-

Gevoelige Nederlandse data stallen bij big tech? Geen goed idee

Het besluit van de Nederlandse regering dat de overheid privacygevoelige gegevens van Nederlandse burgers mag opslaan bij Amerikaanse techbedrijven is een manier om verder te gaan nu ‘Privacy Shield’ ongeldig is verklaard. Mogelijk is het besluit van de regering ingegeven door het NCSC-memo over de mogelijke gevolgen van de Amerikaanse ‘CLOUD Act’. Onlangs hebben de hoogleraren José van Dijck en Bart Jacobs in het Financieele Dagblad en in de Volkskrant hun zorgen over dit besluit uiteengezet. 

In de Schrems II-uitspraak van vorig jaar is het bestaande juridische kader dat de gegevensoverdracht tussen de EU en de VS regelde, onrechtmatig verklaard. Sindsdien verkeert de hele trans-Atlantische digitale economie in onzekerheid. Het probleem met het gebruik van Big Tech-oplossingen (waarvan de cloud er één is) was al enige tijd bekend, omdat hier indirect naar werd verwezen in alle EU-uitspraken tegen Google Analytics. Wat voor Google geldt, geldt ook voor de rest van de vanuit de VS opererende organisaties die IT services aanbieden.

Sinds Schrems II zijn publieke en private organisaties die afhankelijk zijn van Amerikaanse technologie op zoek naar oplossingen die de continuïteit van hun activiteiten waarborgen en die tegelijkertijd het risico op non-compliance wegnemen. Sommige van de oplossingen verzachten echter alleen het probleem, ze lossen het niet volledig op. Daarbij gaat het onder andere om data-encryptie – dit is een essentiële security technologie, maar tegelijkertijd één die zeer moeilijk te implementeren is voor cloudservices, omdat de cloudhostingprovider absoluut geen toegang mag hebben tot de data- en encryptiesleutels.

De sleutel tot de juiste encryptie

Vooral in het geval van SaaS-providers, waarvan de meeste gebruikmaken van de cloudservices van Amazon Web Services (AWS), Azure of Google Cloud Platform (GCP), worden de encryptiesleutels bewaard door die SaaS-provider. Wanneer het een EU SaaS-provider betreft is dit minder een probleem. Omdat zij niet vallen onder de Amerikaanse inlichtingenwetten. Als het een Amerikaanse provider is blijft het probleem. Amerikaanse inlichtingendiensten kunnen de encryptiesleutels opvragen en hebben daarmee vervolgens toch toegang tot de versleutelde data.

Data-encryptie werkt in deze context het beste wanneer deze wordt geleverd door SaaS-providers in de EU die op AWS/Azure/GCP verder bouwen met aanvullende maatregelen om de gegevens te beveiligen (encryptie) en die de daarvoor gebruikte services volledig beheren, zodat er geen niet-versleutelde data toegankelijk zijn voor de cloudprovider zelf. Organisaties zouden dus gebruik moeten maken van datacenters die zich binnen de EU bevinden. Ze moeten op zoek gaan naar alternatieve technologieleveranciers die niet vallen onder Amerikaanse wetgeving.

Op zoek naar een definitieve oplossing

Er zijn twee manieren om het probleem echt goed aan te pakken:

  1. Er zijn weliswaar andere cloudproviders – waaronder Europese bedrijven zoals Elastx, Scaleway en OVH, om er maar een paar te noemen – maar zij hebben (nog) lang niet het brede aanbod aan diensten van hun Amerikaanse tegenhangers (Amazon, Google, Microsoft), die het grootste marktaandeel hebben. Datasoevereiniteit door het creëren van een in de EU gebaseerde en opererende cloudservice die vergelijkbaar is in schaal en aanbod met de Amerikaanse techproviders, zou het probleem volledig oplossen. Daarvoor is nog een lange weg te gaan. Het Gaia-X-project (EU-cloud) boekt tot nu slechts geringe vooruitgang en is dus (nog) geen echte oplossing voor de problemen.
  2. De nieuwe overeenkomst tussen de EU en de VS voor gegevensoverdracht (ter vervanging van de oude Privacy Shield overeenkomst). Deze wet zou een oplossing moeten bieden voor het belangrijke vraagstuk rond de mogelijkheid voor Amerikaanse inlichtingendiensten om toegang te krijgen tot de gegevens van EU-burgers. Er is echter nog steeds geen compleet concept van deze nieuwe overeenkomst. Ook is het de vraag of deze nieuwe overeenkomst een juridische test bij de rechtbank zal doorstaan ​​​​en niet zal eindigen zoals eerder al Privacy Shield en Safe Harbor.

NOYB, de privacywaakhond die direct verantwoordelijk was voor het openbreken van de twee eerdere overeenkomsten voor gegevensoverdracht, heeft al gewezen op enkele vereisten waaraan moet worden voldaan, wil deze overeenkomst stand houden bij een rechtbank.

Piwik PRO beschouwt deze overeenkomst als belangrijk en zeer nodig. We hopen dat deze verordening de persoonlijke gegevens van EU-burgers goed zal beschermen en tegelijkertijd duidelijke richtlijnen zal bieden voor alle organisaties, zowel publieke als private, over hoe ze op compliant manier met Amerikaanse technologie kunnen werken.

Totdat er een echte oplossing is blijven we in onzekerheid, waarbij steeds meer Amerikaanse technologie het doelwit zal worden van privacywaakhonden en van Europese gegevensbeschermingsinstanties.

Over de auteur: Vincent de Winter is Regional Manager Benelux bij Piwik PRO.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond