De praktische kant is iets ingewikkelder, en dat zie je al meteen aan termen als “behoudens bijzondere gevallen” in die MS belofte. (Andere aanbieders hebben dit net zo goed, Amazon houdt het bij “or to comply with law”.) Soms moet data toch naar de VS, denk aan klantenservice of incidentanalyse na een cyberaanval. Of omdat de Amerikaanse justitie dit eist.

Of en in hoeverre die laatste eis mag, is nog steeds onderwerp van héél veel discussie. De Amerikaanse CLOUD Act staat daarbij centraal. Al in 2022 stelde ons NCSC dat “data en (persoons)gegevens die in Europa worden verwerkt en opgeslagen, en dus in beginsel in Europa zijn en blijven, [soms vallen] onder Amerikaanse wetgeving en kunnen door de Amerikaanse overheid worden opgevraagd op basis van de CLOUD-Act.”

Het lastige aan deze discussie is wanneer sprake is van ‘soms’, met name als het gaat om een Europees dochterbedrijf dat zich nadrukkelijk niet op de Amerikaanse markt richt en organisatorisch onafhankelijk binnen het concern opereert. Die dochter is dan niet aan Amerikaanse jurisdictie onderworpen, en bovendien onder de AVG verboden om mee te werken aan Amerikaanse bevelen (art. 48 AVG). Maar de moeder (Microsoft Inc in Seattle, Washington) is dat natuurlijk wel – en die zou druk op de dochter kunnen uitoefenen, of de directie ontslaan en een gewilliger setje installeren.

Daar staat dan weer tegenover dat het de core business van het bedrijf is om EU compliant te opereren. Dus er is dan ruimte voor tegendruk, zeker omdat die Europese directeuren geen zin hebben in claims van Europese toezichthouders. En de directie vervangen gaat hoe dan ook flink opvallen.

Natuurlijk, technische trucs kunnen altijd. Men kan een achterdeur in de onderliggende software hebben gebouwd, zo subtiel dat de ISO auditor het niet gezien heeft. Men kan dataleidingen voorzien hebben van een aftakking naar de VS, om zo stiekeme kopietjes te trekken. En ook organisatorisch: men zou een Amerikaanse expat-systeembeheerder persoonlijk onder druk kunnen zetten om die kopie te trekken.

Maar dan komen we buiten het juridisch kader waar je redelijkerwijs over na moet denken, en meer in de sfeer van cybercriminaliteit binnen de organisatie. Want laten we wel wezen: wat is dan nog het verschil met een systeembeheerder die van een Colombiaans kartel die kopie moet trekken of een achterdeur gebouwd door Cozy Bear? Tegen beiden moet je je wapenen, en dat lost dan meteen dat (in de EU écht illegale) gedrag van de moedermaatschappij op.

Wat mij betreft is het antwoord dus: als jij zaken doet met een Europees bedrijf – dochter van een Amerikaans concern of niet – en de data blijft fysiek in de EU met waarborgen tegen aftappen en stiekeme kopietjes, dan zit je van de Europese regelgeving goed. Waarbij meehelpt dat juristen dan mogen zeggen: en als dat niet zo is, dan zat je in ieder geval samen met iedereen fout. Want dat maakt het minder erg.

Arnoud

20 reacties

  1. Grappig

    “Waarbij meehelpt dat juristen dan mogen zeggen: en als dat niet zo is, dan zat je in ieder geval samen met iedereen fout. Want dat maakt het minder erg.”

    Bij ons heeft één flitspaal dat principe de grond ingeboord. Ik ben gelukkig niet geflitst.

    Probleem is natuurlijk, ben je zeker dat je met het juiste bedrijf gecontracteerd hebt en wat welk scenario heb je klaarliggen bij een probleem.

  2. Arnoud,je vergeet dat bedrijven als AWS en Microsoft Azure, onderhoud en oplossing van storingen bij wijze van remote access door hun bedrijven in VS laten doen, wat remote access toegang tot de persoonsgegevens in EU vanuit VS niet uitsluit. Ook dat valt onder doorgifte. 1.Data privacy framework certificering door dergelijke partijen in de VS kan dan als AVG waarborg dienen; 2.of SCC met pseudonimisering van de persoonsgegevens.

    1. Dat vergeet ik niet. Dat is afgedekt; dit gebeurt alleen met jouw autorisatie als je data in de EU data boundary staat en er dienstverlening van buiten de EU nodig is.

      Hoe werkt SCC met pseudonimisering in geval van onderhoud? Hoe verandert die data ineens in pseudonieme data?

