‘Amerikaanse clouds in het Trump-tijdperk: hoe nu verder?’

Als er één ding duidelijk is geworden uit de verkiezingscampagne van president-elect Donald Trump is dat hij het niet nauw neemt met privacy. “Hij focust zich liever op een ‘veilig’ Amerika, maar hoe blijven uw gegevens straks veilig in de cloud?”, vraagt Eddy Willems zich af.

De discussie over hoe er in Amerika wordt omgegaan met de gegevens van Europeanen die bijvoorbeeld in Amerikaanse clouds worden bewaard of die burgers zelf beschikbaar stellen aan Amerikaanse partijen als Facebook, is niet nieuw. Maar nu Donald Trump weldra aan de macht komt in de VS, is het interessant om de feiten en risico’s opnieuw na te gaan. Want we weten dat Trump minder aandacht heeft voor liberale rechten zoals het recht op privacy en meer focus heeft op het ‘veilig’ maken van Amerika.

Safe Harbor

Maar de Europese privacywetgeving is behoorlijk helder over wat er wel en niet mag gebeuren met de persoonsgegevens van Europeanen: die mogen de EU niet verlaten. Dat was nogal problematisch in een periode waarin internetdiensten uit Amerika opkwamen, die als voorwaarde hadden dat persoonsgegevens de EU uit moesten. Denk hierbij aan Amerikaanse Cloud-aanbieders en Amerikaanse sociale netwerken. Het Safe Harbor-verdrag gaf de oplossing voor dit probleem: Amerika werd officieel door de EU aangewezen als ‘veilige haven’ voor persoonsgegevens, dus een uitzondering op de privacywet werd hiermee mogelijk. Toen Edward Snowden opstond als klokkenluider, werd duidelijk dat de haven misschien toch niet zo veilig was. Vorig jaar verklaarde het Europees Hof van Justitie Safe Harbor dan ook nietig.

Maar nu: Privacy Shield

Na deze uitspraak van het Hof ontstond er een soort grijze periode waarin de Europese privacywetgeving weer exclusief voor Europa gold. In feite opereerde elk Europees bedrijf dat persoonsgegevens bewaarde of bewerkte in de VS in strijd met deze wet. Dat was een groot probleem voor zowel de klanten als de aanbieders van onder andere de grote Amerikaanse Cloud-aanbieders. Er werd dus razendsnel gewerkt aan een alternatief verdrag, waarin de privacy van Europese aanbieders beter werd geregeld. Dat verdrag is er sinds enkele maanden: Privacy Shield.

Maar veel nationale privacy-waakhonden en andere privacy-voorvechters zijn niet echt onder de indruk van Privacy Shield. Het bleek (kennelijk) geen haalbaar resultaat om de VS zover te krijgen dat ze de privacy van Europeanen onder alle omstandigheden en te allen tijde zouden respecteren. Massasurveillance door onder andere de NSA is onder het nieuwe verdrag weliswaar aan striktere voorwaarden verbonden, maar het is niet uitgesloten.

Nieuwe dataprotectiewetgeving

In mei 2018 gaat de nieuwe Europese dataprotectiewetgeving (GDPR) in. Volgens verschillende experts, zijn Amerikaanse Clouds onder Privacy Shield niet compliant met deze nieuwe wetgeving, onder andere omdat er geen garantie kan worden afgegeven over waar de gegevens zijn (vaak blijven die niet gegarandeerd in de VS). Bovendien is er geen garantie dat de gegevens te allen tijde confidentieel blijven, wat onder de nieuwe dataprotectiewet wel zou moeten.

Wie zich enigszins heeft verdiept in de verkiezingscampagne van Trump, zal het met mij eens zijn dat die laatste garantie zelfs verder weg lijkt dan ooit. De ruimte die Privacy Shield biedt voor ‘analyse’ zal door Trump zonder scrupules worden gebruikt. Vergeet niet dat we het hier hebben over de man die voorstander is van ‘stop & frisk’, waarbij willekeurige voorbijgangers die er, naar de mening van individuele politieagenten ‘verdacht’ uitzien, kunnen worden gestopt en gefouilleerd. Mijn idee is dan ook dat de privacy van Europese gegevens onder Trump volledig terug is op het niveau van voor het einde van Safe Harbor, als het niet nog veel erger wordt.

En hoe verder?

Het probleem met Amerikaanse Clouds is nog niet de wereld uit. Maar wat kun je daar als Europese ondernemer nu precies aan doen? Je kunt twee routes bewandelen. De eerste route wordt massaal gekozen: het is de route van ‘we zien wel wat er gebeurt’. De meeste bedrijven blijven werken met hun Amerikaanse aanbieders in de hoop dat er niet onmiddellijk in mei 2018 massaal boetes worden uitgeschreven aan de kleine ondernemers die gebruik maken van de onveilige clouds. De tweede route is de moreel hogere weg: maak de keuze om weg te blijven uit onveilige clouds. Dat is absoluut mogelijk. Kies voor Europese aanbieders, die hun gehele infrastructuur beperken tot locaties binnen de EU.

Microsoft biedt in Europa 1 cloud aan die gegarandeerd compliant is met GDPR: de Duitse Cloud. Er is een partnership gesloten met het Duitse T-Systems voor de huur van hun (Duitse) servers. Microsoft heeft formeel geen toegang tot de hard- en software van deze cloud, een uitstekende manier om uit de handen van de NSA te blijven. De tweede route biedt nog een andere optie: gebruik alleen een private cloud binnen Europa. Daarmee zijn alle problemen ook opgelost.