Mag je van de GDPR geen cloud-based office dienst meer inzetten?

| AE 11154 | Privacy, Regulering | 29 reacties

It is currently impossible for Sweden’s public sector to purchase web-based office services (word processing, email and text/video chat) that comply with the European General Data Protection Regulation (GDPR). Dat las ik bij de Open Source Observatory. Men ging af op een studie van de Zweedse National Procurement Services die focust op de impact van de US CLOUD Act, waarmee data vanuit Europa ineens opgevraagd kan worden door Amerikaanse diensten, en dat is dan in strijd met de AVG/GDPR. Dus einde van de cloud-based office in Europa? Nou, niet helemaal.

Er is veel onduidelijkheid over de US CLOUD Act, en dat is niet gek want die wet is er stilletjes en zonder al te veel voorafgaande discussie gekomen middenin het getouwtrek tussen Microsoft en de FBI over afgifte van data bij een Europese dochter van het Office-cloudbedrijf. Kort en goed zegt die wet, niet zeuren maar doen. Afgeven die hap, ook als die in het buitenland staat. Letterlijk (paragraaf 2713):

Electronic communication service providers and remote computing service providers must comply with the obligations of [this Act] to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.

Zo’n bevel kan aan Microsoft in Redmond, Washington worden gegeven. Die zou dan haar Duitse dochter kunnen opdragen die gegevens door te geven, want je zit nu eenmaal in een concern. Maar dat kan eigenlijk niet, want binnen de regels voor concerns kán een moeder niet direct bevelen wat een dochterbedrijf moet doen. Aandelen geven wel zeggenschap, maar geen bestuursbevoegdheid. Je moet dus het bestuur overtuigen, en dat kan eigenlijk alleen door te zeggen dat je het bestuur eruit gooit als ze niet doen wat je zegt. Dat zou nogal opvallen, en als in de statuten van die dochter ook nog vervelende dingen staan dan wordt dit helemaal een heilloze route.

Meer effect zou je als FBI hebben als je direct die Duitse dochter pakt en zegt, afgeven die hap, strikte geheimhouding en anders Gitmo for you. Maar ook dat wordt dan nog knap ingewikkeld, want dat mág helemaal niet. In de AVG is hier namelijk een specifiek artikel over opgenomen, artikel 48:

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

Een bevel onder de CLOUD Act voldoet niet aan die omschrijving. (Een rechtshulpverzoek aan de Duitse federale politie natuurlijk wel, maar die toetsen dan naar Duits recht en daar hoort iets meer openbaarheid en toetsing aan grondrechten bij.) Daarmee zou die Duitse dochter dus niet mee mogen werken op straffe van hoge boetes. Een vervelende spagaat; je moet iets afgeven op straffe van hoge boetes of zelfs celstraf, maar je mag het niet afgeven op straffe van minstens zo hoge boetes en dreiging van sluiting van je bedrijf (een verwerkingsverbod). Wat moet je dan doen als directie?

Arnoud

Even iets anders: Ik schreef een GDPR-compliant science fiction verhaal

| AE 11139 | Iusmentis | 12 reacties

Ik zou nu een diepe basstem moeten opzetten en beginnen met “In a world… where the GDPR has taken over… one young woman takes up the fight” maar dat voelt iets te theatraal. Daarom houd ik het simpel: willen jullie eens wat anders van me lezen? Meer specifiek, een sciencefictionverhaal waarin inderdaad een jonge vrouw als ondernemer het opneemt tegen zwaar doorgeslagen GDPR handhaving door schimmige stichtingen waar innovatie en AI vrijwel onmogelijk is geworden? Welkom in 2k38.

Een tijd geleden zag ik een uitnodiging van het Instituut voor Informatierecht om mee te doen aan een science fiction writing competition. Dat leek me wel wat in het kader van “zoek eens een hobby, man”. Dus ik heb me opgegeven en na het nodige brainstormen kwam ik uit bij een plot waarin die private handhaving van de AVG nog eens heel groot werd, en Buma/Stemra achtige organisaties overal inspraak en geld eisen als je ook maar iets wilt doen met persoonsgegevens. Dat was de doodsteek voor AI en social media, totdat mijn hoofdpersoon een gat in de markt zag en met een AI app Europa veroverde. En wat er toen gebeurde – oké, nee ik zou geen Buzzfeed slogans meer doen.

Als echte nerd ga ik natuurlijk geen verhaal schrijven zonder tijdlijn en dergelijke. Dat liep een tikje uit de hand, daarom heb ik er een site van gebouwd. Hier staan ook wat andere verhalen en aanvullende informatie. Ik hoop daar in de toekomst mee te kunnen blijven schrijven. Wie suggesties of inspiratie heeft, ik hoor graag van je!

Welcome to the world of 2K38

(De uitslag van die competitie is vanavond, ik ben een van de drie finalisten. Wie in de buurt van Amsterdam is, er is nog plek)

Arnoud

Is misbruik van de GDPR een probleem van de GDPR?

| AE 10971 | Privacy, Uitingsvrijheid | 7 reacties

Boos bericht bij Techdirt: in Roemenië wordt misbruik van de AVG (GDPR) gemaakt om een journalistencollectief de mond te snoeren, en dat is een probleem van de AVG want zonder AVG had dit niet gekund. Of zoiets. Het leest als een stuk flamebait, maar ik kan de boosheid van de journalist wel begrijpen want de AVG kent specifieke uitzonderingen voor journalistiek en dan komen ze juist bij de journalisten uit met een (gedreigde) boete van 20 miljoen euro. Dat hoort niet te kunnen. Maar ik zie het als een probleem met de rechtsgang, en niet met de AVG specifiek.

