Hoe ver ben jij al met je migratieplan weg uit de Amerikaanse cloud?

| AE 12195 | Ondernemingsvrijheid | 51 reacties

Zoek alternatieven voor Amerikaanse leveranciers, zo knalde Emerce erin begin deze week. Het Nederlandse en hele Europese bedrijfsleven schendt immers op grote schaal de AVG omdat ze nog steeds met Amerikaanse dienstverleners werkt. Sinds het Schrems II arrest is dat, hoe zeg je dat netjes als jurist, hartstikke illegaal. En ik snap best dat je nog even wil wachten om te zien wat toezichthouders precies gaan zeggen, maar je hebt natuurlijk wel een migratieplan klaar liggen voor zodra ze “U mag nu stoppen” gaan zeggen. Toch? Want dat gaan ze.

“Er is geen uitzicht op een nieuw Privacy Shield. Alle partijen die op Amerikaanse servers data opslaan schenden Europese privacyregels.” Zo citeert men JetStream-directeur Stef van der Ziel, die precies de vinger op de zere plek legt. Het probleem met de Amerikaanse cloud is al zo oud als de cloud; Amerikaanse wetgeving over snuffelen in persoonsgegevens botst op fundamentele manier met de Europese grondrechten. We hadden ooit de pretentie dat het Safe Harbor-arrest dat op zou lossen: Amerikaanse bedrijven beloven dat ze zich aan de Europese regels houden – behalve als ze wat anders moeten van Amerikaanse wetgeving.

En dat moesten ze, zo onthulde Edward Snowden enkele jaren terug. Safe Harbor sneuvelde dan ook, en het Privacy Shield werd ingevoerd met extra waarborgen en een ombudsman om het nu écht te regelen. Maar het uiteindelijke probleem blijft: Amerikaanse diensten mogen bij persoonsgegevens die in de VS zijn opgeslagen, ongeacht de Europese regels daarover. Dat weten we uit het Schrems II-arrest, waarin het Hof van Justitie net als in Schrems I (het Safe Harbor agreement) bepaalde dat het gewoon echt niet kan, zoals het werkt. (En nee, ook niet als je met SCC oftewel modelclausules gaat werken.)

De impact van de Amerikaanse cloud is echter te groot, zodat niemand echt de eerste stap durft te nemen. Want je zet jezelf op achterstand, als je concurrent wél met Google Analytics blijft werken en jij Matomo of Piwik moet gaan opzetten en vervolgens overal compatibiliteitsproblemen tegen gaat komen. Dus overstappen per direct is inderdaad nogal veel gevraagd.

Ik zie echter geen reden om dan maar te blijven zitten en niets te doen. Inventariseer op zijn minst welke alternatieven er zijn en wat je nodig hebt om die werkend te krijgen. Doe eens een pilot met Matomo, zoek een Europees nieuwsbriefbedrijf en kijk of je écht die twintig trackers op je website nodig hebt. Dan heb je dat maar gedaan, weet je wat de impact gaat zijn en kun je dán besluiten wanneer je gaat migreren. Misschien wel sneller dan je denkt, want “wij werken volledig Europees” begint langzaam maar zeker een marketingvoordeel te worden.

Arnoud

Oké zullen we gewoon stoppen met de US cloud want ik wil niet stééds uitspraken van 60 pagina’s samenvatten tot “stop nou eens met de US cloud”

| AE 12072 | Privacy | 54 reacties

Ja sorry, ik word een beetje chagrijnig van dit gedoe. Maar zoals ik -en velen met mij- al een paar jaar roep: je kunt niet vertrouwen op Privacy Shield, en je mag niet zomaar data van je klanten naar Amerika sturen. Ook niet in een clouddienst en ook niet als je er een verwerkersovereenkomst bij hebt. En ja, ze hebben ook gezegd dat Standard Contractual Clauses wél rechtsgeldig zijn. Maar dat is alleen omdat in die SCC staat dat je onmiddellijk moet stoppen met data naar Amerika sturen zodra blijkt dat dat land onveilig is. Oftewel, per direct.

