Worden Europese bedrijven straks verplicht data aan de VS te geven?

De Supreme Court gaat uitspraak doen in de Microsoft-cloudzaak waarbij het Amerikaanse bedrijf door de rechter verplicht werd data van haar Europese dochter af te geven aan de FBI. Dat las ik (dank, tipgevers) bij Ars Technica. De zaak loopt al een tijdje en kan enorme gevolgen hebben voor de bruikbaarheid van de cloud voor Europese bedrijven. Want als het precedent wordt “ja dat moet je afgeven” dan wordt je data stallen bij zelfs een Europese dochter van een Amerikaans bedrijf een tikje ingewikkeld.

In 2014 bepaalde een rechter in de VS dat Microsoft Inc. (de Amerikaanse moeder) gehouden kon worden om gegevens van een klant van haar Ierse dochtermaatschappij af te geven als de FBI dat wilde. Kort gezegd was het argument daarvoor dat het geen argument is dat bewijsmiddelen in het buitenland liggen, je gaat ze maar halen. Maar die regel voelt niet echt gepast voor een clouddienst, zeker niet als je bedenkt dat Microsoft die dienst in Europa via een apart, Europees bedrijf levert.

Gelukkig werd in hoger beroep bepaald dat deze redenering van de FBI niet opging. De wet waar men zich op beroep (de Stored Communications Act) was niet bedoeld om de FBI ineens buitenlandse rechtsmacht te geven. En nu ligt de vraag dus bij het Supreme Court, dat erom bekend staat niet alleen juridische maar ook politieke visies mee te laten wegen in hun uitspraken. Het kán dus zomaar gebeuren dat men bepaalt dat het er wél staat, en dat een Europese dochter dus maar moet meewerken aan zo’n bevel.

Dat wordt dan nog knap ingewikkeld, want dat mág helemaal niet. In de AVG is hier namelijk een specifiek artikel over opgenomen, artikel 48:

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

Oftewel: wat een buitenlandse wet of rechtbank ook bepaalt, Europese bedrijven mogen alleen meewerken aan zo’n bepaling als dat in een verdrag tussen de EU en dat land is geregeld. De FBI zou dus een rechtshulpverzoek aan Nederland kunnen doen, waarna onze politie de data licht bij het datacentrum hier. Een opdracht van Microsoft Inc aan haar Nederlandse dochter “geef die data want wij moeten dit van de rechtbank afgeven” is dus keihard in strijd met Europees recht.

Arnoud

Google moet wél buitenlandse e-mails overdragen aan de FBI

Een Amerikaanse rechter heeft bepaald dat Google ook e-mails die op servers buiten de VS zijn opgeslagen moet overdragen aan de FBI in een zaak over binnenlandse fraude. Dat meldde Nu.nl onlangs. Deze beslissing staat lijnrecht tegenover de hogerberoepszaak van Microsoft dat géén berichten opgeslagen in het buitenland hoefde af te geven aan de Amerikaanse justitie. Daarmee is vooral de kans levensgroot geworden dat dit naar de Supreme Court gaat, dat zo een definitieve uitspraak moet gaan doen over of Amerikaanse cloudbedrijven nog zaken mogen doen met Europese klanten.

De zaak begon relatief simpel: de FBI had twee warrants bij Google neergelegd om e-mails te vorderen van verdachten in twee strafzaken. De verdachten woonden in de VS, de strafzaken waren in de VS begaan en de andere partijen bij de mails waren ook allemaal Amerikaans. Om technische redenen bleek Google een deel van de maildata toch buiten de VS te hebben opgeslagen, en met een beroep op het Microsoft-precedent van vorig jaar weigerden ze daar dan ook inzage in te geven.

De rechter die de warrant had afgegeven, bepaalt nu dat ook die buitenlandse data gewoon afgegeven moet worden. Het Microsoft-precedent lag anders. Daar was de data in beheer bij een Ierse dochter. Als je daar als Europees burger zaken mee doet, dan sta je wel héél raar te kijken als de FBI je data meeneemt. Dat raakt dan aan je privacyverwachting, en de regels over warrants zijn uiteindelijk geschreven om de privacy van de burger te beschermen.

