De Europese Unie en de Verenigde Staten hebben een nieuw akkoord bereikt over het uitwisselen van data en het beschermen van privacy. Nederland ICT heeft al gereageerd op deze bekendmaking en ook Computable vroeg zijn experts naar een reactie op dit nieuwe akkoord. Verschillende experts stellen zich kritisch op. Vooral de juridische basis ontbreekt volgens hen nog.
Nederland ICT reageerde dinsdag op het bericht dat de Europese Unie en de Verenigde staten tot een nieuw privacy-akkoord zijn gekomen. De branchevereniging is blij met het akkoord en directeur Lotte de Bruijn laat weten dat een goed alternatief voor Safe Harbor essentieel is voor het vertrouwen in data en de innovatiekracht van de Nederlandse digitale economie. De branchevereniging benadrukt wel dat het een akkoord op hoofdlijnen is. ‘Dit is een belangrijke eerste stap, maar de afspraken zullen nog verder uitgewerkt moeten worden tot een duurzame juridische basis voor data-overdracht tussen de Europa en de VS,’ aldus De Bruijn.
Richard Groenendijk, algemeen directeur bij AEB Nederland, is het eens met de uitspraak van Nederland ICT dat het nog enkel maar hoofdlijnen zijn. ‘Het akkoord voorziet inderdaad op hoofdlijnen van goede afspraken, maar de realiteit zal ons echt laten zien wat het akkoord waard is en of dat de Amerikaanse overheid zich echt gaat inzetten om de rechten van Europese burgers in Amerika te gaan naleven. Ik zet daar wel een kritische noot bij.’ Hij vraagt zich bijvoorbeeld af hoe onderdelen binnen het nieuwe verdrag (zoals de Amerikaanse bedrijven die zich aan de Europese richtlijnen moeten houden bij het opslaan van privacygevoelige informatie van Europeanen) nageleefd gaan worden.
Ook Dave Vijzelman, principal solution architect IDAM bij Dell, wil graag weten hoe er gaat worden gecontroleerd dat bedrijven zich houden aan de gemaakte afspraken, want ‘tja, ook de NSA heeft mensen rondlopen met de kennis om de zaken zo te verdraaien dat ze altijd hun ‘eigen’ verhaal kunnen maken.’ Volgens hem vraagt dit om risico-gedreven security. ‘We willen namelijk bepalen op basis van de context van een identiteit, of iemand bij informatie kan of niet. Daar zal de overheid dus ook aan moeten meedenken. Denk aan policy decision points (pdp) en policy enforcement points (pep), waar de definitie van regels context aware zijn. Dit betekent vooral dat overheden en organisaties op één lijn zitten qua afspraken en dit vervolgens ook it-technisch kunnen inrichten.’ Hiervoor moeten organisaties volgens hem meer met elkaar moeten gaan nadenken hoe hiermee om te gaan. ‘Kennen ze hun risico’s en hun prioriteiten? Wie neemt eigenaarschap van wat, en wie gaat het controleren? En wie gaat de controleurs controleren? Dit is een lastig onderwerp en technisch kunnen we al veel. Maar de vraag is: wie pakt het op?’, besluit hij.
Bedrijf versus overheid
Patrick de Goede van Eijk, solution expert security bij T-Systems, sluit zich bij de andere experts aan. Wat hem betreft is de afspraak nog te vaag. ‘Met name de ‘proportionaliteit’ in de overeenkomst is voor mij een groot vraagteken. De VS zullen data niet aan een ‘massa-surveillance’ onderwerpen, maar kunnen dat alsnog ‘proportioneel’ doen. Maar wie bepaalt wat proportioneel is? Dat lijkt de VS vooral zelf uit te maken. De overeenkomst biedt in de huidige vorm volgens mij dan ook vooral schijn-privacy.’
Pine Digital Security-cto Christiaan Ottow wacht de daadwerkelijk tekst van het akkoord nog af voor een volledige beoordeling van het verdrag. Wel kan hij al zeggen dat privacywaakhonden met het verdrag wel kunnen controleren of bedrijven zich aan regels houden, maar niet of de overheid geen grootschalige surveillance-acties houdt. ‘Wat dat betreft blijft het bezwaar tegen gegevens stallen buiten de EU dus onveranderd. Al met al is er potentie voor een goed akkoord, maar sommige bezwaren zijn te fundamenteel van aard om met papier op te lossen.’
Rhett Oudkerk Pool, oprichter van Kahuna, denkt ook dat de EU-US Privacy Shield weinig gaat veranderen voor ‘wat inlichtingendiensten mogen doen’. Anderzijds denkt hij dat de restricties voor commerciële bedrijven wel sterker zijn door het nieuwe verdrag. Maar ook deze zijn volgens hem nog lang niet op een niveau wat de burger zou willen. ‘De juridische teksten ontbreken om dat goed vast te stellen. Wanneer je onderhandelt moet je kunnen geven en nemen, ik denk dat de EU te weinig macht heeft om goed te onderhandelen.’