Goed, ik ben alweer rustig. het gaat dus om de Schrems II-zaak. Oostenrijkse GDPR-activist Max Schrems wilde alweer heel wat jaartjes geleden weten waarom Facebook Ierland persoonsgegevens van hemzelf mocht verstrekken aan Facebook Inc. uit Californië. Amerika heeft immers niet echt hetzelfde niveau van bescherming van persoonsgegevens als wij. De Ierse AP besloot die vraag aan het Hof van Justitie voor te leggen, en die kwamen toen met de verstrekkende uitspraak dat de toenmalige Safe Harbor-overeenkomst niet rechtsgeldig was. Mede gezien de Snowden-onthullingen kun je Amerika met de beste wil van de wereld geen persoonsgegevensrespecterend land noemen.

Dat gaf politieke onrust, vandaar dat een jaartje later het Privacy Shield er kwam. Daarmee was er formeel weer een grondslag voor uitbesteden van dataverwerking in de VS, mits het bedrijf maar plechtig zei dat ze Privacy Shield zou respecteren en de Amerikaanse overheid zou doen alsof die ombudsman en mooie verklaringen uit het verdrag iets betekenden. Ja moehaha zeg ik dan, maar goed het was even een schaamlap zodat u tijd had om uw clouddiensten en Amerikaanse onderaannemers uit te faseren.

En nu is het dus zover, het Hof van Justitie zegt wederom dat Amerika niet veilig is voor persoonsgegevens en dat je die er dus niet heen mag brengen vanwege mooie woorden in die Privacy Shield overeenkomst. De Europese Commissie had gewoon niet kunnen en mogen concluderen dat Amerika veilig is (net zoals ze dat bij Safe Harbor niet hadden gemogen). Met name specifiek omdat de NSA en andere overheidsinstanties data mogen besnuffelen zonder enige mogelijkheid van klacht of bezwaar, en dat recht moet je wel hebben. En die ombudsman valt onder de minister van binnenlandse zaken en is daarmee niet onafhankelijk. Daarmee had Privacy Shield nooit gesloten mogen worden, en dat ding dat ze wel gesloten hebben is dus ongeldig.

Vele privacyjuristen hadden hier al rekening mee gehouden en dus ingezet op de zogeheten Standard Contractual Clauses (SCC). Dat zijn door de Europese Commissie opgestelde bepalingen waarmee je een standaardcontract samenstelt om grip te krijgen op een buitenlandse (niet-EU) partij die voor jou persoonsgegevens gaat verwerken. In dat contract dwing je keihard af dat men zich aan de GDPR houdt, onder meer met een recht van audit voor jou bij hem, een plicht van hem om rare dingen te melden en de plicht om klachten van gebruikers daadwerkelijk op te lossen.

Het Hof van Justitie zegt nu dat die constructie nog wél geldig is. Die is immers bedoeld voor situaties waarin de buitenlandse partij ergens zit waar ze rare dingen doen met persoonsgegevens. Dus dan is het prima als je samen keiharde afspraken maakt waarmee je die rare dingen buiten de deur houdt. Afdwingbaar, met boetes en rechtszaken. Dat kan gewoon. Daarom zegt het Hof, prima om naar Amerika met SCC te werken.

Alleen en nu komt ie: die afspraken moet je dan wel daadwerkelijk handhaven. Zo moet de Amerikaanse partij jou bijvoorbeeld informeren over rare praktijken of wetten die botsen met Europese rechten. Als jij onder FISA valt, zoals alle ICT-providers, dan moet jij dat aan je Europese klanten melden. En die mogen dan geen persoonsgegevens meer aan jou geven. Dus als je met SCC werkt, dan heb je jezelf contractueel verplicht om vandaag nog te stoppen met persoonsgegevens naar Amerika sturen.

