Eurocommissaris Neelie Kroes ziet in cloud een belangrijke motor voor verdere economische groei en innovatie in Europa. Ondertussen zijn er ook bezwaren. Vooral de potentiële (Amerikaanse) toegang tot in de cloud opgeslagen gegevens wekt weerstand op. Vanuit het Europees Parlement klinkt de roep om een ‘EuropaCloud’.
Victor de Pous, bestuurslid stichting EuroCloud Nederland nuanceert het Amerikaanse gevaar. ‘De zogenoemde Patriot Act-discussie – populistisch het Amerikaanse datagraaien genoemd – blijft misleiden. Niet alleen de VS, maar allerlei landen kennen wetgeving met extraterritoriale werking. Daarbij gaat het dus om uitbreiding van de rechtsmacht over de eigen landsgrenzen heen. In het kader van de informatiemaatschappij blijkt dat mondiale toegang tot informatie in computersystemen en netwerken uit oogpunt van criminaliteits- en terrorismebestrijding door eigen en vreemde mogendheden vrijwel zeker een feit is.’
‘Nederland wil daarin nog verder gaan, zo blijkt uit recente, omstreden voorstellen tot aanpassing van strafvorderlijke bevoegdheden. Zelfs het plaatsen van malware op systemen, die zich ergens buiten de landsgrenzen bevinden, moet namelijk mogelijk worden. Meer algemeen geldt dat extraterritoriale jurisdictie tot onwenselijke situaties kan leiden en botst met nationale wetgeving. Denk aan de legislatieve privacyregels die voorwaarden stellen aan de verstrekking van persoonsgegevens, terwijl buitenlandse wetgeving die kan doorkruisen. De Europese Commissie werkt aan oplossingen, maar die zullen zeker niet aan alle bezwaren tegemoet komen.”
Volop in ontwikkeling
Europese wetgeving op het gebied van privacy, ook in de cloud, is dus volop in ontwikkeling. Het Europarlement werkt aan haar visie op voorstellen van de Europese Commissie rond de bescherming van gegevens. Belangrijk hierin is dat de Europese Groenen de hoofdopstellers (‘Rapporteurs’) van deze visie leveren. Op 28 februari was een delegatie in Amsterdam om input te krijgen en het debat aan te gaan. Sprekers waren Judith Sargentini, Europarlementariër voor GroenLinks en woordvoerder Europese cloud; Jan Philipp Albrecht, Europarlementariër voor de Duitse Groenen en rapporteur dataprotectie, Jacob Kohnstamm (College Bescherming Persoonsgegevens), Joris van Hoboken (Instituut voor Informatierecht, Universiteit van Amsterdam) en met een speciale bijdrage Ancilla Tilia, Playmate van het Jaar 2004 [sic!] en nu medewerker van Bits of Freedom.
Voorafgaand aan het debat lanceerde Sargentini het plan voor een EuropaCloud: ‘We kunnen als Europeanen onze zelfbeschikking alleen garanderen met een ‘EuropaCloud’. Daaronder versta ik een ecosysteem van regels, diensten en aanbieders dat belichaamt wat wij als Europeanen belangrijk vinden: databescherming, privacy, vrijheid van meningsuiting, transparantie, decentrale opslag en energiezuinigheid. We kunnen deze waarden inzetten als uniek verkoopargument. Als je zeker wilt weten dat je gegevens veilig zijn, sla ze dan op in de Europacloud.’
Opvallend is dat eerder Neelie Kroes had aangegeven dat de EC zelf geen Europabrede Cloud zal initiëren. Dat is Sargentini evenmin van plan. Ze wil dat de Europese overheden hun budgetten inzetten om zo’n cloud door commerciële partijen van de grond te laten trekken. De overheid stelt dan alleen de voorwaarden waaraan die opslag moet voldoen. Met EuropaCloud wil Sargentini in Europa voor Amerikanen en Europeanen een gelijk speelveld creëren.
Hans Timmerman, bestuurslid van de stichting EuroCloud Nederland en initiatiefnemer van de werkgroep Trust & Security, heeft zijn bedenkingen bij een cloud van overheidswege: ‘Ik denk dat de overheid de laatste partij is waar ik mijn gegevens veilig zou willen plaatsen. De overheid heeft nog nooit bewezen dat zij dit soort dienstverlening beter kan dan commerciële bedrijven. Wat de overheid wél kan, is certificering en regulering faciliteren en wettelijk regelen. Door zo’n geborgd toetsingskader te creëren, worden de waarborgen tegen datagraaien vanzelf beter. Daarnaast, als data werkelijk geheim moet blijven, versleutel het dan en/of berg het zelf goed op.”