Hier lag dat anders: als je als Amerikaan met een Amerikaan mailt via de Amerikaanse dienst Gmail, dan wéét je dat de FBI jurisdictie heeft en zo nodig je mails kan opvorderen met een warrant. Dat er dan toevallig op de achtergrond af en toe een blokje van je data in het buitenland staat, maakt dan niet meer uit. Voor hetzelfde geld was die morgen weer terug in de VS en dan hadden we deze hele discussie niet gehad. Dus niks privacyverwachting.

Op zich een begrijpelijke uitkomst, maar het creëert wel weer een hoop onzekerheid over waar we nu staan met de Europese cloud. Want zou het ook zo uitpakken als een van de partijen Europees was? Dat is alweer een stapje verder richting het mogen opvragen van ieders data.

In ieder geval, we hebben nu twee tegengestelde uitspraken over data in het buitenland. En de kans is daarmee levensgroot dat de zaak naar de Supreme Court gaat voor een definitieve beslissing. Of dat goed nieuws is, kun je je afvragen: de Supreme Court is niet perse positief over privacy van buitenlanders. Daar staat tegenover dat zolang er 8 rechters in zitten (in plaats van de gebruikelijke 9) de kans op een ‘hung court’ groot is, en dan blijft het precedent van Microsoft in stand. Dát zou erg waardevol nieuws zijn, want alleen met zo’n uitspraak kan de cloud in stand blijven.

Arnoud

De cloud is (even) gered, Microsoft hoeft geen Europese klantgegevens af te geven

simpsons-cloud-diefstal-data-fotoMicrosoft hoeft e-mails die opgeslagen zijn bij zijn datacenters in Ierland niet over te dragen aan de Amerikaanse rechter. Dat las ik bij Tweakers. In het langverwachte hoger beroep bepaalde het gerechtshof dat de Amerikaanse Justitie geen grond heeft om een Amerikaans moederbedrijf te dwingen data op te halen bij haar niet-Amerikaanse dochters. Daarmee is de cloud even gered, maar ik twijfel er geen seconde aan dat dit naar de Supreme Court gaat.

In 2014 bepaalde de Amerikaanse rechter dat Microsoft Inc. (de Amerikaanse moeder) gehouden kon worden om gegevens van een klant van haar Ierse dochtermaatschappij af te geven als de FBI dat wilde. De wettelijke basis hiervoor (de Stored Communications Act, niet de Patriot Act, mijn excuses voor de verwarring) was twee eeuwen jurisprudentie die zegt dat een Amerikaan die iets heeft dat moet komen brengen als de rechter daarom vraagt. Ook al ligt het iets in kwestie in een ander land. En als je die doctrine loslaat op e-mail dan moet Microsoft Inc de data dus maar gaan halen in Ierland. Of haar dochter bevelen dit te doen, wat ze juridisch kan aangezien dochterbedrijven moeten doen wat hun moederbedrijven zeggen.

Het Hof heeft een fundamentele reden om deze redenering af te wijzen:

When, in 1986, Congress passed the Stored Communications Act as part of the broader Electronic Communications Privacy Act, its aim was to protect user privacy in the context of new technology that required a user’s interaction with a service provider. Neither explicitly nor implicitly does the statute envision the application of its warrant provisions overseas. Three decades ago, international boundaries were not so routinely crossed as they are today, when service providers rely on worldwide networks of hardware to satisfy users’ 21st–century demands for access and speed and their related, evolving expectations of privacy.

Als een wet alleen gemaakt is om gegevens bij Amerikaanse bedrijven op te vragen, dan moet je vanuit rechtszekerheid er vanuit kunnen gaan dat die wat alleen daarvoor gebruikt zal worden. De wet heeft dus geen bevoegdheid geschapen om bij digitale gegevens zo’n wereldwijd ga-maar-halenbevel af te geven. Misschien dat het vandaag de dag handig was geweest als dat er stond, maar wetten worden niet opgerekt vanuit wat vandaag handig is. Zeker strafrecht niet.

De deur staat hiermee nog op een klein kiertje: als het Congres deze wet wijzigt zodat er wél staat dat het mag, dan moet het natuurlijk. Maar het Congres heeft wel wat anders aan z’n hoofd, en je weet als politicus nu al dat je álle ICT-bedrijven over je heen krijgt als je dat gaat proberen. Die kans acht ik niet heel groot.

