Oké zullen we gewoon stoppen met de US cloud want ik wil niet stééds uitspraken van 60 pagina’s samenvatten tot “stop nou eens met de US cloud”

| AE 12072 | Privacy | 51 reacties

Ja sorry, ik word een beetje chagrijnig van dit gedoe. Maar zoals ik -en velen met mij- al een paar jaar roep: je kunt niet vertrouwen op Privacy Shield, en je mag niet zomaar data van je klanten naar Amerika sturen. Ook niet in een clouddienst en ook niet als je er een verwerkersovereenkomst bij hebt. En ja, ze hebben ook gezegd dat Standard Contractual Clauses wél rechtsgeldig zijn. Maar dat is alleen omdat in die SCC staat dat je onmiddellijk moet stoppen met data naar Amerika sturen zodra blijkt dat dat land onveilig is. Oftewel, per direct.

Goed, ik ben alweer rustig. het gaat dus om de Schrems II-zaak. Oostenrijkse GDPR-activist Max Schrems wilde alweer heel wat jaartjes geleden weten waarom Facebook Ierland persoonsgegevens van hemzelf mocht verstrekken aan Facebook Inc. uit Californië. Amerika heeft immers niet echt hetzelfde niveau van bescherming van persoonsgegevens als wij. De Ierse AP besloot die vraag aan het Hof van Justitie voor te leggen, en die kwamen toen met de verstrekkende uitspraak dat de toenmalige Safe Harbor-overeenkomst niet rechtsgeldig was. Mede gezien de Snowden-onthullingen kun je Amerika met de beste wil van de wereld geen persoonsgegevensrespecterend land noemen.

Dat gaf politieke onrust, vandaar dat een jaartje later het Privacy Shield er kwam. Daarmee was er formeel weer een grondslag voor uitbesteden van dataverwerking in de VS, mits het bedrijf maar plechtig zei dat ze Privacy Shield zou respecteren en de Amerikaanse overheid zou doen alsof die ombudsman en mooie verklaringen uit het verdrag iets betekenden. Ja moehaha zeg ik dan, maar goed het was even een schaamlap zodat u tijd had om uw clouddiensten en Amerikaanse onderaannemers uit te faseren.

En nu is het dus zover, het Hof van Justitie zegt wederom dat Amerika niet veilig is voor persoonsgegevens en dat je die er dus niet heen mag brengen vanwege mooie woorden in die Privacy Shield overeenkomst. De Europese Commissie had gewoon niet kunnen en mogen concluderen dat Amerika veilig is (net zoals ze dat bij Safe Harbor niet hadden gemogen). Met name specifiek omdat de NSA en andere overheidsinstanties data mogen besnuffelen zonder enige mogelijkheid van klacht of bezwaar, en dat recht moet je wel hebben. En die ombudsman valt onder de minister van binnenlandse zaken en is daarmee niet onafhankelijk. Daarmee had Privacy Shield nooit gesloten mogen worden, en dat ding dat ze wel gesloten hebben is dus ongeldig.

Vele privacyjuristen hadden hier al rekening mee gehouden en dus ingezet op de zogeheten Standard Contractual Clauses (SCC). Dat zijn door de Europese Commissie opgestelde bepalingen waarmee je een standaardcontract samenstelt om grip te krijgen op een buitenlandse (niet-EU) partij die voor jou persoonsgegevens gaat verwerken. In dat contract dwing je keihard af dat men zich aan de GDPR houdt, onder meer met een recht van audit voor jou bij hem, een plicht van hem om rare dingen te melden en de plicht om klachten van gebruikers daadwerkelijk op te lossen.

Het Hof van Justitie zegt nu dat die constructie nog wél geldig is. Die is immers bedoeld voor situaties waarin de buitenlandse partij ergens zit waar ze rare dingen doen met persoonsgegevens. Dus dan is het prima als je samen keiharde afspraken maakt waarmee je die rare dingen buiten de deur houdt. Afdwingbaar, met boetes en rechtszaken. Dat kan gewoon. Daarom zegt het Hof, prima om naar Amerika met SCC te werken.

