Snowden effect: waar parkeer ik mijn data?

Noem het het Snowden effect: Europese bedrijven zijn in toenemende mate huiverig geworden om hun data bij Amerikaanse cloudleveranciers te parkeren, bang dat inlichtingendiensten toegang krijgen tot bedrijfsgeheimen van hun klanten. De leveranciers zijn zich hiervan in toenemende mate bewust. Een dezer dagen kondigde VMware aan dat het zijn vCloud Hybrid-aanbod voortaan levert vanuit een datacenter in de Engelse stad Slough. Daarmee voldoet het aan Europese compliance-eisen en regels voor datasoevereiniteit.

De onthullingen van Snowden over de gedragingen van Amerikaanse inlichtingendienst gaan Amerikaanse internet-en IT-bedrijven geld kosten, zo voorspellen verschillende onderzoeksbureaus. De schade voor 2016 wordt gerekend op 133 miljard dollar. Anderen houden het op 30 miljard euro, maar dat is nog een enorme hap geld. Salesforce.com krijgt veel vragen van klanten die het niet accepteren dat inlichtingendiensten zelfs maar tot hun bestanden kunnen doordringen.

In Europa is een project gestart om een eigen Europese cloud te ontwikkelen die onder de Europese wetgeving valt. De Europese Unie neemt het initiatief, en het wordt ontwikkeld door Europese bedrijven die gebruikmaken van servers op Europees grondgebied. In die cloud gaan speciale garanties gelden voor de veiligheid van opgeslagen en verwerkte gegevens. Als de Amerikaanse autoriteiten dan gegevens willen inzien voor de bestrijding van misdaad of terrorisme, moeten zij aankloppen bij de Europese autoriteiten. De EU wil nog een stapje verder gaan. Alleen als er sprake is van grote hoeveelheden gegevens die ofwel heel privacygevoelig zijn, ofwel staatsgeheimen betreffen, zal gebruik van niet-Europese clouddiensten worden verboden.

Men zal nog wel geduld moeten hebben, want landen als Frankrijk, Duitsland en Groot-Brittannië zitten wat de Europese cloud betreft nog niet op één lijn. Wel is al ingestemd met een strengere Europese privacywetgeving. Daarbij moeten Amerikaanse bedrijven een boete van tot vijf procent van hun jaaromzet betalen als zij stiekem persoonlijke gegevens van Europeanen doorgeven aan Amerikaanse opsporings- en inlichtingendiensten. Tenzij er een gerechtelijk bevel ligt.

Brazilië gaat nog verder en heeft een wetsvoorstel klaarliggen waarin staat dat gegevens van Braziliaanse burgers alleen op servers in Brazilië opgeslagen mogen worden. Dat maakt Amerikanen ietwat nerveus. Advocatenkantoor White & Case vreest dat landen allerlei barrières op gaan werpen, waardoor Amerikaanse bedrijven niet over de grenzen heen gegevens kunnen ophalen.

Sommige leveranciers springen handig in op de onzekerheid onder bedrijven. Het Nederlandse Cloud Provider, een zusterbedrijf van XXL Hosting, lanceerde Cloud Drive! Het Europese alternatief voor Dropbox. Je bedrijfsdata worden opgeslagen bij onze Noorse vrienden van Jottacloud, luidt de geruststellende boodschap. In de Noorse wet is de privacy (nog) beter gegarandeerd. Noorwegen hoort zelfs niet bij de EU.

Amerikaanse bedrijven zitten ook niet stil. VMWare laat weten dat er meer datacenters zullen verrijzen op belangrijke Europese locaties. En het bedrijf is niet de enige: Microsoft maakte enkele weken geleden tijdens het World Economic Forum bekend dat het buitenlandse klanten de mogelijkheid gaat aanbieden hun data in een lokale omgeving op te slaan. Dat kan nu al in datacenters in Nederland en Ierland.

Toch is het de vraag of daarmee alle onrust wordt weggenomen. In het kader van strafrechtelijk onderzoek bestaan als gezegd nog steeds bevoegdheden in de VS voor het opvragen van gegevens bij Amerikaanse cloud providers. Allerlei landen kennen wetgeving met extraterritoriale werking, oftewel uitbreiding van de rechtsmacht over de eigen landsgrenzen heen. Het zou ook nog kunnen dat Amerikaanse bedrijven uiteindelijke juridische entiteiten gaan oprichten om hun onafhankelijkheid te waarborgen.