Worden Europese bedrijven straks verplicht data aan de VS te geven?

| AE 9756 | Informatiemaatschappij | 23 reacties

De Supreme Court gaat uitspraak doen in de Microsoft-cloudzaak waarbij het Amerikaanse bedrijf door de rechter verplicht werd data van haar Europese dochter af te geven aan de FBI. Dat las ik (dank, tipgevers) bij Ars Technica. De zaak loopt al een tijdje en kan enorme gevolgen hebben voor de bruikbaarheid van de cloud voor Europese bedrijven. Want als het precedent wordt “ja dat moet je afgeven” dan wordt je data stallen bij zelfs een Europese dochter van een Amerikaans bedrijf een tikje ingewikkeld.

In 2014 bepaalde een rechter in de VS dat Microsoft Inc. (de Amerikaanse moeder) gehouden kon worden om gegevens van een klant van haar Ierse dochtermaatschappij af te geven als de FBI dat wilde. Kort gezegd was het argument daarvoor dat het geen argument is dat bewijsmiddelen in het buitenland liggen, je gaat ze maar halen. Maar die regel voelt niet echt gepast voor een clouddienst, zeker niet als je bedenkt dat Microsoft die dienst in Europa via een apart, Europees bedrijf levert.

Gelukkig werd in hoger beroep bepaald dat deze redenering van de FBI niet opging. De wet waar men zich op beroep (de Stored Communications Act) was niet bedoeld om de FBI ineens buitenlandse rechtsmacht te geven. En nu ligt de vraag dus bij het Supreme Court, dat erom bekend staat niet alleen juridische maar ook politieke visies mee te laten wegen in hun uitspraken. Het kán dus zomaar gebeuren dat men bepaalt dat het er wél staat, en dat een Europese dochter dus maar moet meewerken aan zo’n bevel.

Dat wordt dan nog knap ingewikkeld, want dat mág helemaal niet. In de AVG is hier namelijk een specifiek artikel over opgenomen, artikel 48:

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

Oftewel: wat een buitenlandse wet of rechtbank ook bepaalt, Europese bedrijven mogen alleen meewerken aan zo’n bepaling als dat in een verdrag tussen de EU en dat land is geregeld. De FBI zou dus een rechtshulpverzoek aan Nederland kunnen doen, waarna onze politie de data licht bij het datacentrum hier. Een opdracht van Microsoft Inc aan haar Nederlandse dochter “geef die data want wij moeten dit van de rechtbank afgeven” is dus keihard in strijd met Europees recht.

Arnoud

Tot eigendom van data geregeld is, kun je maar beter goede backups maken

| AE 9517 | Informatiemaatschappij | 12 reacties

Wie data opslaat bij een online backupdienst, of gebruik maakt van een SaaS-dienst voor bijvoorbeeld boekhouding of klantenadministratie, zal al snel geneigd zijn te spreken van ‘zijn’ data. Logisch: die informatie is essentieel voor die persoon, en als hij het fysiek ergens opgeslagen had, dan waren die mappen of papieren ook gewoon zijn eigendom. Maar in de cloud is dat wezenlijk anders. Data is niets, juridisch gezien. Je kunt dus niet spreken van eigendom van data, en er is ook geen wettelijke manier om data op te eisen van een dienstverlener.

Dat data niets is, beschouw ik als het grootste juridische probleem binnen het internetrecht. Want we dénken allemaal van wel, omdat SaaS-diensten nu eenmaal zo duidelijk aansluiten bij de klassieke manier van werken. Data op onze laptops, daar kunnen we altijd bij; die is dus ‘van ons’ in het gewone spraakgebruik. En die data is essentieel voor wat we doen – of het nu bedrijfskritische gegevens zijn of onvervangbare foto’s van je opgroeiende kinderen. Die data moet dus ook van ons zijn. Maar als je hem in de cloud opslaat, heb je er juridisch geen claims meer op. Data is een bijproduct van dienstverlening, meer niet.