Waarschijnlijker lijkt me dat de Supreme Court er nog wat over gaat zeggen. Voor Justitie is dit een nogal vervelende uitspraak, dus die zullen zeker proberen een fundamentele uitspraak van het hoogste Hof te krijgen. Dus het blijft nog even spannend. Spannender in ieder geval dan Privacy Shield – ja, leuk lapje tegen het bloeden maar dat houdt écht geen stand als, pardon wanneer de zaak weer bij het Hof van Justitie komt.

Arnoud

Oeps, ze zijn vergeten de Patriot Act te verlengen!

cloud-flag-usaDe Patriot Act is gedeeltelijk niet verlengd, las ik bij Wired. Deze controversiële wet heeft een aantal tijdslimieten ingebouwd, en eentje daarvan verliep op 31 mei. Niet de minste: het gaat om Section 215, het onderdeel dat opvragen zonder gerechtelijk bevel van allerlei informatie mogelijk maakt, soms zelfs met een zwijgbevel (gag order).

De Patriot Act is al sinds zijn aanname een controversiële wet. Met name onderdelen zoals section 215 zitten veel mensen dwars. Waar traditioneel een court order nodig was, en dus onafhankelijk toezicht bestond op wat inlichtingen- en opsporingsdiensten mochten doen, kon onder deze wet ineens veel meer zónder bevel. En dat wringt des te meer als je zo’n bevel niet eens bij de rechter mag aanvechten, of zelfs maar mag zéggen dat je het bevel hebt gehad.

Die laatste puntjes zijn later bij de rechter gecorrigeerd, maar het algemene pijnpunt bleef bestaan. En zeker toen bleek dat de NSA massaal metadata van Amerikanen verzamelde onder deze sectie van de wet, ontstond er grote weerstand tegen.

Met een nieuwe wet – de USA Freedom Act – wilde men dit beter regelen. Hiermee zou spionage-organisatie NSA meer bevoegdheden kregen maar wel met beter toezicht en duidelijker grenzen. Echter, diverse senatoren wilden de NSA juist meer aan banden leggen en zo ontstond een stevig getouwtrek over die nieuwe wet.

Na een langdurige filibuster van senator Rand Paul bij de behandeling van die nieuwe wet bleek er echter een procedureel probleempje: de Patriot Act heeft diverse tijdslimieten ingebouwd waarop secties verlopen, en die van Section 215 verliep op 31 mei. Het idee was dat dat niet erg was, omdat de Freedom Act er al eerder zou komen. Maar dat is nu dus nog niet het geval, zodat er nu een gat valt in de wet.

Hoe lang dit gat blijft liggen, is niet duidelijk. In theorie kan de Freedom Act nu snel worden aangenomen, bij wijze van spreken volgende week al. Maar als bij de eerstvolgende bespreking van de wet er geen duidelijke meerderheid komt, zal het nog wel even duren voordat daar een oplossing voor gevonden is. En wat dát voor gevolgen heeft voor de praktijk van FBI en NSA onder de Patriot Act, is nog maar de vraag.

Arnoud

Microsoft vecht bevel tot afgifte Europese e-mails aan

Microsoft gaat in beroep tegen een rechterlijk bevel om e-mails van Europese gebruikers te overhandigen aan de Amerikaanse overheid, las ik bij Webwereld. In april had de Amerikaanse Justitie een bevel gegeven aan de Amerikaanse moeder tot afgifte van mails opgeslagen bij Microsofts Ierse dochtermaatschappij. Het bevel wordt nu door de rechtbank bevestigd, maar Microsoft gaat dus in hoger beroep.

Wie rechtsmacht heeft in de cloud, blijft een lastige vraag. Het lijkt logisch uit te gaan van waar de servers staan, maar dan wordt het met de flexibiliteit van de cloud wel erg makkelijk om van jurisdictie naar jurisdictie te hoppen.

Kijken waar het bedrijf gevestigd is, is dan misschien beter. Maar hoe ga je dan om met buitenlandse dochters? Het doet gek aan dat je die niets zou mogen vragen terwijl ze toch net zo goed deel van het binnenlandse bedrijf zijn.

