Valt een datacentrum in de ruimte onder de AVG?

| AE 13760 | Informatiemaatschappij | 29 reacties

pencilparker / Pixabay

Waarom een datacenter in de ruimte een interessant idee is, kopte AG Connect onlangs. Koeling is iets minder een issue, energietoevoer gaat ook wel goed maar kosmische straling is iets meer een dingetje en even een monteur langs sturen om de server te powercyclen is geen optie. Maar dat zijn engineering problems my friends dus daar komen we wel uit. Iets lastiger is de juridische vraag: onder welk recht valt zo’n datacenter, en met name is de AVG dan van toepassing op wat daar gebeurt?

Lange tijd was ruimte-exploratie een zuivere overheidstaak, en dan zijn dit soort dingen iets minder van belang. Maar sinds de opkomst van private, vaak commerciële ruimtevaart krijg je natuurlijk ook meer juridische vragen: aansprakelijkheid, strafbaarheid of zoals hier gegevensverwerking. In principe zijn die vragen te herleiden tot “welk recht geldt in de ruimte”, omdat je daarna in dat wetboek gewoon het antwoord opzoekt. De ruimte is ook maar gewoon een grens, volgens sommigen de laatste grens maar toch.

Het recht begint bij internationale verdragen, en hier kom je dan uit bij het Outer Space Treaty (OST) dat al in 1967 aangenomen werd. Men voorzag destijds al de optie dat anderen dan statelijke actoren zelf ruimte-activiteiten zouden ontplooien, en daarom bepaalt artikel VI van het verdrag dat

States Parties to the Treaty shall bear international responsibility for national activities in outer space, including the moon and other celestial bodies, whether such activities are carried on by governmental agencies or by non-governmental entities, and for assuring that national activities are carried out in conformity with the provisions set forth in the present Treaty.
Oftewel: tussen de landen onderling geldt dat je als staat verantwoordelijk bent voor wat jouw burgers in de ruimte uitspoken, of ze dat nou namens de overheid of als private actoren doen. Dat is een heel brede norm, maar het universum is groot, enorm en ingewikkeld en belachelijk, dus veel meer kun je niet doen. En de truc is natuurlijk dat ieder land dan zelf regels stelt (“by your command” te accepteren, zoals dat heet) over hoe het met aansprakelijkheid en dergelijke zit – of gewoon verbiedt dat je de ruimte in gaat vanaf haar territorium.

In Nederland hebben we daarom de Wet ruimtevaartactiviteiten, die (art. 2) geldt voor ruimtevaartactiviteiten die worden verricht in of vanuit Nederland dan wel op of vanaf een Nederlands schip of Nederlands luchtvaartuig. De regel is simpel: zonder vergunning is het abort mission right away. Het Agentschap Telecom geeft die uit, iets dat ik zelf ook niet wist.

In die vergunning worden dan regels opgenomen over bijvoorbeeld je aansprakelijkheid of grenzen aan wat je wel of niet mag doen. Expliciet daarbij is een eis dat je goed verzekerd bent voor de gevolgen. En dat is maar goed ook, want als er een claim komt op Nederland (op grond van artikel VI OST) dan mag de staat die volledig verhalen op de organisatie.

Nederland is lid van het OST, maar de Europese Unie an sich niet. Nu is de AVG natuurlijk een Europese wet, maar zo’n wet (een Verordening) maakt gewoon deel uit van het Nederlands recht en zou daarmee via bovengenoemde route in te roepen moeten zijn tegen een partij die vanuit Nederland een datacentrum in de ruimte opereert.

Krijg je de volgende vraag: is er sprake van een verwerking binnen de scope van de AVG, als een DC in sp-a-a-a-ce persoonsgegevens door een of ander geautomatiseerd proces heen haalt. Nou ja, verwerking is het: iedere “bewerking of een geheel van bewerkingen” is per definitie (art. 4 lid 2 AVG) een verwerking. Die verwerking vindt dus plaats in de kosmische ruimte, waardoor vele blogs en analyses concluderen dat de AVG er niet op van toepassing is.