  3. Je zei “Maar de moeder (Microsoft Inc in Seattle, Washington) is dat natuurlijk wel – en die zou druk op de dochter kunnen uitoefenen, of de directie ontslaan en een gewilliger setje installeren.”

    Hoe realistisch is het dat iemand die ontslagen wordt omdat hij weigert EU wetten te breken daar na zijn ontslag geen melding van maakt, de pers benadert of zelfs aangifte doet

    1. Hoe realistisch is het dat iemand die ontslagen wordt omdat hij weigert EU wetten te breken daar na zijn ontslag geen melding van maakt, de pers benadert of zelfs aangifte doet

      Door melding te doen schendt de (ex-)werknemer de wetten en “staatsveiligheid” van de VS (tenminste, dat zal de openbaar aanklager beweren). Een bezoek aan de VS is daarna af te raden en je moet ook in Europa vrezen voor arrestatie en uitlevering.

      1. Hoe schend je een Amerikaanse wet op de staatsveiligheid door in Europa iets te doen? Zo’n bevel is geen staatsgeheim van een bondgenoot waarvan jij de status daarvan moet weten. Bovendien is de VS niet bevoegd in Europa bevelen te geven.

        We blijven in cirkeltjes lopen: het komt steeds terug bij “volgens de Amerikaanse wet moet het, dus dan moet het”. Ik zoek nog steeds argumenten waarom iemand in Europa moet doen wat de FBI zegt. Dat je directeur bent van een bv waarvan de aandelen Amerikaans eigendom zijn, is in Europa geen reden om naar Amerikaanse wetgeving te luisteren.

        Natuurlijk, in zo’n situatie op vakantie gaan naar de VS is niet handig, maar dat is niet hetzelfde als “je moet het doen terwijl je in Nederland bent”. In Noord-Korea is een wet die wereldwijd eist dat Kim Jong-Un overal de titel Briljante Kameraad en Geweldige Leider krijgt. Moet ik die titel toevoegen aan ieder blogbericht over meneer Kim? Enkel dat zij zeggen dat het wereldwijd geldt, maakt toch niet dát het wereldwijd geldt?

        1. Het probleem is dat dergelijke dataverzoeken vrijwel altijd met een geheimhoudingsbevel komen. Daar je mond over opendoen levert problemen op met de (uitgevende) justitiële macht.

          In het algemeen klagen over “onterecht ontslag”, zonder de details van de verzoeken kenbaar te maken, geeft je nog steeds een kleine kans om in de problemen te komen. (Niet voldoen aan een wettige opdracht.)

            1. Het is pas een issue als men vanuit de VS remote bij de data kan bijvoorbeeld als de betreffende cloud in een Europees datacentrum remote beheerd wordt door Amerikaanse beheerders die wel direct onder de Amerikaanse wetgeving vallen en van een FISA court een subpoena met geheimhoudingsclausule krijgen

                1. De VS heeft speciale wetgeving (sinds de patriot act) en een speciale geheime rechtbank om gegevens van buitenlanders op te vragen zonder dat bedrijven zich hiertegen kunnen verzetten. Dat hebben andere landen niet.

                  Als je privacygevoelige gegevens bij een Duits bedrijf neerzetten en die krijgen een bevel van een rechtbank dan kunnen ze daartegen in beroep gaan en een beroep doen op EU regels. Die bescherming is bij Amerikaanse bedrijven lastiger ook als de cloud in de EU staat omdat de Amerikaanse medewerkers die werken op die cloud niet alleen onder de EU wetten vallen maar ook onder de wetgeving uit de VS.

                  1. Nog steeds: wat gaat de VS doen dan als een bedrijf in Europa met personeel in Europa “nee” zegt tegen zo’n bevel van zo’n geheime rechtbank? Ik snap dat je fysiek in de VS dan opgepakt wordt en een geheime gevangenis in gaat. Maar er is geen enkele mogelijkheid om dat Europese bedrijf te dwingen, er zit een oceaan tussen.

                    1. In theorie heb je vast gelijk, Arnoud. Maar de VS is zo machtig, heeft zoveel banden met allerlei bedrijven en organisaties waar je als gewoon burger vrijwel niet omheen kunt, dat ik het ook benauwd zou krijgen als ik zo’n bevel zou krijgen. Formeel wordt ik beschermd door Nederlandse en Europese wetgeving en politie, maar ik heb daar niet genoeg vertrouwen in, om me veilig te voelen na bedreiging door VS.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.