Het achterliggende verhaal is wat moeilijk bij elkaar te puzzelen, maar in de kern komt het hierop neer. In Roemenië is journalistencollectief OCCRP bezig een corruptieschandaal aan te tonen. Men kreeg genoeg bewijs bij elkaar om de European Anti-Fraud Office er naar te laten kijken en een strafrechtelijk onderzoek in het land zelf op te laten starten. Dat suggereert een behoorlijk stevig en betrouwbaar onderzoek.

Na publicatie van resultaten kreeg de partner van OCCRP het Rise Project een sommatie van de Roemeense privacytoezichthouder: een betrokkene heeft een inzageverzoek bij u gedaan en u moet daar gehoor aan geven, op straffe van een boete van 20 miljoen Euro. Het inzageverzoek moet ook de documenten betreffen waar de journalisten bronbescherming op claimen. Niet verrassend: de betrokkene is een van de hoofdrolspelers in het corruptieschandaal. Wel verrassend: de voorzitter van de Roemeense toezichthouder komt uit de partij van diezelfde hoofdrolspeler en zou ook lijntjes naar het corruptieschandaal hebben.

Het theoretische antwoord is natuurlijk simpel. De journalisten hoeven hier geen gehoor aan te geven, omdat bij publicaties voor journalistieke doeleinden veel rechten uit de AVG niet gelden. Dat staat letterlijk zo in de AVG, en komt terug in de Roemeense Uitvoeringswet AVG als een tekstueel duidelijke uitzondering (artikel 7): inzage en verwijdering geldt niet bij journalistieke doeleinden. De iets breder onderlegde journalist zal wijzen op jurisprudentie over bronbescherming als fundamenteel recht, en eenvoudig betogen dat het inzagerecht zich daar niet tot zal uitstrekken (bijvoorbeeld via artikel 15 lid 4, rechten van anderen).

Praktisch gezien zit het Project met een enorm probleem: een dreigende boete van 20 miljoen wanneer ze niet gewoon die gegevens verstrekken. Want op papier klinkt dit allemaal leuk maar als de toezichthouder het anders ziet, dan heb je een héél duur traject om tot je gelijk te komen. Zelfs als iedereen vanaf de zijlijn roept dat je dit gewoon gaat winnen.

Is dit nu een probleem met de AVG, zoals Techdirt-auteur Masnick betoogt? Want de AVG is zo een heel bot instrument om onwelgevallige journalistiek de mond te snoeren. Ook al heb je op papier gelijk, de boete is zo hoog dat iedereen toch wel inbindt. Chilling effect, noemen de Amerikanen dat. Onrecht dat blijft bestaan ondanks dat het wettelijk niet hoort te bestaan.

Mij lijkt van niet. Zeker is het een probleem, maar het probleem zit hem in de praktische gang naar de rechter. Als een organisatie niet de mogelijkheid heeft zich effectief te verweren tegen een dreigende boete van 20 miljoen op grond van argumenten die gezien de wet evident overtuigend zijn, dan heb je geen effectieve rechtsstaat. Dat die boete van 20 miljoen uit de AVG komt, is dan niet meer dan bijzaak. Voor hetzelfde geld kan de eiser anders een smaadclaim construeren, zijn auteursrecht geschonden zien of interferentie met parlementaire privileges of welk bogus argument dan ook aandragen.

Dat maakt de zaak niet minder ergerlijk of fout natuurlijk.

Arnoud

Als een security onderzoeker een datalek ontdekt, is dat dan een datalek?

| AE 10811 | Privacy, Security | 13 reacties

Een vraag via Twitter: Suppose during a contracted test a security testers stumbles upon a number of personal data… Is that a data breach? #gdpr – no clue yet… Van een datalek is onder de AVG/GDPR sprake bij “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het… Lees verder

Wacht, de ICT-manager mag niet ook de privacy officer zijn?

| AE 9811 | Privacy | 22 reacties

Een Duits bedrijf heeft een boete gekregen omdat haar IT-manager ook de rol van functionaris gegevensbescherming oftewel privacy officer had, las ik bij IAPP. Daarmee werd de wettelijk verplichte onafhankelijke status van de FG aangetast. Dat wordt nog een uitdaging dus als deze functie ook in Nederland een grote vlucht gaat nemen – in veel… Lees verder

Mag direct marketing per post straks ook niet meer van de AVG?

| AE 9691 | Ondernemingsvrijheid, Privacy | 26 reacties

Een lezer vroeg me: Recent kreeg ik geadresseerde reclame per post van een webshop waar ik vorig jaar wat had gekocht. Dat is dus een verwerking van mijn persoonsgegevens! Kan ik daar straks onder de Privacyverordening wat tegen doen? Er is nooit om toestemming gevraagd voor reclamepost namelijk. Het klopt dat het toesturen van geadresseerde… Lees verder

Je hebt nog 256 dagen om de AVG te implementeren #256totAVG

| AE 9606 | Privacy | 32 reacties

Vandaag zijn er nog precies 256 dagen te gaan tot de nieuwe Europese privacywet in werking treedt. Op 25 mei 2018 zal namelijk de Algemene Verordening Gegevensbescherming (AVG, ook wel General Data Protection Regulation oftewel GDPR) van kracht worden. En dan wordt de wereld weer een stukje interessanter, want het is me een partij regelgeving… Lees verder

Gaat nu echt alles verboden worden onder de AVG?

| AE 9433 | Privacy | 10 reacties

Een lezer vroeg me: Volgend jaar komt de Algemene Verordening Gegevensbescherming (AVG, ook wel GDPR) eraan. Ik lees ondertussen overal de meest verschrikkelijke verhalen over wat een draak van een wet dit gaat worden. Je mag niets meer zonder toestemming, je beveiliging moet gigantisch veel zwaarder, je moet elke scheet met persoonsgegevens registreren en vrijwel… Lees verder