26 november 2010

Eurocommissaris Kroes (Digitale Agenda & ICT) waarschuwt voor de gevaren van ‘cloud computing’. De Europese Commissie wil daarom strenge regels opstellen voor grensoverschrijdende dataverwerking en -opslag door bedrijven. ‘Cloud computing is more than simply a technical challenge. By putting our personal data on remote servers, we risk losing control over that data. Because the right to the protection of personal data is a fundamental right in the EU, this demands several actions’, zo ze1 Kroes in een toespraak aan de Université Paris-Dauphine. De Eurocommissaris noemt grote cloud-providers als Google, Microsoft en Amazon niet bij naam, maar de boodschap is duidelijk: Europa zal zijn digitale privacyregels niet versoepelen onder druk van een Amerikaanse lobby. Wel pleit ze ervoor om de regelgeving tussen de lidstaten beter te harmoniseren. Momenteel is Europa een lappendeken van verschillende datawetten, ondanks dat die allemaal zijn gebaseerd op Europese Richtlijnen. Kroes: ‘In my mind, the free movement of personal data within the EU is another way to help to complete the Digital Single Market in Europe. Therefore, the underlying approach ought to be ‘cloud-friendly”. Maar, zo voegt ze er aan toe, ‘a ‘cloud’ without clear and strong data protection is not the sort of cloud we need’. En dat is niet echt een bericht dat de cloud-leveranciers graag horen.

Momenteel kunnen Amerikaanse bedrijven data van Europese burgers en bedrijven verwerken volgens de Safe Harbor principes. Dat zijn regels die lijken op de Europese, maar met het verschil dat de Amerikaanse overheid via de Patriot Act toch gegevens kan opeisen, zeer tegen de zin van de EU. Zelfs het Amerikaanse adviesbureau Forrester waarschuwt voor het opslaan van data in de VS. In het beleidsdocument over gegevensbeveiliging van de Europese Commissie van eerder deze maand wordt deze problematiek ook aangestipt. ‘Verscheidene belanghebbenden wijzen op het feit dat de verwerking steeds vaker wordt uitbesteed, dikwijls buiten de EU, wat leidt tot diverse problemen in verband met het op de verwerking toepasselijke recht en de toewijzing van de daarmee samenhangende verantwoordelijkheid’. Kroes maakt duidelijk dat Europa zal vasthouden aan eigen privacystandaarden. En die zijn strenger dan in de VS, wat Amerikaanse bedrijven een doorn in het oog is. ‘Many international companies claim that Europe’s rules on data protection are just a protectionist measure in disguise. They suggest the rules do two things: 1) give an unfair advantage to European operators, and 2) hold back the development of cloud computing in Europe’, zo zegt Kroes, en geent daarbij aan dat ze dit onjuist vindt. Goede remmen zijn cruciaal, argumenteert Kroes. Voor de cloud betekent dat: duidelijkheid waar data staat (jurisdictie), en sterke privacy- en databescherming. Dat kan vooral Google zich aanrekenen. Het houdt zijn locaties angstvallig geheim en biedt het geen garanties in welke landen data wel of juist niet staat. ‘Datalocatie is een grote en groeiende zorg voor bedrijven die de cloud overwegen’, zo bevestigt Christopher Voce, senior analist bij Forrester. ‘Google heeft hierbij een probleem, omdat hun architectuur niet is ingesteld om data tot bepaalde locaties te beperken. Bijvoorbeeld Microsoft heeft een andere architectuur en kan de data van één klant veel gemakkelijker in één datacenter stoppen’. Voce benadrukt dat datalocatie slechts één van de vele technische en juridische afwegingen is bij de keuze van een cloudprovider, maar het kan zeker de doorslag geven. ‘Dat hangt af van de branche, de gevoeligheid van de data, de bedrijfscultuur maar ook de cultuur van het land’. Zo staan bijvoorbeeld Duitsers en Italianen veel sceptischer tegenover clouddiensten dan andere Europeanen, weet Voce. De Europese Commissie zal begin 2011 met verder uitgewerkte plannen komen voor cloudregulering. Het initiatief is onderdeel van een bredere hervorming van de Europese Richtlijn voor Databescherming. Centraal in de visie van Neelie Kroes staat privacy by design. ‘In this worldview, the winners will be those manufacturers and services providers – from whatever country of origin – that understand the competitive advantage that in-built privacy features provide’.