Alleen en nu komt ie: die afspraken moet je dan wel daadwerkelijk handhaven. Zo moet de Amerikaanse partij jou bijvoorbeeld informeren over rare praktijken of wetten die botsen met Europese rechten. Als jij onder FISA valt, zoals alle ICT-providers, dan moet jij dat aan je Europese klanten melden. En die mogen dan geen persoonsgegevens meer aan jou geven. Dus als je met SCC werkt, dan heb je jezelf contractueel verplicht om vandaag nog te stoppen met persoonsgegevens naar Amerika sturen.

Einde US cloud dus. Althans: voor laten we zeggen zakelijk gebruik door Europese bedrijven. Als jij zelf een Amerikaanse dienst gebruikt voor dienstverlening aan jou (hetzij zakelijk hetzij privé) dan blijft dat prima. Dat valt onder het kopje “toestemming”, dat nog steeds kan. Boeken bij een Amerikaans hotel, een Amerikaanse prijsvergelijker, lezen van een Amerikaanse krantwebsite, betalen met Paypal of een Amerikaans-gecontroleerde creditcard: allemaal prima. Gegevens van je klanten of je websitebezoekers door een Amerikaan laten analyseren: niet prima.

Ook niet als je een verwerkersovereenkomst hebt. Die zegt alleen maar dat die Amerikaan niets mag doen behalve wat jij hem opdraagt, maar dit borgt niet dat de NSA van die persoonsgegevens afblijft. En zolang dát niet geborgd is, mag je geen data laten verwerken in de VS.

Arnoud

Heeft Donald Trump het Privacy Shield opgeblazen?

| AE 9220 | Privacy | 8 reacties

De Amerikaanse president Donald Trump heeft vorige week potentieel het recent gesloten Privacy Shield opgeblazen, meldden diverse media vorige week. Dankzij Privacy Shield mochten Europese bedrijven weer gewoon persoonsgegevens opslaan of laten verwerken in de VS. Een executive order gericht tegen illegale immigranten lijkt hier inderdaad een bom onder te leggen.

Al sinds de jaren negentig schuurt het qua persoonsgegevens tussen de Europese Unie en de VS. De Europese regels over persoonsgegevens zijn de strengste ter wereld, en bepalen onder meer dat persoonsgegevens de EU niet uit mogen tenzij het derde land zelf een minstens zo goed niveau van bescherming heeft. Tot 2015 hadden we de Safe Harbor-regeling, maar die werd vernietigd door het Hof van Justitie. Haar opvolger het Privacy Shield werd in juni aangenomen en bevatte iets meer waarborgen voor Europese burgers.

Doel van Privacy Shield is Amerika zich te laten committeren aan de Europese privacyregels wanneer Amerikaanse bedrijven data opslaan van Europese burgers. Toegang tot die data mag wel, maar alleen onder strenge voorwaarden en in gevallen van strafbare zaken, nationale veiligheid en dergelijke. Niet arbitrair of zonder reden of procedurele waarborgen. En daar leek de VS mee in te stemmen.

Artikel 14 van een recente Executive Order bepaalt echter iets vervelends voor het Privacy Shield:

Sec. 14. Privacy Act. Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.

Gezien de context lijkt dit te zijn geschreven voor overheidsinstanties die betrokken zijn bij immigratie. Deze mogen geen beleid maken over persoonsgegevens waarmee illegal aliens enige aanspraak op privacy kunnen maken. Doel daarvan lijkt me logisch: zo snel mogelijk al deze personen op te kunnen sporen, en geen last van rare privacyregels waarmee je niet in iemands database zou mogen.

Betekent dit nu het einde van Privacy Shield? Immers, ook Europese burgers zijn “persons who are not United States citizens or lawful permanent residents” en die vallen nu buiten de Amerikaanse privacywet.

Gelukkig niet. De Europese Commissie reageerde snel met de toelichting dat deze wet sowieso niet bedoeld is voor buitenlanders. Dat was de hele reden dat de EU US Privacy Shield-overeenkomst moest worden gesloten, aldus de commissie. In combinatie met de zogeheten Umbrella Agreement is zo apart geregeld dat data van Europese burgers veilig verwerkt mag worden.