De AVG kiest alleen niet als insteek “waar de persoonsgegevens worden geanalyseerd en de computer vervolgens I can’t do that” zegt, maar de plek waar de verwerkingsverantwoordelijke gevestigd is (art. 3 AVG):

1. Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt.

  1. Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, (…)
Dus stel het bedrijf dat het kosmisch DC (of beter: een systeem dat draait in dat DC) exploiteert zit in Nederland, dan is volgens lid 1 simpelweg de AVG van toepassing. Zit het bedrijf buiten Nederland (de EU) dan kom je er via lid 2 ook, want ook hier is niet vereist dat de verwerking in de EU plaatsvindt. Handhaving is natuurlijk lastig, maar niet lastiger dan wanneer het DC in zeg India staat.

Een voor mij veel lastiger vraag is of het wel mag, die data overbrengen naar een DC in de ruimte. Telt dat bijvoorbeeld als een doorgifte naar een niet-EU land? Doorgifte gaat namelijk over landen, niet over vestigingsplaatsen van een verwerkingsverantwoordelijke. Ik zou als Nederlands bedrijf bijvoorbeeld bij een datacenter in India een server kunnen huren en daar verwerkingen op uitvoeren. Dan is sprake van een doorgifte naar een derde land, ondanks dat er geen derde partij (zoals een Indiase dochter van mijn bedrijf) bij komt kijken.  Het lijkt erop dat de ruimte geen derde land is, zodat hier geen AVG-bezwaren tegen bestaan.

Arnoud

 

Hoe lang mag je persoonsgegevens bewaren voor compliancedoeleinden?

| AE 13757 | Ondernemingsvrijheid, Privacy | 3 reacties

Microsoft heeft toezeggingen gedaan over zijn chatdienst Teams aan de Europese Commissie, las ik bij Tweakers. Die zijn een reactie op een klacht van concurrent Slack dat MS mensen Teams zou opdringen via Office-integratie. Want dat is natuurlijk een stuk makkelijker dan een losse dienst verkopen. Over waarom de API hét sleutelpunt is van veel ict-juridische kwesties, dat lees je in ons nieuwste boek volgend jaar. Want ik zag de interessante vraag: het is wel zo veel handiger voor compliance. Hoe zit dat?

De vraag komt in de kern neer op “wat doe je dan om al je datastromen te integreren terwijl je wel complaint blijft met regulatory requirements?” Want dat gaat in Teams reuze handig: die maakt opnames en logs van chats en videogesprekken, dat komt in het juiste bakje in opslag en is eenvoudig te doorzoeken. Slack logt ook, maar dat koppelen met projectmanagementsoftware is dan weer een paar extra stappen. Wat dus indirect de discussie gaf, mág dat eigenlijk wel en hoe ver mag je daarbij gaan?

Een zorg is altijd, mag ik gegevens wel bewaren. Als het gaat om compliance doeleinden, dan zou dat geen probleem moeten zijn. Als het moet van wet X, dan mag het automatisch van de AVG en toestemming van de werkgever is volledig irrelevant. Ik bewaar van al mijn medewerkers een kopie paspoort met bsn, dat moet in het kader van zwartwerkbestrijding dus dat mag van de AVG. Medewerkers die dat niet willen, hebben pech.

Waar dit echter vaak naar vertaald wordt, is “ik laat alle data 7 jaar staan zodat het management/afdeling compliance erbij kan”. Dat mag niet. Die paspoorten zitten in een afgesloten kluis waar alleen HR erbij kan nadat ik zeg dat dat goed is (of als de arbeidsinspectie een inval doet). Als een manager een geboortedatum wil weten, dan mag hij niet op die kopieën kijken.

