De Europese privacytoezichthouders hebben Amazon’s clouddienst privacytechnisch goedgekeurd, las ik op diverse media. Daarmee zou Amazon Web Services ineens da juridische bomb (oké, The Register) zijn.
Het ligt iets subtieler: de contracten waaronder Amazon werkt, zijn voorzien van juridische clausules over export en gebruik van persoonsgegevens door Amazon. En die clausules zijn goedgekeurd, zodat Amazon voldoet aan de Europese regels op dat punt.
Wie persoonsgegevens wil laten verwerken door een ander, moet een bewerkersovereenkomst sluiten met die ander. Daarin wordt vastgelegd wat de bewerker (de opdrachtnemer, Amazon dus) mag doen met persoonsgegevens, wat hem verboden is en op welke manier hij de persoonsgegevens moet beveiligen.
Export van persoonsgegevens naar buiten de EU is daarbij een speciaal geval. Dit mag eigenlijk niet, tenzij het ontvangende land een net zo strenge wet heeft over persoonsgegevens als de EU. En geen enkel land buiten de EU heeft dat. Gelukkig zijn daar wat uitzonderingen op. Eén uitzondering ontstaat als je met je bewerker afspraken maakt conform de modelcontracten die de EU ooit heeft opgesteld. En de toezichthouders hebben nu dus bepaald dat Amazon’s contracten conform die modellen zijn.
Het wil echter niet zeggen dat het gebruik van de Amazon cloud zonder meer goed voor de privacy is. Er blijft nog altijd die ene angel bestaan waar Microsoft zich aan gestoken heeft: de Amerikaanse rechter vindt dat zij de macht heeft het Amerikaanse Microsoft te bevelen data af te geven die bij haar Europese dochters opgeslagen staat. Microsoft vecht dit aan, maar er zijn goede redenen waarom die rechter gelijk kan hebben.
Arnoud