Einde US cloud dus. Althans: voor laten we zeggen zakelijk gebruik door Europese bedrijven. Als jij zelf een Amerikaanse dienst gebruikt voor dienstverlening aan jou (hetzij zakelijk hetzij privé) dan blijft dat prima. Dat valt onder het kopje “toestemming”, dat nog steeds kan. Boeken bij een Amerikaans hotel, een Amerikaanse prijsvergelijker, lezen van een Amerikaanse krantwebsite, betalen met Paypal of een Amerikaans-gecontroleerde creditcard: allemaal prima. Gegevens van je klanten of je websitebezoekers door een Amerikaan laten analyseren: niet prima.

Ook niet als je een verwerkersovereenkomst hebt. Die zegt alleen maar dat die Amerikaan niets mag doen behalve wat jij hem opdraagt, maar dit borgt niet dat de NSA van die persoonsgegevens afblijft. En zolang dát niet geborgd is, mag je geen data laten verwerken in de VS.

Arnoud

Heeft Donald Trump het Privacy Shield opgeblazen?

| AE 9220 | Privacy | 8 reacties

De Amerikaanse president Donald Trump heeft vorige week potentieel het recent gesloten Privacy Shield opgeblazen, meldden diverse media vorige week. Dankzij Privacy Shield mochten Europese bedrijven weer gewoon persoonsgegevens opslaan of laten verwerken in de VS. Een executive order gericht tegen illegale immigranten lijkt hier inderdaad een bom onder te leggen.

Al sinds de jaren negentig schuurt het qua persoonsgegevens tussen de Europese Unie en de VS. De Europese regels over persoonsgegevens zijn de strengste ter wereld, en bepalen onder meer dat persoonsgegevens de EU niet uit mogen tenzij het derde land zelf een minstens zo goed niveau van bescherming heeft. Tot 2015 hadden we de Safe Harbor-regeling, maar die werd vernietigd door het Hof van Justitie. Haar opvolger het Privacy Shield werd in juni aangenomen en bevatte iets meer waarborgen voor Europese burgers.

Doel van Privacy Shield is Amerika zich te laten committeren aan de Europese privacyregels wanneer Amerikaanse bedrijven data opslaan van Europese burgers. Toegang tot die data mag wel, maar alleen onder strenge voorwaarden en in gevallen van strafbare zaken, nationale veiligheid en dergelijke. Niet arbitrair of zonder reden of procedurele waarborgen. En daar leek de VS mee in te stemmen.

Artikel 14 van een recente Executive Order bepaalt echter iets vervelends voor het Privacy Shield:

Sec. 14. Privacy Act. Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.

Gezien de context lijkt dit te zijn geschreven voor overheidsinstanties die betrokken zijn bij immigratie. Deze mogen geen beleid maken over persoonsgegevens waarmee illegal aliens enige aanspraak op privacy kunnen maken. Doel daarvan lijkt me logisch: zo snel mogelijk al deze personen op te kunnen sporen, en geen last van rare privacyregels waarmee je niet in iemands database zou mogen.

Betekent dit nu het einde van Privacy Shield? Immers, ook Europese burgers zijn “persons who are not United States citizens or lawful permanent residents” en die vallen nu buiten de Amerikaanse privacywet.

Gelukkig niet. De Europese Commissie reageerde snel met de toelichting dat deze wet sowieso niet bedoeld is voor buitenlanders. Dat was de hele reden dat de EU US Privacy Shield-overeenkomst moest worden gesloten, aldus de commissie. In combinatie met de zogeheten Umbrella Agreement is zo apart geregeld dat data van Europese burgers veilig verwerkt mag worden.

Deze executive order verandert niets aan het Privacy Shield of bijbehorende afspraken. Het lijkt dus een storm in een glas water te zijn geweest.

Arnoud

Vergeet ik al die tijd helemaal wat te vinden van het Privacy Shield

| AE 8971 | Privacy | 10 reacties

Alweer uit juli: het Privacy Shield, het nieuwe dataverdrag tussen de EU en de VS, is definitief aangenomen. Daarmee is er eindelijk weer een werkbare juridische basis voor doorgifte van persoonsgegevens aan de VS. Althans zou je denken. En ja sorry, dit is belangrijk maar het is me gewoon even ontschoten erover te bloggen. Al… Lees verder