Alles loggen “voor compliance/regulatory” is dus een juridisch zinloze uitspraak die ik helaas vaak zie bij security-achtige types die te veel Amerikaanse bangmaakfilmpjes hebben gezien. Hoofdregel: je mag niets bewaren, alles moet weg na direct gebruik. Doet dat pijn? Motiveer je reden én geef aan tot hoe lang het pijn blijft doen, daarna moet het weg. Als je antwoord “oneindig” is dan is het fout. Als je motivatie bij meerdere soorten gebruik past dan is ie fout. Als de motivatie speculatief is dan is ie fout. Als de motivatie neerkomt op “het is een optie in Teams” dan is ie fout.

Arnoud

Wat als een bedrijf meent dat je ze geld verschuldigd bent, en weigert je account te verwijderen?

| AE 13731 | Ondernemingsvrijheid | 32 reacties

Via Reddit:

Een bedrijf beweert ten onrechte dat ik hun nog geld verschuldigd ben, en weigert mijn account te verwijderen totdat ik betaald heb. Is er een realistische optie voor mij mijn account en bijbehorenda data te laten verwijderen zonder te betalen? Of is dit een geval van het pad van de minste weerstand (en de meeste tranen) kiezen?
De kern van het probleem is zo te lezen dat de vraagsteller eten had besteld via de app van het bedrijf, maar dat gebeurde bij het verkeerde restaurant. Na vruchteloze discussie startte de vraagsteller een dispuut bij Paypal, waarop hij zijn geld terugkreeg. Nu wil de app-exploitant het account niet verwijderen omdat er volgens hen nog een geldbedrag open staat.

De achterliggende redenering van de app-exploitant lijkt te zijn dat je door die Paypal-actie alleen maar de betaling bij dat bedrijf hebt ongedaan gemaakt (chargeback) maar niet de onderliggende overeenkomst tot levering van voedsel. Want hoezo beslist Paypal of ik een geldig contract heb?

Nou ja, dat beslissen ze omdat dat een aansluitregel is om die betalingsmethode te mogen hanteren. Paypal (en creditcardmaatschappijen ook trouwens) beoordelen claims van consumenten en doen dan een bindende uitspraak die voor beide partijen geldt. Niet alleen over de betaling dus, over de aankoop. Dat kunnen ze, omdat het juridisch prima is als je een private partij een oordeel laat vellen waarvan je vooraf zei dat je ermee akkoord ging (Mr. Visser is er groot mee geworden).

Maar goed, zoals vaker verzucht hier: je recht hebben en je recht krijgen is in het consumentenrecht zeker niet hetzelfde. Want je kunt dit honderd keer aangeven, het account blijft nog steeds staan totdat die 17,95 voor de Pizza XL met cola order #8951 ontvangen is, daar is het systeem heel duidelijk over. En om nou naar de rechter te gaan,, dat is veel duurder dan dit ooit zal opleveren.

Ik herhaal dan maar even de tip om via het Europees Consumenten Centrum (ECC) een klacht in te dienen. Want ik gok zomaar dat dit bedrijf in Luxemburg of Ierland zit, zodat je een snelle en goedkope procedure kunt starten. Zoals een anonieme commenter destijds uitlegde:

Bij internationale geschillen binnen de EU (behalve Denemarken) kun je tot een bedrag van €5000 relatief eenvoudig procederen via een verzoekschriftprocedure (dus geen dagvaarding nodig). Simpelweg door standaard EPGV formulieren in te vullen. Nederlandse consumenten sturen dat naar een Nederlandse rechter die relatief snel overgaat tot een uitspraak nadat de wederpartij in de gelegen is gesteld om te reageren. Dat resulteert in een officiële beschikking met executoriale titel die in het andere land ten uitvoer kan worden gebracht. Er zit dus voor de helderheid ook een risico op verlies en een proceskostenveroordeling in het nadeel van de eiser aan vast.
De enige vraag hier zou voor mij zijn of dit wel via de rechter moet, gezien het gaat om verwijderen van een account. Ik zou dat eerder een AVG kwestie vinden (vergetelheid) hoewel “einde dienstovereenkomst” wel een argument is. Als je het via de AVG speelt dan moet je handhaving door de AP verzoeken (fat chance) of alsnog een gewone procedure bij de rechter beginnen.

