Neem contact op

New Module

Add content here.

security, IT, Cybercrime

Ligt er een bom onder de cloud?

08-oktober-2015

BAM! En daar lag de bekende Safe Harbor-overeenkomst van tafel. 
Het Europese Hof zette op 6 oktober 2015 een dikke streep door het 15 jaar oude verdrag dat de opslag van Europese persoonsgegevens in de Verenigde Staten regelde. Persoonsgegevens zouden in de VS onvoldoende worden beschermd.

hamburg-700x300.png

Geen veilige haven 

Is de VS geen veilige haven voor Europese persoonsgegevens? Nee en dat is de afgelopen tijd ook wel gebleken uit de volgende voorbeelden: 

  1. Edward Snowden 
    Klokkenluider Edward Snowden maakte al snel overduidelijk gemaakt dat privacy een wassen neus bleek te zijn. Hij toonde immers aan dat de Amerikaanse inlichtingendiensten op grote schaal door ‘onze’ gegevens grasduinen. 
  2. Zelfregulering werkt niet 
    Daarnaast is al enkele jaren bekend dat de zelfregulering van Safe Harbor een chaos is door het ontbreken van een externe toezichthouder. Honderden Amerikaanse bedrijven claimen gecertificeerd te zijn zonder te voldoen aan de voorwaarden, zoals het invoeren van een geldig privacybeleid. 
  3. Facebook voor de rechter 
    De Oostenrijkse student Max Schrems gaf Safe Harbor het laatste zetje door Facebook voor de Ierse rechter te slepen omdat dit bedrijf Europese persoonsgegevens verwerkt op Amerikaanse servers. 

Overwinning 

Het vonnis van het Europese Hof is een overwinning voor de Europese burgers. Safe Harbor maakte het mogelijk om gegevens van Europese burgers door te sluizen naar een land met een slechtere privacybescherming. Door die mogelijkheid is nu een kruis gezet. 

Het arrest geeft bovendien aan dat we in Europa privacy – wat bij ons een mensenrecht is – belangrijk vinden. Amerikaanse bedrijven die persoonsgegevens van Europeanen opslaan, zullen voortaan gewoon moeten voldoen aan de Europese wet- en regelgeving. 

Wat zijn de gevolgen voor providers? 

Voor de ICT-wereld is het arrest echter een dreun waarvan de naschokken nog lang voelbaar zullen zijn. Vrijwel direct na het bekend worden van de uitspraak kopte De Telegraaf dat er een bom is gelegd onder de Amerikaanse cloud die drijft op grootmachten als Google, Microsoft, Amazon en Apple. 

Voor de Amerikaanse providers – die samen goed zijn voor 80 procent van de hostingservices wereldwijd – is de beëindiging van het verdrag inderdaad een flinke klap. Zij zullen met de landelijke privacywaakhonden – zoals het CBP in Nederland – afspraken moeten maken over hoe ze de privacy van gegevens gaan waarborgen 

Komen de partijen er niet uit, dan zit er niet veel anders op dan de data te verhuizen naar Europese servers. En dat allemaal voor 1 januari 2016, de dag waarop de Safe Harbor-overeenkomst definitief bij het grof vuil wordt gezet. 

Wat zijn de gevolgen voor ondernemingen? 

Maar ook Europese bedrijven die persoonsgegevens stallen op servers die eigendom zijn van een Amerikaans bedrijf, moeten zich flink achter de oren krabben. Vanaf 1 januari kunnen ondernemingen klantgegevens – zoals de persoonsgegevens die zijn gekoppeld aan een klantenkaart – niet meer stallen op een ‘Amerikaanse server’ als er tussen de cloudprovider en de landelijke privacywaakhond geen aanvullende afspraken zijn gemaakt over de bescherming van de privacy. Ook dan is verhuizen van de data naar ‘Europese servers’ de enige optie. 

Hebben bedrijven hierbij nog een nadrukkelijk eigen verantwoordelijkheid? Mijn antwoord hierop is een volmondige ‘ja’. Het volstaat namelijk niet meer om te zeggen ‘het staat in de cloud’. Check daarom altijd de afspraken tussen toezichthouders en cloudaanbieders. Wie dat niet doet, riskeert na 1 januari – de dag waarop ook de nieuwe Wet meldplicht datalekken van kracht wordt – een flinke boete. 

Het is nu wachten op de eerste organisatie die vermoedt dat de gegevens naar de NSA zijn gelekt. Dan is het aan de cloudproviders om te bewijzen dat dit niet het geval is. 


 

Patrick de Goede van Eijk

Geschreven door Patrick de Goede van Eijk

Patrick de Goede van Eijk is Expert Security / Cyber Security Architect en werkzaam bij T-Systems sinds 2011 en is ruim 25 jaar actief in de ICT branche in diverse vakgebieden. De business impact van security maatregelen en wetgeving heeft zijn focus en persoonlijke interesse.