Safe Harbor – Mogen persoonsgegevens nog in de cloud?

Bedrijven die schaalbaar willen zijn maken vaak gebruik van Amazon of andere Amerikaanse cloud-diensten. De Europese rechter heeft echter onlangs beslist dat de bescherming van privacy bij Amerikaanse bedrijven onvoldoende is. Europese bedrijven mogen dus officieel de cloud niet meer gebruiken voor gevoelige gegevens. Een verrassende juridische wending met ook praktische impact.

Privacy-wetgeving wordt steeds strenger

De Nederlandse privacy-wetgeving wordt steeds strenger. Vroeger waren er alleen eisen voor specifieke sectoren, zoals telecom en banking. Sinds 2001 is er de WBP, een privacywet die voor elk bedrijf geldt. Voor veel bedrijven in 2001 had deze wet echter weinig impact, omdat de bedrijven weinig persoonsgegevens bijhielden. Met de komst van google analytics en social media zijn er echter veel meer informatiebronnen bijgekomen. Volgens de WBP zijn bijna al deze gegevens privacy-gevoelig gemaakt: alles wat in principe tot een individu herleidbaar is, is een persoonsgegeven. Per 1 januari 2016 wordt hier de meldplicht datalekken aan toegevoegd, die bedrijven verplicht elk incident met persoonsgegevens te melden. Voor veel bedrijven betekent dit een grote verandering in hun beveiligingsbeleid. Vroeger mochten bedrijven zelf besluiten hoeveel risico ze wilden lopen met hun bedrijfsdata, en dus ook hoeveel men wilde besteden aan beveiliging. Tegenwoordig zijn ze gedwongen om veel meer te doen aan beveiliging omdat ze anders beboet kunnen worden voor onzorgvuldig omgaan met privacy-gevoelige gegevens. Veel bedrijven spelen hier nu al op in, door bijvoorbeeld hun systemen te testen op de OWASP-top 10, of door een digital security officer of privacy officer te benoemen. Ook kiezen bedrijven vaak bewust voor de cloud, omdat een grote cloudprovider in theorie meer middelen heeft om beveiliging goed te regelen.

Privacy internationaal: Safe Harbor

De internationalisering van IT is echter ook een probleem voor de privacy. Wetgeving is immers landgebonden en gegevens-stromen niet. Een bedrijf in Nederland dat privacy-regels wil overtreden, zou in theorie de gegevens naar een land zonder privacy-regels kunnen verplaatsen en dan daar straffeloos de Europese regels kunnen overtreden. Om dit te voorkomen heeft de Europese unie het daarom strafbaar gemaakt om persoonsgegevens te exporteren naar landen zonder goede privacy-bescherming. Bedrijven mogen alleen gegevens delen met bedrijven in de Europese unie, of met bedrijven die onder minstens even goede regels vallen als Europa heeft. Voor Amerika en een aantal andere landen was hiervoor een ‘Safe harbor’ overeenkomst opgesteld: elk bedrijf dat zich aan deze regels verbond was voldoende beveiligd om gegevens te mogen ontvangen. Bedrijven als Microsoft, IBM, Google en Facebook hielden zich hier allemaal aan en waren dus goedgekeurd, tot vorige week.

Problemen met privacy

Er zijn twee problemen met de privacy en De Verenigde Staten. Het eerste probleem is fundamenteel: De Verenigde staten heeft veel wetten die gericht zijn op American Citizens: Amerikaanse burgers. De geheime diensten van Amerika mogen geen Amerikaanse burgers bespioneren. Dit verbod geldt echter alleen voor de burgers van de VS: De CIA heeft altijd buiten Amerika zoveel mogen spioneren als ze willen, en doet dit ook actief. Vroeger ging dat met James-Bond achtige karakters  en was het aantal mensen dat gevolgd kan worden beperkt. Tegenwoordig gaat dat massaal digitaal. Amerikaanse bedrijven kunnen ook juridisch eenvoudig worden gedwongen om gegevens over niet-Amerikaanse burgers af te geven.

Het tweede probleem is praktisch: vroeger vermoeden we dat de Verenigde Staten spioneerde, maar wisten we niet precies wat men wel en niet kon doen. Veel politici en toezichthouders gingen er van uit dat de VS geen Europese burgers zou bespioneren, en de goedkeuring van Safe Harbor was hierop gebaseerd. Door de onthullingen van Edward Snowden is bekend geworden dat de Amerikaanse overheid toegang heeft tot heel veel gegevens, en de veiligheid bij Amerikaanse bedrijven blijkbaar onvoldoende is.

Juridische kronkels

Hoewel iedereen al sinds 2012 weet dat er een probleem is, had dit tot twee weken geleden geen praktische consequenties. Dit komt door een juridische kronkel. De Safe-Harbor regeling was namelijk door een Europees hof goedgekeurd, en tegen dit besluit mochten lokale rechters en toezichthouders niet ingaan. Op 6 oktober 2015 besliste het Europese hof van justitie dat de Ierse toezichthouder wel opnieuw naar de inhoud van de zaak mag kijken, en dus mag beslissen als daar goede redenen voor zijn om te besluiten dat gegevens niet veilig zijn bij Facebook en andere Amerikaanse bedrijven. Die redenen zijn er, dus zal iedereen het besluit om gegevens in de cloud te zetten heroverwegen. Uiteraard zijn de Amerikanen niet blij met de ecomische schade die dit voor hun bedrijven brengt, dus is er deze week al een kleine reparatiewet gemaakt. Dit is een kleine stap in de goede richting, maar lost niet het hele probleem op.

Wat nu?

Eigenlijk zijn de regels niet moeilijk: ieder bedrijf moet zelf nadenken en ervoor zorgen dat persoonsgegevens behoorlijk worden beschermd. Als onderdeel hiervan hebben we twee praktische adviezen:

• Ten eerste kunnen bedrijven zich een hoop moeite besparen door werk te maken van privacy by design: Ervoor zorgen dat ze geen persoonsgegevens bewaren die ze helemaal niet nodig hebben. Dit kan bijvoorbeeld door veel features van Google Analytics uit te zetten.
• Ten tweede moet men internationale clouds vermijden voor gevoelige persoonsgegevens (medisch, politieke voorkeuren), zolang de Amerikaanse overheid niet meer doet aan privacy. Hoe dit moet hebben we in meer detail geschreven in dit privacy artikel op Frankwatching.
• Ook moeten bedrijven zich voorbereiden op de meldplicht datalekken en zorgen dat er een proces staat om datalekken op tijd te melden.

Wie meer wil weten, kan contact opnemen met ons team. We zijn benieuwd naar ieders vragen, en zullen de meestgesteld vragen ook opnemen in onze serie workshops gegevensbescherming.