Deze executive order verandert niets aan het Privacy Shield of bijbehorende afspraken. Het lijkt dus een storm in een glas water te zijn geweest.

Arnoud

Vergeet ik al die tijd helemaal wat te vinden van het Privacy Shield

| AE 8971 | Privacy | 10 reacties

privacy-shieldAlweer uit juli: het Privacy Shield, het nieuwe dataverdrag tussen de EU en de VS, is definitief aangenomen. Daarmee is er eindelijk weer een werkbare juridische basis voor doorgifte van persoonsgegevens aan de VS. Althans zou je denken. En ja sorry, dit is belangrijk maar het is me gewoon even ontschoten erover te bloggen.

Al sinds de jaren negentig schuurt het qua persoonsgegevens tussen de Europese Unie en de VS. De Europese regels over persoonsgegevens zijn de strengste ter wereld, en bepalen onder meer dat persoonsgegevens de EU niet uit mogen tenzij het derde land zelf een minstens zo goed niveau van bescherming heeft. En dat heeft de VS dus, zo bepaalde de Europese Commissie in de Safe Harbor-beslissing eind jaren negentig. Amerikaanse bedrijven konden zichzelf certificeren als compliant met Europese regels, en daarmee was het geregeld. Ja moehaha ik weet het.

Dankzij de Snowden-onthullingen kon niemand er meer omheen dat deze fictie geen stand kon houden. Het Hof van Justitie prikte er dan ook in 2015 doorheen: de Amerikaanse haven is niet veilig, punt. Safe Harbor kende geen harde garanties zoals Europees recht vereist, met name omdat de Amerikaanse overheid te allen tijde door de beschermingsregels heen kon prikken.

Na die uitspraak was het enige tijd paniek in de tent: mag je nog wel persoonsgegevens in de Amerikaanse cloud opslaan, of een Amerikaans bedrijf dingen laten doen met Europese persoonsgegevens? Eigenlijk niet, tenzij je via speciale ellenlange modelcontracten specifieke afspraken mag én die kon handhaven, wat nogal een gedoe is.

Nu is er dan een nieuw akkoord dat iets strengere regels stelt. Zo komt er een onafhankelijk toezichtpanel op de zelfcertificering; bij klachten kan een certificaat dan worden ingetrokken. Verder moeten Amerikaanse bedrijven zich duidelijker committeren aan Europese regels en wordt een ombudsman aangesteld die klachten over mogelijke massasurveillance onafhankelijk kan behandelen. De politiek zal de afspraken jaarlijks evalueren.

Zijn we er nu? Niet echt. Voorlopig zitten we goed, want als de Europese Commissie zegt dat een land veilig is, dan is dat zo – althans totdat de onafhankelijke toezichthouders en uiteindelijk het Hof van Justitie zeggen van niet. Dus zorg voor een bewerkersovereenkomst (ADV: doe die training) en let op dat je leveranciers gecertificeerd zijn onder Privacy Shield.

Op de lange termijn zal dit geen stand houden. Uiteindelijk blijft bij Privacy Shield net als bij Safe Harbor het probleem dat inlichtingen- en veiligheidsdiensten te makkelijk in bulk mogen graaien in persoonsgegevens die Amerikaanse bedrijven onder zich hebben. Dan kun je honderd ombudsmannen aanstellen maar die diensten gaan dat echt niet minder doen. En afspreken dat de VS niet gaat graaien in gegevens bij hun eigen onderdanen, dat kun je wel vergeten als Europese Unie.

Dus ja, leuk dat het gat van Safe Harbor tijdelijk gerepareerd is, we kunnen weer even door. Maar meer dan een doekje voor het bloeden is het niet. Het fundamentele probleem blijft: je moet haast wel de cloud in vandaag de dag, maar dat betekent automatisch opslag in de VS en dat wil je eigenlijk gewoon niet.

Arnoud