AWS brengt nieuw bedrijfsonderdeel volledig in EU onder, helpt dat tegen de almachtige CLOUD Act?

Geplaatst op in Ondernemingsvrijheid, 7 reacties

Amazon gaat een aantal bedrijfsonderdelen en processen rond AWS volledig in Europa onderbrengen. Dat meldde Tweakers vorige week. Het is een reactie op de discussie over Europese soevereiniteit, die een impuls kreeg vanwege het afsluiten van een mailbox van de ICC-hoofdaanklager onlangs. Uiteraard blijft de vraag: is dat genoeg tegen de CLOUD Act?

Ik klonk in de titel wellicht een beetje cynisch, maar ik erger me al een tijd aan de vanzelfsprekendheid waarmee mensen aannemen dat bedrijven alles doen omdat een Amerikaanse wet dat zegt. En natuurlijk, bedrijven in Amerika kunnen dat maar beter doen ook. Maar waarom een bedrijf in Europa, enkel omdat men in een Amerikaans concern zit?

Zoals ik in 2020 blogde:

[B]innen de regels voor concerns kán een moeder niet direct bevelen wat een dochterbedrijf moet doen. Aandelen geven wel zeggenschap, maar geen bestuursbevoegdheid. Je moet dus het bestuur overtuigen, en dat kan eigenlijk alleen door te zeggen dat je het bestuur eruit gooit als ze niet doen wat je zegt. Dat zou nogal opvallen, en als in de statuten van die dochter ook nog vervelende dingen staan dan wordt dit helemaal een heilloze route.
Ook is er artikel 48 AVG, dat zegt dat bevelen van Amerikaanse rechtbanken inzake afgifte persoonsgegevens zonder rechtskracht zijn. Het moet via een rechtshulpverzoek. Dus een Europese rechtbank zal zo’n bevel niet erkennen, zodat je ook langs die route niet verplicht kunt worden er aan te voldoen.

Natuurlijk kan de VS op allerlei manieren escaleren. Denk aan betalingsproviders (zoals creditcards) verbieden betalingen aan een soeverein Europees cloudbedrijf te accepteren. IP-dataverkeer tegen laten houden. Of het moederbedrijf uitsluiten van overheidsopdrachten. Maar dat valt op bij de Europese politiek.

Ik maak me zelf meer zorgen over de techniek. Hoe weet die Amazon-dochter dat er geen achterdeurtje voor Seattle in zit, zodat de Amerikanen de data gewoon kunnen grijpen als ze dat naar Amerikaans recht moeten geven?

Enerzijds, dat is hetzelfde probleem als met alle cybersecurity: of de inbreker nou bij je bedrijf werkt of niet, maakt niet uit voor de vraag of iemand ongeautoriseerd is. Anderzijds, wie volledige toegang tot alle hardware én software heeft, kan veel geniepiger achterdeuren inbouwen.

Arnoud

 

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.