Bij verlies van data heb je juridisch gezien gewoon dikke pech. Die data is weg, en een claim wegens wanprestatie is buitengewoon ingewikkeld. Toon maar eens aan dat de clouddienstverlener zijn best niet heeft gedaan, om te beginnen. En daarnaast: waarom had jij geen backup van die data, als die zo belangrijk was voor je? Het aansprakelijkheidsrecht kent het concept van “eigen schuld”, waardoor een schadevergoeding kan worden verlaagd. Met dat argument kreeg een consument in 2013 het deksel op de neus toen hij zijn Powerbook had laten repareren, waarna de harde schijf sneuvelde. Hij moest de helft van de schade zelf dragen.

Een oud spreekwoord luidt: beter voorkomen dan genezen. In juridische termen: beter backuppen dan aansprakelijk stellen. Een backup maken van clouddata lost het hele probleem op van dataverlies, tenminste als je de backup ook weer netjes ergens bewaart.

Een goede dienstverlener zal zijn klanten de gelegenheid geven alle geüploade data ook weer te downloaden, zodat de klant deze elders kan gebruiken als de overeenkomst wordt beëindigd, of bij calamiteiten natuurlijk. Sommige bedrijven doen dit liever niet, omdat ze bang zijn dat iemand dan naar de concurrent gaat. Maar het omgekeerde blijkt waar: als je weet dat je snel weg kunt, blijf je langer zitten. Het belangrijkste voor de klant is in ieder geval: máák die backup, en bij voorkeur iedere dag. Want een backup heb je pas nodig als je merkt dat de dienst het ineens niet meer doet. En dan is het te laat om hem nog te downloaden.

Arnoud<br/> PS: dit is een voorpublicatie uit editie 2017/18 van De wet op internet, en de voorintekening is geopend!

Wetsvoorstel moet digitaal leren met nepnaam veiliger maken

| AE 9265 | Informatiemaatschappij, Privacy | 21 reacties

Kinderen die op school met digitale lesmethoden werken, hoeven niet meer hun eigen naam in te vullen. Dat stond in het papieren AD afgelopen weekend. De ministerraad heeft namelijk ingestemd met een wetsvoorstel van die strekking, hoewel exacte details nog ontbreken. Kort gezegd komt het erop neer dat bij gebruik van clouddiensten door scholen moet worden gewerkt met pseudoniemen of codes, zodat bij datalekken niet gelijk alle details van de leerlingen op straat liggen. Het idee is loffelijk maar moet dat nu echt zo met een wet?

De tekst van het wetsvoorstel wordt helaas pas openbaar nadat de Raad van State er advies over heeft gegeven, dus het is nog even speculeren. Ik hoop op een voorstel dat gewoon zegt, scholen mogen alleen pseudonimeen van leerlingen aan leveranciers doorgeven. In combinatie met een verbod voor leveranciers om meer dan dat te vragen. Het is immers echt nergens voor nodig om werkelijke persoonsgegevens van leerlingen te hebben om een dienst aan een school te leveren.

Ik ben een beetje bang dat er komt te staan dat de leverancier ontvangen persoonsgegevens moet pseudonimiseren. (Of, nog erger, dat dit in overleg moet worden vastgesteld.) Want dan schiet je er weinig mee op, dan is die brondata er nog steeds en dus blijft de kwetsbaarheid bestaan.

En ja ik weet het, de Privacyverordening roept op tot pseudonimiseren en staat toe dat dit gebeurt door de partij die vervolgens gaat werken met de gepseudonimiseerde gegevens. Het is niet verplicht dat je de sleutel en de pseudonieme data in aparte bedrijven bewaart. Dus het zou legaal zijn als een dienstverlener zo gaat werken, en het wetsvoorstel zou dan weinig toevoegen behalve dan dat dit móet in plaats van slechts een beste praktijk te zijn. (Sorry, de tekst van de Verordening is wat raar.)

Je kunt je natuurlijk sowieso afvragen wat dit wetsvoorstel gaat toevoegen bovenop die Verordening. Want ook daar staat al in dat je persoonsgegevens zo veel mogelijk moet beperken, dat je bij voorkeur pseudonimiseert dus en natuurlijk dat je adequaat beveiligt en daar afspraken over maakt met je verwerkers (voorheen je bewerkers), zoals die clouddienstverleners dus. Hooguit zou dat dan nog zijn dat het black letter law wordt in plaats van ahem een beste praktijk, of een richtsnoer van de toezichthouder waar een leverancier van kan zeggen dat zij toch alternatieve feitenandere inzichten hebben over hoe het zo veilig mogelijk te doen.

