21 juni 2010

Het is steeds gewoner om je applicatie-infrastructuur onder te brengen bij een ander. Bijvoorbeeld in de cloud. Maar je data staat dan elders, en dat brengt juridische vragen met zich mee. Clouds suggereren onafhankelijkheid van plaats, maar dat is zeker niet het geval. Forrester concludeerde dat in het rapport 'Infrastructure-As-A-Service (IaaS). Clouds Are Local And So Are Their Implications'. Gebruik van de cloud betekent niet dat de geografische locatie van gegevens niet meer uitmaakt. Meer dan ooit is de locatie van levensbelang. Iedere keer moeten bedrijven zich afvragen of ze de gegevens wel over mogen dragen aan een leverancier, die elders is gevestigd. Bovendien verschilt dat van land tot land. Mag je persoonsgegevens van klanten van de Nederlandse wetgever wel naar een database buiten de EU verplaatsen ? 'Ja, dat mag', zegt Leo van der Wees, onderzoeker aan de faculteit Rechtswetenschappen van de Universiteit van Tilburg. 'Het raamwerk van de Nederlandse wet, de Wet Bescherming Persoonsgegevens, wordt gevormd door de Europese privacyrichtlijn'. In die richtlijn staat aan welke regels Europese (en dus ook Nederlandse) persoonsgegevens zijn gebonden. 'Je moet daarbij de bedrijfsbenadering en consumentenbenadering van elkaar scheiden. Bedrijven hebben het relatief makkelijk, omdat ze vaak al met een leverancier en met advocaten erbij alles goed hebben geregeld. Individuen hebben die zekerheid niet'.

Nederlandse gegevens mogen overal naar toe binnen de grenzen van de EU. Het is geen probleem om gevoelige gegevens op een Britse server neer te zetten. 'Er is wel een duidelijk verschil tussen 'opslag' en 'doorvoer'. De richtlijn is duidelijk van toepassing op het moment dat gegevens binnen de EU worden opgeslagen. Maar als ze voor zeer korte tijd ergens worden neergezet binnen de EU, om vervolgens buiten de EU terecht te komen, dan weer niet. Dat maakt het ingewikkeld'. Naast de Europese landen is er maar een beperkt aantal landen waar je gegevens mee kunt uitwisselen. 'Dat zijn naast de EU-landen de landen van de Europese Economische Ruimte, dus inclusief Noorwegen, IJsland en Liechtenstein', zegt Van der Wees. Andere naties op het lijstje toegestane landen zijn Canada, Argentinië, Australië en Zwitserland. Daarnaast zijn er nog enkele territoria van bepaalde landen met bijzondere bevoegdheden, zoals de Faeröer-eilanden, Guernsey en Isle of Man. 'Het is een heel kort lijstje', geeft Van der Wees toe. Landen die niet op dat lijstje staan, bieden volgens Europa onvoldoende waarborgen als het gaat om de persoonsgegevens. De Verenigde Staten worden genoemd als het om bedrijven gaat die het zogenaamde Safe Harbor-certificaat hebben van het Amerikaanse Ministerie van Handel. Dat is een afspraak met de Europese Unie, waarbij het Amerikaanse bedrijf zich erop toelegt om zich te houden aan de Europese privacyrichtlijn. Waterdicht is Safe Harbor niet, zo waarschuwen de analisten van Forrester in hun rapport. Op het moment dat bijvoorbeeld de Amerikaanse PATRIOT-act wordt aangeroepen, biedt Safe Harbor geen bescherming meer. De Amerikaanse overheid kan dan alle gegevens opvragen. 'Indien de toegestane uitzonderingsgronden ontoereikend zijn, kan de minister van Justitie een vergunning voor doorgifte verlenen', aldus Van der Wees. Aan welke eisen je dan moet voldoen, staat in artikel 26 van de privacy-richtlijn. Zo moet een klant expliciet toestemming verlenen voor de gegevensoverdracht, of moet er een zwaarwegend belang in het spel zijn. Het is dus niet zo simpel.