Het PRISM-afluisterschandaal stuit velen tegen de borst. Mij ook. Op grote schaal data vergaren in de hoop dat er op den duur bruikbare resultaten te herleiden zijn ….. Data verzamelen omdat het kàn. Als de technische middelen beschikbaar zijn, is het heel verleidelijk om die ook in te zetten. Zeker als de huidige wet- en regelgeving geen afdoende bescherming en kader bieden. Dat moet anders.
Wat betekent het nieuws dat Amerikaanse veiligheidsdiensten meekijken in onze cloud gegevens? Allereerst hoop en verwacht ik dat dit nieuws ervoor zorgt dat het onderwerp heel hoog op de Europese agenda komt te staan. Neelie Kroes maakt zich hier hard voor. Het begint allemaal bij Europese wetgeving, die expliciet maakt onder welke voorwaarden derde landen online toegang kunnen krijgen tot informatie, zo schrijft ze. ‘Delivering a more secure digital Europe should be every politician’s top priority: even more so now.’
Haast maken met Europese wetgeving
Het onderzoek naar de invloed van Amerikaanse wetten voor de bescherming van Europese data, haalde vorig jaar het CBS News. Naar aanleiding van het schandaal is het van groot belang dat er haast wordt gemaakt met nieuwe Europese wetgeving voor de bescherming van persoonsgegevens. Deze wetgeving zal Amerikaanse bedrijven verplichten zich aan de Europese regels te houden wanneer Europeanen gebruikmaken van hun diensten.
Extra aandacht voor dataclassificatie
Het nieuws over PRISM geeft daarnaast aanleiding om extra kritisch te kijken naar het belang van dataclassificatie. Wij willen met de hele sector afspreken welke types data geschikt zijn om in een publieke cloud op te slaan (bij commerciële aanbieders) en welke data we in ons eigen huis moeten houden. Daarbij kan ‘ons eigen huis’ ook voor een nationale of Europese community cloud staan. Daarover later meer.
Andres Steijaert, programmamanager cloudservices bij Surfnet
Misschien dat niet iedereen zich ervan bewust is maar PRISM is geen los staand verschijnsel. Het is een van de symptomen van de vorming van totalitaire staten. En ondanks dat het encrypten van online data geen slecht idee is zal het symptoombestrijding blijven.
Wat dat betreft zal zowel het bedrijfsleven en de burgers moeten eisen dat dit soort extreem draconische en onwettige praktijken wordt gestopt.
Spioneren is een onderdeel van het beleid van overheden maar dan wel onder de loep van het congres en door een goede beargumentering voor een rechter (die het afkeurt als het niet voldoende onderbouwd is).
Andres, mooi verhaal met veel goede inzichten. Maar je verwacht wel veel van de onze Europese wetgeving. Je schrijft “…is het van groot belang dat er haast wordt gemaakt met nieuwe Europese wetgeving voor de bescherming van persoonsgegevens. Deze wetgeving zal Amerikaanse bedrijven verplichten zich aan de Europese regels te houden wanneer Europeanen gebruikmaken van hun diensten”
Zo’n juridische oplossing werkt amper. Kijk maar naar de Europese Safe Harbor-certificaten die misbruikt zijn door providers die aan PRISM meewerkten.
Dat heeft deels te maken met bilaterale verdragen tussen de VS en Europese landen ( o.a de BRD en GB), die onder meer het afluisteren door de VS in Europa mogelijk maken. EU-wetgeving kan die bilaterale verdragen met de VS niet automatisch beëindigen. En verder overruled de Patriot Act in de VS de EU-wetgeving. En alle Amerikanen, Amerikaanse bedrijven en (Europese) bedrijven die actief zijn in de VS, moeten zich aan de Patriot Act onderwerpen. Bedrijven die moeten meehelpen met het verzamelen de (meta)data mogen daarover geen concrete mededelingen doen aan betrokken personen. Reclameren door Europeanen heeft weinig zin want buitenlanders hebben bij de Patriot Act minder rechten dan VS-burgers. Er is in de VS geen constitutionele bescherming voor niet-Amerikaanse personen verblijvend in het buitenland.
In Europa kunnen providers op zich wel aangepakt worden als zij de aan hen toevertrouwde data niet beschermen volgens de afgesloten contracten en onze wetgeving. Maar Europese en Nederlandse privacy regels (zoals de Wbp) worden in en vanuit de VS overruled door de Patriot Act.
Dat levert een spagaat op voor providers. Hebben ze met de EU en de VS te maken, dan geldt het recht van de sterkste. In de praktijk is de VS baas in eigen huis en vaak ook in andermans huis. Geheime diensten van heel veel andere landen proberen hetzelfde, Ze hebben alleen (nog) niet de zelfde middelen van massaal afluisteren en datamining.
Dus als je bedrijfsgegevens moet beveiligen, dan kan en moet je je nooit verschuilen achter contracten met providers of achter nationale – en Europese wetgeving. Ga adequate technische en organisatorische maatregelen nemen. En gebruik daarbij uiteraard alleen bedrijven die niet onder de Patriot Act vallen, et cetera. Anders krijg je er ongewild alsnog nog een achterdeur bij.