Binnen het Amerikaanse strafrecht komt deze vraag neer op de vraag hoe je een cloudmailopeising moet kwalificeren: een doorzoeking of een opvraging? Dit zijn grofweg de twee manieren om als Justitie iets te pakken te krijgenL langsgaan of het laten brengen.

Als je het ziet als een doorzoeking, dan is het bevel onterecht: Amerikaanse Justitie of politie mag geen buitenlandse panden doorzoeken, ook niet als ze eigendom zijn van een Amerikaan. Maar als je het ziet als een opeising dan mag het wel: een Amerikaan kan worden gedwongen naar zijn buitenlandse huis te gaan en daar iets op te halen als dat nodig is voor een strafrechtelijk onderzoek.

De rechtbank bevestigt nu dat ze lezing twee hanteert. Microsoft mag de mail dus gaan halen – of kan het haar dochter laten brengen, dat is om het even.

Het is goed dat Microsoft in beroep gaat, want dit maakt het wel érg makkelijk om wereldwijd dingen op te eisen die digitaal opgeslagen staan. Hoewel ik niet meteen een juridisch argument weet tegen het feit dat data geen pand is en dus wel een ding moet zijn, oftewel iets dat opeisbaar is in plaats van doorzoekbaar.

Arnoud

Amerikaanse rechter claimt rechtsmacht over data op Europese Microsoft-servers

cloud-flag-usaEen Amerikaanse rechter heeft bepaald dat Microsoft data moet afgeven aan Justitie, ondanks het feit dat die data op een server in Ierland staat en onder beheer is van Microsofts Ierse dochter. Dat meldde Slashdot gisteren. Microsoft had de search warrant aangevochten met de stelling dat de Ierse dochter buiten Amerikaanse jurisdictie valt, maar de rechter bepaalt nu dat dit geen relevant argument is bij clouddatavorderingen.

Het gelinkte Reuters-artikel legt uit dat het ging om e-maildata van een klant die op servers in Ierland stond. Deze servers worden beheerd door Microsofts Ierse dochter. Toen het moederbedrijf het bevel kreeg deze data af te geven, stapte men naar de rechter – zoals het bedrijf al meerdere malen had gemeld te zullen doen, in een poging angst over wereldwijd Patriotactdatagraaien bij Europese bedrijven en instellingen weg te nemen.

Het argument van Microsoft was gestoeld in twee eeuwen jurisprudentie: de Amerikaanse Justitie kan geen bevel geven om een buitenlands huis (of kantoorgebouw) te doorzoeken, ook niet als dat huis van een Amerikaan is. Daar mag men simpelweg niet in zoeken. En wat is nu het verschil tussen een server en een kantoorgebouw?

De rechter ziet het echter anders: het gaat hier niet om fysiek bezoeken van een locatie maar om het opvragen van data. En het is óók twee eeuwen jurisprudentie dat een Amerikaan die iets heeft dat moet komen brengen als de rechter daarom vraagt. Ook al ligt het iets in kwestie in een ander land. En als je die doctrine loslaat op e-mail dan moet Microsoft Inc de data dus maar gaan halen in Ierland. Of haar dochter bevelen dit te doen, wat ze juridisch kan aangezien dochterbedrijven moeten doen wat hun moederbedrijven zeggen.

Microsoft gaat bezwaar maken tegen deze beslissing. Een goede zaak, want dan krijgen we eindelijk eens écht duidelijkheid over hoe ver Amerikaans clouddatagraaien nu mag gaan. (Overigens gaat het hier niet om de Patriot Act maar de Stored Communications Act, qua concept vergelijkbaar met ons Wetboek van Strafvordering. En nu vraag ik me dus af of onze wet ook zo te lezen zou zijn als toepasselijk op data op een in het buitenland gehoste server van een Nederlands bedrijf. Ik kan er alleen niets over vinden…

Arnoud

Vijf cloudzaken die belangrijker zijn dan de Patriot Act

cloud.pngWe gaan naar de cloud maar oh jee dat mag niet want de Patriot Act. Het meest gehoorde bezwaar tegen dienstverlening uitbesteden aan een cloudprovider. Met de Patriot Act in de hand kan de FBI ongegeneerd snuffelen in clouddata, ook als het gaat om Europese persoonsgegevens. En daarmee handel je in strijd met onze Wbp. Oh jee. Ja, toegegeven dat is een probleem. Maar in de praktijk heb ik dit nog nooit tot een écht conflict of overheidsoptreden zien leiden. Maar wat er wél in de praktijk misgaat, zijn deze vijf dingen.