Arnoud

Bloggen over de huizenbouwperikelen van een BN’er is geen AVG overtreding

| AE 13626 | Privacy, Uitingsvrijheid | 5 reacties

Gedaagde hoeft artikel over woning niet te verwijderen, las ik bij ITenRecht.nl. Een lokale website had een artikel geplaatst over de bouwperikelen van de directeur en oprichter van het bedrijf Prijsvrij vakanties, inclusief foto en straatnaam. De directeur in kwestie maakte bezwaar en beriep zich op privacyschending en de AVG. De rechter wijst de eisen af… Lees verder

Overheden verzamelen op grote schaal tweets zonder gebruikers te informeren

| AE 13617 | Privacy | 40 reacties

Overheidsinstanties zoals het ministerie van sociale zaken, de Belastingdienst en de Nederlandse Voedsel- en Warenautoriteit (NVWA) verzamelen op grote schaal tweets over onder andere hun beleid zonder Twittergebruikers hierover te informeren. Dat meldde Security.nl onlangs op gezag van onderzoek door AG Connect en Trouw. Het gaat om sentimentanalyse, data-analyse waarbij bakken met tweets zeg maar als “positief”… Lees verder

Gemeente Emmen onder vuur over late bekendmaking van datalek

| AE 13563 | Privacy | 8 reacties

De gemeente Emmen is onder vuur komen te liggen vanwege de late bekendmaking van een datalek dat zevenduizend inwoners raakte. Dat meldde Security.nl maandag. En laat is het: een inbraak op e-mailaccounts met daarin persoonsgegevens van burgers vond plaats op 8 april 2021, de melding naar die burgers werd pas 4 april dit jaar gedaan. Nee, dat is… Lees verder

Moet je van de AVG een wachtwoordresetoptie bieden?

| AE 13540 | Security | 20 reacties

Een lezer vroeg me: Via een kennis kwam ik te weten dat er een datalek inclusief wachtwoorden is geweest bij een site die ik al lang niet meer gebruik. Ik wilde desondanks het wachtwoord wijzigen, maar bleek dat te zijn vergeten. Tot mijn verbazing ontbrak echter de “wachtwoord vergeten” procedure. Is dat niet verplicht onder… Lees verder

Mag een abonnementsverlener eisen dat ik een toegangspas met foto gebruik?

| AE 13536 | Ondernemingsvrijheid, Privacy | 6 reacties

Een lezer vroeg me: Ik heb een abonnement voor toegang tot dierentuinen genomen. Daarbij stond in de voorwaarden dat het abonnement persoonlijk is, en om dat af te dwingen moest er een foto bij. Mijn foto werd echter automatisch afgekeurd omdat deze zoals een ‘echte’ pasfoto van voren, neutraal kijkend en beide oren in beeld. Is dit allemaal toegestaan?… Lees verder

Mag ik van de AVG sfeerimpressies maken van een optreden?

| AE 13508 | Privacy, Uitingsvrijheid | 13 reacties

Een lezer vroeg me: Ik ben door een vriend gevraagd sfeerimpressies te maken tijdens een optreden in een café. Ze vragen geen toegangsgeld, het café is voor iedereen toegankelijk tijdens het optreden. Het komt neer op het publiek filmen vanaf de achterste rij, ik ga niet inzoomen op individuele aanwezigen. Mag dit van de AVG?… Lees verder

Gemeente Enschede naar rechter wegens AVG-boete Autoriteit Persoonsgegevens

| AE 13443 | Ondernemingsvrijheid, Regulering | 9 reacties

De gemeente Enschede stapt naar de rechter wegens de AVG-boete van 600.000 euro die de Autoriteit Persoonsgegevens vorig jaar wegens wifi-tracking oplegde. Dat meldde Security.nl vorige week. In april 2021 kreeg de gemeente de boete omdat zij “wifitracking gebruikte in de binnenstad op een manier die niet mag.” Weliswaar was het niet de intentie van Enschede… Lees verder