Mag je van de GDPR geen cloud-based office dienst meer inzetten?

| AE 11154 | Privacy, Regulering | 29 reacties

It is currently impossible for Sweden’s public sector to purchase web-based office services (word processing, email and text/video chat) that comply with the European General Data Protection Regulation (GDPR). Dat las ik bij de Open Source Observatory. Men ging af op een studie van de Zweedse National Procurement Services die focust op de impact van de US CLOUD Act, waarmee data vanuit Europa ineens opgevraagd kan worden door Amerikaanse diensten, en dat is dan in strijd met de AVG/GDPR. Dus einde van de cloud-based office in Europa? Nou, niet helemaal.

Er is veel onduidelijkheid over de US CLOUD Act, en dat is niet gek want die wet is er stilletjes en zonder al te veel voorafgaande discussie gekomen middenin het getouwtrek tussen Microsoft en de FBI over afgifte van data bij een Europese dochter van het Office-cloudbedrijf. Kort en goed zegt die wet, niet zeuren maar doen. Afgeven die hap, ook als die in het buitenland staat. Letterlijk (paragraaf 2713):

Electronic communication service providers and remote computing service providers must comply with the obligations of [this Act] to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.

Zo’n bevel kan aan Microsoft in Redmond, Washington worden gegeven. Die zou dan haar Duitse dochter kunnen opdragen die gegevens door te geven, want je zit nu eenmaal in een concern. Maar dat kan eigenlijk niet, want binnen de regels voor concerns kán een moeder niet direct bevelen wat een dochterbedrijf moet doen. Aandelen geven wel zeggenschap, maar geen bestuursbevoegdheid. Je moet dus het bestuur overtuigen, en dat kan eigenlijk alleen door te zeggen dat je het bestuur eruit gooit als ze niet doen wat je zegt. Dat zou nogal opvallen, en als in de statuten van die dochter ook nog vervelende dingen staan dan wordt dit helemaal een heilloze route.

Meer effect zou je als FBI hebben als je direct die Duitse dochter pakt en zegt, afgeven die hap, strikte geheimhouding en anders Gitmo for you. Maar ook dat wordt dan nog knap ingewikkeld, want dat mág helemaal niet. In de AVG is hier namelijk een specifiek artikel over opgenomen, artikel 48:

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

Een bevel onder de CLOUD Act voldoet niet aan die omschrijving. (Een rechtshulpverzoek aan de Duitse federale politie natuurlijk wel, maar die toetsen dan naar Duits recht en daar hoort iets meer openbaarheid en toetsing aan grondrechten bij.) Daarmee zou die Duitse dochter dus niet mee mogen werken op straffe van hoge boetes. Een vervelende spagaat; je moet iets afgeven op straffe van hoge boetes of zelfs celstraf, maar je mag het niet afgeven op straffe van minstens zo hoge boetes en dreiging van sluiting van je bedrijf (een verwerkingsverbod). Wat moet je dan doen als directie?

Arnoud