  1. Data-export: ben je in staat je data te exporteren in een formaat waar je ook werkelijk mee kunt werken? Of zit alles ‘opgesloten’ in het formaat van de cloudleverancier en moet je met copypaste vanaf het scherm alles over zien te zetten naar je nieuwe leverancier?
  2. Continuïteit: wat ga je doen als de dienst niet meer beschikbaar is? Is er een lokale backup of een alternatief waarmee je tijdelijk door kunt? En vooral: wat ga je doen als de dienst ermee stopt, bv. vanwege faillissement of overname+stekkeruitname. Menig clouddienst(je) blijkt ineens verdwenen omdat de achterliggende startup er geen geld meer voor heeft.
  3. Beschikbaarheid: flauw maar wél belangrijk. Als een dienst er niet is terwijl je daar wel op rekent, dan gaat het mis. Heb je een Service Level Agreement afgesloten? Staan daarin de kerncijfers en prestatie-indicatoren die je echt nodig hebt? 99% uptime betekent 3,5 dag downtime per jaar. Dat klinkt misschien als te overleven, maar wat als dat elke week 2x een half uur storing midden op de dag is? En staat er echt een boete in het contract, of krijg je 1/30e van de maandelijkse vergoeding terug? En wat héb je daaraan?
  4. Datalekveiligheid: een species van beveiliging in het algemeen natuurlijk. Maar wel een belangrijke, want een datalek levert je een forse hoeveelheid slechte publiciteit op. En wanneer de Europese Privacyverordening van kracht wordt, komen er boetes op het laten lekken van persoonsgegevens. (Ook andere data wil je natuurlijk niet laten lekken, maar dan moet je de boete zelf contractueel afspreken.)
  5. Voorwaarden-billijkheid: de algemene voorwaarden van veel cloud- of SaaS-diensten zijn erg eenzijdig of bevatten opmerkelijke clausules. Zo wordt vaak tussen neus en lippen door een onbeperkt gebruiksrecht op de klantdata opgevraagd (nog net niet “Wij mogen uw foto’s op t-shirts verkopen” maar het scheelt niet veel) en

Missen jullie nog dingen? Wat zijn jullie problemen met clouddienstverleners, of juist met hun klanten?

Arnoud<br/> PS: meer weten over cloud, security & continuïteit? Kom naar onze training op 11 februari!

AMS-IX zet toch omstreden stap van Amerikaanse uitbreiding door

cloud-flag-usaOMGWTFPATRIOTACT. Een meerderheid van leden van de AMS-IX heeft zich achter de omstreden uitbreiding van het internetknooppunt naar de Verenigde Staten geschaard, meldde Tweakers zaterdag. Die uitbreiding leverde flink wat zorgen bij de leden op, maar kennelijk net niet genoeg om voldoende tegenstemmen te krijgen. Maar beloofd is dat het opzetten van het Amerikaanse internetknooppunt Patriotactrisicoloos zou gebeuren.

De uitbreiding is financieel interessant voor AMS-IX, omdat veel van de huidige Amerikaanse internetknooppunten duur en commercieel zijn. AMS-IX is een vereniging zonder winstoogmerk en kan daar dus best een stuk marktaandeel veroveren.

Alleen ja die gekke Amerikanen en hun USA PATRIOT ACT hè. Heb je een server of rechtspersoon in de VS, dan val je onder Amerikaanse rechtsmacht en dan kan de FBI dus via die antiterrorismewet komen snuffelen in je dataverkeer. En dat moet je toelaten – inclusief na verluidt snuffelbevelen in servers van je Europese datacenter. En in theorie is het dus denkbaar dat de Amerikaanse AMS-IX rechtspersoon dan te horen krijgt dat ze een livetap in de Amsterdamse AMS-IX moeten gaan zetten, op straffe van vakantie voor onbepaalde tijd in Guantanamo Bay.

Maar of dat ook wérkelijk zo gaat, is nog nooit getest bij de rechter. Dat is ook moeilijk want zulke bevelen worden onder geheimhouding (gag order) gegeven, en achteraf klokkenluiden vanuit Guantanamo Bay is best wel lastig. Maar misschien gebeurt het ook wel niet. (En misschien heb ik wel een FBI-bevel om dit zo te zeggen.)

