Hoe ver ben jij al met je migratieplan weg uit de Amerikaanse cloud?
Zoek alternatieven voor Amerikaanse leveranciers, zo knalde Emerce er recent in. Het Nederlandse en hele Europese bedrijfsleven schendt immers op grote schaal de AVG omdat ze nog steeds met Amerikaanse dienstverleners werkt.
Sinds het Schrems II arrest is dat, hoe zeg je dat netjes als jurist, hartstikke illegaal. En ik snap best dat je nog even wil wachten om te zien wat toezichthouders precies gaan zeggen, maar je hebt natuurlijk wel een migratieplan klaar liggen voor zodra ze “U mag nu stoppen” gaan zeggen. Toch? Want dat gaan ze.
Privacy Shield
“Er is geen uitzicht op een nieuw Privacy Shield. Alle partijen die op Amerikaanse servers data opslaan schenden Europese privacyregels.” Zo citeert men JetStream-directeur Stef van der Ziel, die precies de vinger op de zere plek legt. Het probleem met de Amerikaanse cloud is al zo oud als de cloud; Amerikaanse wetgeving over snuffelen in persoonsgegevens botst op fundamentele manier met de Europese grondrechten. We hadden ooit de pretentie dat het Safe Harbor-arrest dat op zou lossen: Amerikaanse bedrijven beloven dat ze zich aan de Europese regels houden – behalve als ze wat anders moeten van Amerikaanse wetgeving.
Extra waarborgen
En dat moesten ze, zo onthulde Edward Snowden enkele jaren terug. Safe Harbor sneuvelde dan ook, en het Privacy Shield werd ingevoerd met extra waarborgen en een ombudsman om het nu écht te regelen. Maar het uiteindelijke probleem blijft: Amerikaanse diensten mogen bij persoonsgegevens die in de VS zijn opgeslagen, ongeacht de Europese regels daarover. Dat weten we uit het Schrems II-arrest, waarin het Hof van Justitie net als in Schrems I (het Safe Harbor agreement) bepaalde dat het gewoon echt niet kan, zoals het werkt. (En nee, ook niet als je met SCC oftewel modelclausules gaat werken.)
De impact van de Amerikaanse cloud is echter te groot, zodat niemand echt de eerste stap durft te nemen. Want je zet jezelf op achterstand, als je concurrent wél met Google Analytics blijft werken en jij Matomo of Piwik moet gaan opzetten en vervolgens overal compatibiliteitsproblemen tegen gaat komen. Dus overstappen per direct is inderdaad nogal veel gevraagd.
En nu?
Ik zie echter geen reden om dan maar te blijven zitten en niets te doen. Inventariseer op zijn minst welke alternatieven er zijn en wat je nodig hebt om die werkend te krijgen. Doe eens een pilot met Matomo, zoek een Europees nieuwsbriefbedrijf en kijk of je écht die twintig trackers op je website nodig hebt. Dan heb je dat maar gedaan, weet je wat de impact gaat zijn en kun je dán besluiten wanneer je gaat migreren. Misschien wel sneller dan je denkt, want “wij werken volledig Europees” begint langzaam maar zeker een marketingvoordeel te worden.
Over de auteur: Arnoud Engelfriet is partner bij ICT Recht.
Gerelateerd event
Deel dit bericht
Plaats een reactie
Uw e-mailadres wordt niet op de site getoond
1 Reactie
Bas de Natris
Auteur legt de vinger op de zere plek (Privacy shield werkt niet en model clausules waarschijnlijk ook niet. De nuance die ik mis is dat veel gebruikers van cloud computing gebruik maken van de EU based regio’s die de meeste hyperscalers hebben. De data staat dan in ieder geval op Europees grondgebied. De (verplichte) dataprocessing agreement verwijst meestal naar de wetgeving van het land van de data controller. Dat lijkt voldoende te zijn, al het is het vooralsnog onduidelijk of ook in dat geval de US moeder gedwongen kan worden om toch data te delen met US instanties. Maar mits goed geencrypt (en niet met de default key van de vendor), is het praktisch goed beschermd. Het Schrem ii arrest gaat hier niet over. Gebruikers van SaaS diensten moeten zeer goed kijken waar de data staat (is niet altijd duidelijk). Bij gebruik van AWS, Azure etc heb je meestal zelf goed in handen in welk lanmd (en onder welk regime) je data staat