Arnoud

Google moet wél buitenlandse e-mails overdragen aan de FBI

| AE 9261 | Intellectuele rechten, Privacy | 19 reacties

Een Amerikaanse rechter heeft bepaald dat Google ook e-mails die op servers buiten de VS zijn opgeslagen moet overdragen aan de FBI in een zaak over binnenlandse fraude. Dat meldde Nu.nl onlangs. Deze beslissing staat lijnrecht tegenover de hogerberoepszaak van Microsoft dat géén berichten opgeslagen in het buitenland hoefde af te geven aan de Amerikaanse… Lees verder

Moet je echt bij elke internetdienst een bewerkersovereenkomst sluiten?

| AE 9217 | Privacy | 12 reacties

Een lezer vroeg me: Wij maken zakelijk gebruik van applicaties en software in de cloud. Mijn vraag is nu echter of je echt met iedere cloud leverancier een bewerkersovereenkomst moet afsluiten? Iedere applicatie verwerkt namelijk op de een of andere manier wel persoonsgegevens, de ene meer dan de ander. In sommige gevallen gaat het enkel… Lees verder

En nu eisen sitevoorwaarden ook al je eerstgeboren kind op

| AE 8802 | Informatiemaatschappij | 7 reacties

Gaan we weer: hee kijk, niemand leest websitevoorwaarden, zelfs als je erin zet dat je je eerstgeboren kind moet afstaan, gaat iedereen blindelings akkoord. Dat las ik bij Ars Technica. Leuk nieuwtje weer, maar wat mij betreft nieuwswaarde nul. Al sinds het begin van internet staat iedere site bol van de gebruiksvoorwaarden. Ergens wel logisch,… Lees verder

De cloud is (even) gered, Microsoft hoeft geen Europese klantgegevens af te geven

| AE 8793 | Privacy, Regulering | 12 reacties

Microsoft hoeft e-mails die opgeslagen zijn bij zijn datacenters in Ierland niet over te dragen aan de Amerikaanse rechter. Dat las ik bij Tweakers. In het langverwachte hoger beroep bepaalde het gerechtshof dat de Amerikaanse Justitie geen grond heeft om een Amerikaans moederbedrijf te dwingen data op te halen bij haar niet-Amerikaanse dochters. Daarmee is… Lees verder

Mag iTunes je muziekbestanden wissen?

| AE 8631 | Informatiemaatschappij | 18 reacties

Apple stal mijn muziek, blogde creatief ontwerper James Pinkum vorige week. Pinkum was 122 gigabyte aan muziek kwijtgeraakt van zijn harddisk, en wist dat te traceren tot een actie van Apple’s iTunes-software. Deze had de harddisk gescand en alle bestanden die iTunes ook had, vervangen door een linkje naar de online muziekbibliotheek. Met een liberale… Lees verder

Ben je nou eigenaar van je gekochte ebooks of niet?

| AE 8508 | Innovatie | 30 reacties

Je bent geen eigenaar van je ebooks als er DRM op zit, las ik bij Gizmodo. Je krijgt slechts een tijdelijk leesprivilege. Dat concludeert men uit het staken van eboekenleverancier Nook. Hierdoor worden alle aangekochte boeken ontoegankelijk. Men “werkt aan een oplossing” en bladiebla, maar ondertussen zijn je boeken dus mooi weg. Kan dat zomaar,… Lees verder

Mag een accountant zijn klant uit de cloud gooien?

| AE 7971 | Informatiemaatschappij | 12 reacties

Mag een accountant zijn klant afsluiten van de cloudadministratieomgeving die hij aanbiedt als de klant het contract opzegt? Uit een recente uitspraak (15/232) van de accountantskamer blijkt van niet: per direct afsluiten is in strijd met de gedragsregels voor accountants. Het begon in deze zaak met een probleempje rond indiening van de jaarrekening. Wat er… Lees verder