Er zijn wel constructies denkbaar om dit tegen te gaan. Je kunt bijvoorbeeld werken met twee onafhankelijke stichtingen die alleen samenwerken maar technisch en organisatorisch gezien geen toegang tot elkaars datacenters hebben. (Nog even afgezien van de vraag of het niet op zou vallen dat een Amsterdams datacenter ineens bergen data naar Ford Meade, MY gaat versturen.) Maar het zal nog wel enig gepuzzel vergen.

Eerder kwam de AMS-IX al in opspraak over vermeend aftappen. Bezoekende Kamerleden konden echter geen NSA- of AIVD-aftapstekkers ontdekken.

Arnoud

National Security Letters zijn tegen Amerikaanse grondwet, is de Amerikaanse cloud nu veilig tegen datagraaien?

cloud-flag-usaEen federale rechter heeft de beruchte national security letter ongrondwettig verklaard, meldde Wired vorige week. Het stukje dat bepaalde dat je niet mag melden dat je een datagraaibevel hebt gekregen, is tegen de grondwet – je moet elke overheidshandeling kunnen aanvechten bij de rechter, en bovendien is het sowieso tegen de vrijheid van meningsuiting als de overheid een wet met “je mag niet praten over” erin maakt. En vanwege een wetstechnisch probleempje is daarmee de gehele NSL-constructie van tafel, en niet alleen de gag order daaruit.

De NSL is het grote pijnpunt in de Patriot Act: de FBI mag met zo’n ding zonder gerechtelijk bevel datagraaien én kan de hostingprovider nog verbieden te melden dat er gegraaid is (“gag order”). Hoewel de scherpste kantjes er al enige tijd geleden vanaf gehaald waren, bleef het ding eng voor ons Europeanen. Zeker omdat er steeds meer geluiden kwamen dat de datagraaibevoegdheden uit de Patriot Act ook zouden gelden voor data opgeslagen in Europese datacenters en/of van Europese klanten.

Het ongrondwettig verklaren betreft echter alleen dat stukje van het FBI-graaien. De wet als geheel blijft overeind, en dus ook het stuk waarin men met gerechtelijk bevel data mag opvragen. Wat dat betreft verandert er dus maar weinig. Een gerechtelijk bevel is vrij eenvoudig te krijgen in de VS. En ook bij ons trouwens. Meer dan een machtiging van de rechter-commissaris is niet nodig, een provider die rekent op een rechtszaak om zijn standpunt te mogen verdedigen zal dus van een koude kermis thuiskomen.

Het grote bezwaar tegen de Amerikaanse cloud was echter met name dat FBI-graaien. Graaien met gerechtelijk bevel (= zo’n machtiging dus) mag ook bij ons, en is dus geen principe-bezwaar tegen hosten in de Amerikaanse cloud. Dus wat dat betreft

En ja, ik gebruik hier het hypewoord datagraaien en niet een neutrale term als “bevragingen bij dienstverleners van de informatiemaatschappij” of zo. Dat is natuurlijk vooral om mijn zoekmachinepositie te handhaven, want juridisch is het weinig bijzonders. Dat Justitie kan graaien in opgeslagen data is niets nieuws, hooguit de schaal waarop het gebeurt (van mega naar giga) is anders in de cloud. Maar we zijn kampioen aftappen van telefoongesprekken (in absolute aantallen) dus waarom zou het nu ineens wél gek zijn dat we ook veel dataopslag gaan tappen of doorzoeken?

Arnoud

Argh, wéér een popup – “D66 wil bijsluiter voor datagraaien in de cloud”

waarschuwing-webwereldHier krijg ik búitengewoon veel jeuk van. Aanbieders van clouddiensten die niet gevestigd zijn in Europa moeten verplicht en compleet duidelijk maken dat data toegankelijk kan zijn voor geheime diensten en onderworpen aan surveillance door buitenlandse autoriteiten, meldde Webwereld gisteren. NEE. Gewoon NIET. Het wérkt niet, mensen om toestemming vragen nadat je ze een door een jurist opgestelde tekst hebt geïnformeerd over de mogelijke risico’s.

