Vorige week verklaarde het Europees Hof het ‘Safe Harbour’-verdrag ongeldig. Voor wie het niet weet: dit verdrag laat - of beter: liet - toe dat de Verenigde Staten Europese persoonsgegevens bewaart. Maar wat betekent dat nu voor ons? En welke impact heeft dit op de cloud providers?
Vooraleer we dieper ingaan op de ongeldigverklaring, is het belangrijk te weten wat Safe Harbour juist inhoudt. Wel: De Europese Unie is een groot voorstander van een strengere én uitgebreide privacywet. Sinds kort treft ze enkele ingrijpende maatregelen voor commerciële organisaties en overheden. Zo heb je als burger het recht om een organisatie te vragen om je gegevens te deleten. Dat is slechts een bewijs dat de EU nogal ver gaat.
Safe Harbour in een notendop
In 2000 was Safe Harbour officieel een feit. Het doel: de gulden middenweg vinden tussen de botsende belangen van de Europese Unie en de Verenigde Staten. De twee partijen gooiden het op een akkoordje, en troffen een flexibele regeling omtrent gegevensverkeer tussen ondernemingen uit de EU en de VS. Mits voldaan werd aan bepaalde regelgevingen en principes, weliswaar (de zogenaamde Safe Harbour Principles).
Het verdrag betekende dat internetbedrijven - Facebook, bijvoorbeeld - toestemming konden krijgen om op Amerikaanse bodem gegevens van Europeanen op te slaan. Maar dit privilege is voortaan verleden tijd: het Hof vindt de bescherming van de gegevens onvoldoende, en verklaarde het verdrag ongeldig. Die uitspraak veroorzaakte naast opschudding wel wat verwarring. Zo stelde ze dat Belgische en Nederlandse toezichthouders in principe “al de mogelijkheid hadden moeten hebben om te voorkomen dat gegevens naar Amerikaanse servers werden overgedragen”.
Gevolg van de nieuwe uitspraak? Er ontstaat plots ook onzekerheid over de legaliteit van dataopslag door Amerikaanse publieke cloud service providers, zoals Amazon en Google.
Duidelijkere datalimieten
Het is de eerste keer dat het Europese Hof een zaak in handen neemt waarbij de invloed van Snowden’s uitspraken onmiskenbaar is. Zo dwingt de rechtbank een grote aanpassing aan het beleid af. Het arrest omvat bovendien duidelijkere limieten: het is enorm transparant over hoe “massasurveillance de privacyrechten van de mens schendt.” Vermoedelijk wordt het arrest in de toekomst zelfs aangewend voor rechtszaken omtrent praktijken van Europese inlichtingendiensten.
Wat zijn de precieze gevolgen voor de betrokken partijen?
1. Voor de grote cloud spelers
Wat de gevolgen voor de public cloud service providers betreft, is het koffiedik kijken. Want als die verder willen gaan met het opslaan van gebruikersgegevens in de VS, is een andere juridische basis vereist. Volgens het Hof moet er ook onderzoek worden gevoerd naar de privacybeschermingen van de VS zelf. Zo kan er worden bepaald of ze voldoende waterdicht zijn voor de opslag van Europese gegevens. De organisaties in kwestie hebben wel een certificaat waarmee zij naar het Safe Harbour-verdrag mogen handelen.
Maar om dit certificaat te bemachtigen, moesten ze voldoen aan een reeks modaliteiten - bijvoorbeeld de invoering van een geldig privacybeleid. En hier wringt het schoentje: er was geen externe toezichthouder die controleerde of zij zich effectief aan de voorwaarden hielden.
Een woordvoerder van Facebook liet onlangs weten dat “het noodzakelijk is dat Europese en Amerikaanse overheden blijven zorgen voor betrouwbare methodes om wettelijk gegevens over te dragen.” Uit hetzelfde kamp klonk ook “dat de kwesties over de nationale veiligheid moeten worden opgelost.” Daarnaast liet Brad Smith, president en Chief Legal Officer bij Microsoft van zich horen: “Mensen gaan geen technologie gebruiken die ze niet vertrouwen. Door samen te werken, kunnen wij dat vertrouwen samen opbouwen.”
2. Voor de burger van de Europese Unie
Het is algemeen geweten dat de meeste burgers geen voorstander zijn om te worden gestuurd door de overheid. De prangende vraag: krijgt privacy nu voorrang op het gevoel van veiligheid online? Tenslotte weet het kleinste kind dat - om het voorzichtig te stellen - er ‘altijd iemand meekijkt’.
3. Voor de leveranciers van cloud diensten
En hoe zit het met de leveranciers van de cloud diensten? Moeten zij écht tijd investeren in het beschermen van de consument? Diezelfde consument die, als we Facebook en Instagram mogen geloven, het toch niet zo nauw neemt met zijn eigen privacy? Nu, de aantrekkingskracht van al deze cloud kanalen is zo immens - mede door het feit dat ze gratis zijn. En ja: een gratis dienst betekent dat jij zélf het product bent. Moet je dan niet weten wat daar de mogelijke gevolgen van zijn?
Conclusie?
De strijd om de ‘klant in de cloud’ is nog maar net begonnen. Toch hebben de spelers in de VS een aanzienlijke voorsprong uitgebouwd. Wie de winnaar is? Op het scorebord staat “VS-EU: 1-1”. Al zijn de Amerikanen wel in bezit van de bal.
Op 26 november spreekt Peter Witsenburg tijdens een gratis seminar over Cloud & Business Continuity. Meer informatie? Inschrijven? Kijk snel op www.businessmeetsit.be.