Zware lobby
Jan Albrecht, de rapporteur in het Europese Parlement inzake de pricaywetgeving. maakte melding van het tijdpad (2014) en de doelstellingen van het wetsvoorstel: uniformeren van Europabrede privacywetgeving. Het vraagstuk leeft sterk. Er wordt een zeer zware lobby gevoerd. Albrecht staat voor de uitdaging om maar liefst vierduizend amendementen op de wetsvoorstellen te verwerken. Alleen al de vertaling daarvan brengt de voortgang in gevaar, laat staan de inhoudelijke beoordeling. Wie zich heeft verdiept in het LobbyPlag-initiatief, weet dat veel amendementen zijn geformuleerd door lobbyisten die de belangen van het Amerikaanse bedrijfsleven promoten.
Schrijven de Amerikanen de Europese wetten? Het zou het EP sieren als het meer tegenwicht zou bieden aan dit lobbygeweld. En het zou het Europese bedrijfsleven sieren als het zich niet de kaas van het brood zou laten eten door de Amerikanen. Maar dat vraagt investeringen en coördinatie. ‘Europa, best belangrijk,’ weet u nog? Kennelijk ziet het Amerikaanse bedrijfsleven dat beter in dan het Europese.
Het gevoelen leeft dat als de Europese privacywetgeving eenmaal op orde is, wij een onderhandelingspositie hebben richting de Amerikanen. Johan van Hoboken hield de aanwezigen voor dat het een illusie is te denken dat de Amerikanen in privacywetgeving naar het Europese denken zullen opschuiven. ‘Privacy van Europeanen is daar absoluut geen issue. Amerikaanse privacy-organisaties zetten het niet eens op de agenda.’ Dit ondersteunt de in de werkgroep Trust & Security van EuroCloud Nederland opgedane ervaring dat de Amerikanen zich vooral druk maken over security terwijl de Europeanen veel meer gericht zijn op privacy.
De EuropaCloud dan? Het is een interessante gedachte. Beslist ook een aansporing aan de Europese Cloud industrie. Of het haalbaar is, is een tweede. De ict-wereld aan beide zijden van de Atlantische Oceaan is zo verweven, dat een puur en gesloten Europees systeem praktisch en technisch onuitvoerbaar lijkt. En ook minder wenselijk is. De aantrekkingskracht van cloud computing ligt in het feit dat de gebruiker zich los kan maken van geografische, technische en historische beperkingen. Met EuropaCloud worden juist weer muren opgetrokken. Hoe dan ook, de markt zal zijn werk doen, eventueel geholpen door Europese regelgeving.
Geen bijsluiter
Pikant was dat een ander prominente Europarlementariër: Sophie in ‘t Veld, (D66) min of meer gelijktijdig met de lancering van EuropaCloud het voorstel deed om cloud-gebruikers een bijsluiter te presenteren over de gevolgen van het gebruik van de dienst voor hun privacy. Ze zijn dan beter in staat om meer bewust de dienst te kiezen (‘confirmed consent’). Dat vonden de deelnemers aan het debat een minder vruchtbaar idee. De omgang met de leveringsvoorwaarden voor het gebruik van software en diensten laat zien dat mensen zonder enig voorbehoud op ‘ja’ klikken als ze maar door kunnen.
Hoe dan ook, het is verheugend te zien dat cloud ook in het Europarlement leeft.
Het valt me op dat er zoveel door elkaar wordt gehaald in discussies over privacy in de cloud.
1. Feit is dat overheden een wettelijke basis hebben om in data van buitenlanders te mogen kijken. Waar het om gaat is, of dat zonder medeweten van de personen in kwestie mag gebeuren. In Europa willen we dat liever niet, in de VS is er een wettelijke basis t.a.v. bedrijven die onder hun jurisdictie vallen om dat juist wel te mogen doen.
Zolang Europa niet aan de VS vraagt om dat te veranderen, is de privacy van een Europese burger niet gewaarborgd op de manier waarop wij dat graag zouden willen: transparantie.
2. Een Europese cloud, opgezet door bedrijven, moet dan (gezien het bovenstaande) de waarborgen geven die wij in Europa willen en kan dus niet ingevuld worden door bedrijven die onder jurisdictie van de VS vallen.