Ja, de cloud is eng en de Amerikaanse al helemaal. De NSA tapt het hele internet, en de FBI kan met geheime gag orders en zonder gerechtelijk bevel een heel datacenter leegtrekken op het moment dat je derde voornaam twee letters gemeen heeft met iemand uit een terroristendatabank. Dus als je als politicus zegt, hier gaan we wat aan doen, dit kan zo niet langer: helemaal prima. (Of de angst reëel is, is een andere discussie.)

Maar als je zegt, de VS doen dingen met persoonsgegevens die in strijd zijn met de wetgeving rond persoonsgegevens en de fundamentele grondrechten die wij in de Europese Unie respecteren, dan moet je dus zeggen: blijf met je rotpoten van onze persoonsgegevens af. Oftewel dan verbied je Europese hosters/dienstverleners om met de Amerikaanse cloud te werken.

Vind je dat dat óók weer wat te ver gaat, dan ga je met de Amerikanen bakkeleien dat die hun wetten moeten aanpassen. Of je zegt, het gaat in de praktijk prima dus we draaien lekker totdat we horen dat het misgaan en dán gaan we de boel verbieden. En dat signaal kun je eventueel ook naar Washington sturen.

Wat je alleen vooral NIET moet gaan doen is op dat moment zeggen: weet je wat, we gaan de burger opvoeden dat ze moeten beseffen dat buitenlandse veiligheidsdiensten mogelijk meekijken en dat de FBI niet gebonden is aan onze Grondwet. En al helemáál niet met een popup. Want dat wérkt eenvoudig niet – zie de cookiewet.

Iets juridischer komt het erop neer dat ze in de Privacyverordening wil opnemen dat doorgifte aan een buitenlandse (lees: niet-EU) cloudprovider alleen mag met aparte toestemming van de betrokkene (argh, popup) en dan ook nog eens

after having been informed in clear, unambiguous and warning language through a separate and prominently visible reference to:
– the possibility of the personal data being subject to intelligence gathering or surveillance by third-country authorities; and
– the risk that the protection of personal data and fundamental rights provided by Union and Member State law cannot be guaranteed, despite the legal basis of the transfer

Het idee van “leg mensen uit hoe het juridisch zit en dan maken ze een geïnformeerde keuze” is een idealistisch maar buitengewoon irreëel denkbeeld als we het hebben over de gemiddelde internetter. Hoe kan ik nu vrijwillig en zinnig de afweging maken, ja, dat is prima dat de CIA en de NSA mij gaan profilen en de FBI mijn data besnuffelt? Wat betékent dat? Ga ik op de No Fly lijst als ik blogs als deze plaats op WordPress?

Ik snap hier wérkelijk helemaal niets van. Als er iets is dat de privacywetgeving en het concept “privacy is belangrijk” kapot maakt dan is het wel het idee “als we maar verplicht stellen dat iedereen het mensen maar uitlegt, dan komt het goed”. Nee. Mensen zijn niet bezig met privacy, wíllen daar niet mee bezig zijn; zij vertrouwen erop dat bedrijven zich netjes gedragen en dat anders de overheid optreedt.

In heel uitzonderlijke gevallen waarin een gemiddelde(!) burger redelijkerwijs zowel ja als nee zou kunnen zeggen, kan ik me nog iets voorstellen bij een aparte opt-in. Maar dat behoort echt een uitzondering te zijn en te blijven, en niet de hoofdregel die ie in de privacywetgeving is geworden. Net als bij cookies. Of je zegt, cookies en tracking zijn te eng voor woorden, verbieden die hap. Of je zegt, de technologie werkt maar er is ruimte voor misbruik – en dan verbied je het misbruik. Maar je gaat niet zeggen “dat misbruik is eigenlijk wel oké als mensen op ja klikken”.

“U gaat dood van deze sigaret” werkt al maar nauwelijks. Dus waarom zou “Mogelijk dat uw fundamentele rechten zoals gegarandeerd door het EU Handvest niet gewaarborgd worden ondanks dat de overdracht legaal is” dat dan wel zijn? (En ja dat gaat de tekst zijn, laat dat maar aan de nu-cookieverklaring-schrijvende juristen over.)

Argh. Echt.

Arnoud