Cloud en Privacy: oops….

Aanbieders van clouddiensten worden door de Europese Commissie juridisch aangepakt als zij data uitleveren aan de Amerikanen. Maar als zij weigeren legt de Verenigde Staten die bedrijven sancties op. Dat is een van de gevolgen van de nieuwe Europese wet op de informatiebescherming. Dat nieuwe wetsvoorstel beschermt niet tegen de Patriot Act. Dat is een wet waarmee de Amerikaanse autoriteiten onder meer de overdracht van data kunnen eisen van Amerikaanse bedrijven, ook als die data is opgeslagen in datacenters die op Europese bodem staan. Daardoor kunnen de Amerikanen, als de overheid daar opdracht toe geeft, graaien in de privé-informatie van Europeanen die bijvoorbeeld is opgeslagen op de servers van bedrijven als Google, Microsoft en Oracle.

Eurocommissaris Neelie Kroes zei deze week in een voordracht bij Microsoft in Brussel dat het niet uitmaakt ‘if a company offers goods or services to people in the EU, or is monitoring them, then it shouldn’t matter where that company’s based – in Madrid, Mumbai or Mountain View. Our rules should apply to the data’. Het moet volgens Kroes niet uitmaken waar een Europeaan zijn data heeft opgeslagen, die data moet altijd onder de Europese wet- en regelgeving vallen.

Maar navraag bij Eurocommissaris Viviane Reding, verantwoordelijk voor de nieuwe Data Protection Regulation, leert dat aanbieders van clouddiensten nog steeds in een juridische spagaat komen als zij worden geconfronteerd met een Amerikaans verzoek om data te verstrekken. 

De Data Protection Regulation moet de nu geldende Data Protection Directive vervangen. De Directive is minder dwingend voor de Europese lidstaten dan de Regulation. De Directive gaf slechts een richting aan waarin de 27 lidstaten hun beleid op informatiebescherming moesten afstemmen, maar dat heeft geleid tot 27 verschillende soorten regelgeving. De Regulation moet zorgen dat in elke lidstaat dezelfde wet geldt. Dit voorstel van de Europese Commissie moet nog worden behandeld door het Europees Parlement.

In de nieuwe Regulation is een paragraaf opgenomen die handelt over de afwikkeling van verzoeken tot dataoverdracht door andere landen, zoals de Verenigde Staten, of India dat eveneens in het kader van terreurbestrijding graag zoveel mogelijk informatie wil hebben. In die paragraaf, Recital 90 geheten, wordt data-overdracht alleen toegestaan als er belangrijke gronden zijn van algemeen belang, dat geborgd moet zijn in Europese regelgeving of in wetten van het betreffende lidstaat van de Europese Unie. De Europese Commissie meldt daar zelf bij dat het die gronden nog verder moet specificeren.

De onzekerheid over de Patriot Act zit er bij internetbedrijven goed in. Desondanks blijven de juridische onzekerheden onder de nieuwe regeling bestaan. De Europese Commissie blijft in de overleggen met de Amerikaanse autoriteiten en de lidstaten het onderwerp aan de orde stellen. Lastig zal daarbij blijven dat bedrijven zoals Microsoft en Google bij een direct verzoek tot afgeven van data onder de Patriot Act tevens verplicht worden tot geheimhouding. Daarom is het niet duidelijk of en hoeveel maal al data door cloudleveranciers is doorgegeven aan de Amerikaanse autoriteiten. Waarschijnlijk is het voor Europese bedrijven dan ook beter geen zaken te doen met Amerikaanse cloudleveranciers, als privacy (of andere bedrijfskritieke zaken) een belangrijk aspect van de dienstverlening is.

De kwestie is ook aan de orde geweest in de Tweede Kamer. Minister Opstelten en zijn ambtgenoot Donner vonden in het najaar dat de zaak moest worden aangepakt door de Europese Commissie.

De SP wil nu in ieder geval dat het kabinet een einde maakt aan de mogelijkheid dat privédata van Nederlanders die is opgeslagen in datacenters, in handen komt van de Amerikaanse overheid. Een volstrekt legitieme, maar ook onwerkbare en niet te realiseren wens. De nieuwe Regulation biedt bedrijven nog steeds geen bescherming tegen de Patriot Act. In tegendeel zelfs, bedrijven die niet aan een Amerikaans verzoek voldoen omdat ze zich aan de Europese privacywetten willen houden, krijgen problemen met de Verenigde Staten, maar Eurocommissaris Reding heeft ook al laten weten dat als die bedrijven wel op het verzoek van de Amerikanen ingaan, ze sancties kunnen verwachten van de Europese Commissie. ‘Dat kan toch niet’, reageert Tweede Kamerlid Ronald van Raak van de SP, die nu vragen heeft gestuurd naar beide ministers. ‘Aanbieders van clouddiensten komen zo in een onmogelijke positie’. Dat klopt, en het kan wel als wetgevers het niet met elkaar eens kunnen worden.

Van Raak vraagt de ministers naar hun mening over de opmerking van de woordvoerder van Reding dat het aan de bedrijven zelf is om de juridische situatie te analyseren en te besluiten hoe ze reageren op een dergelijk Amerikaans verzoek. ‘Waarom laat u de bescherming van privacygevoelige informatie van Nederlandse burgers over aan commerciële bedrijven, die binnen de huidige verhoudingen niet kunnen voldoen aan de eisen van zowel de Verenigde Staten als die van de Europese Unie? Bent u het met mij eens dat u uiteindelijk verantwoordelijk bent voor de bescherming van privacygevoelige informatie van Nederlandse burgers ?’ Het zijn logische, maar door beide ministers niet te beantwoorden vragen.

Share This:

Leave a Reply

Your email address will not be published. Required fields are marked *