Wetgeving
Jan-Willem Oordt, van De IT-jurist, vraagt zich af hoe het akkoord zich verhoudt tot de afgekeurde Safe Harbor-voorwaarden en of het voldoet onder de Europese privacywetgeving. Hij noemt bijvoorbeeld dat de afspraken nog niet zijn uitgewerkt in concrete juridische voorwaarden. ‘De Verenigde Staten (VS) stellen geen grootschalige surveillance toe te passen op de uitgewisselde gegevens, maar het is nog afwachten hoe de VS dat gaan uitwerken in eigen wetgeving. De Amerikaanse wetgeving voor terrorismebestrijding bijvoorbeeld, is nog steeds van toepassing.’ Hij meent dat het Europese Hof van Justitie, die het laatste woord heeft, zich nog over dergelijke zaken gaat buigen.
Sincerus consultancy-directeur Peter Westerveld noemt het prijzenswaardig dat er striktere regelgeving wordt opgesteld ten opzichte van het voorgaande Safe Harbour verdrag. Echter, ook hij signaleert dat dit nog geen juridische garantie is dat er daadwerkelijk ook geen massa surveillance plaatsvindt op Europese gegevens. ‘Vooralsnog is het alleen een belofte en die zijn, zo bewijst het verleden, in relatie met de inlichtingendiensten in de VS niet echt betrouwbaar gebleken.’ Martijn van Lom beaamt dit. ‘Dit is naar mijn mening een stap voorwaarts. Iedere vorm van verbetering is hierin wenselijk. De vraag is alleen of de Verenigde Staten zich hier wel aan gaan houden. Dit is in het verleden bij andere afspraken ook niet altijd gebeurd. We moeten dus scherp blijven.’ Westerveld krijgt om die reden ook het gevoel dat dit verdrag met name op last van de grote Amerikaanse bedrijven als Facebook en Google is opgesteld om de belemmeringen in hun bedrijfsvoering weg te nemen.
Ook Jeroen Renard, corporate security officer bij Odin Groep, meent dat de wettelijke kant van het verhaal van groot belang is bij een dergelijk verdrag. Hij noemt de Nederlandse bewerkersovereenkomst als illustratie hiervan. ‘Binnen die overeenkomst liggen de afspraken vast tussen degene die verantwoordelijk is voor de persoonsgegevens en degene die de data bewerkt (bijvoorbeeld het datacenter of de SaaS-leverancier). Op basis van die overeenkomst kan de verantwoordelijke zijn verantwoordelijkheid ook daadwerkelijk nemen en dat ook aantoonbaar maken. Het is lastig om dit in grootschalige contracten te regelen. Aan het eind van de dag kleed je het inhoudelijk verantwoordelijkheid nemen toch uit: het gaat meer om het wettelijk mogelijk maken van uitwisseling van persoonsgegevens dan om het feitelijk invullen van adequate beveiliging met het oog op de specifieke dienstverlening en de aard en omvang van uitwisseling van persoonsgegevens.’
Ombudsman
Ook het onderdeel binnen het nieuwe verdrag over het aanstellen van een ombudsman is onderhevig aan kritiek van de experts. ‘Het gegeven dat er een ‘ombudsman’ in het leven geroepen gaat worden waar wij als Europeanen onze klachten kwijt kunnen, is wat mij betreft een doekje voor het bloeden’, meent Westerveld. ‘Ik heb niet de overtuiging dat een dergelijke ombudsman in de VS voldoende mandaat krijgt om de inlichtingendiensten te controleren en op de vingers te tikken.’ Groenendijk vindt het vreemd dat een Europeaan die problemen heeft met een Amerikaans bedrijf, naar Amerika moet om zijn recht te halen.
Missende onderdelen
Renard mist ten slotte nog wat andere punten in de huidige hoofdlijnen van het nieuwe verdrag. Bij de bevoegdheden van de betrokkenen bijvoorbeeld. ‘De Amerikaanse Senaat moet nog akkoord gaan met wetgeving die voor Europese burgers de gang naar de rechter in de VS mogelijk moet maken. Zelfs dan vraag ik me nog af of dit voor burgers ook praktisch haalbaar kan worden gemaakt.’ Hij denkt dat als de details de komende weken duidelijk worden, er inhoudelijk meer te zeggen is. ‘Op dit moment lag er de druk om tot iets te komen. Ik ben benieuwd of de Autoriteit Persoonsgegevens uiteindelijk echt blij zal zijn met de kracht en de veiligheid van het raamwerk. De VS en Europa staan fundamenteel verschillend tegenover de privacy-rechten van burgers.’
Renard hoopt uiteindelijk op een goede vervanger van een verdrag wat hard aan vervanging toe was. Hij besluit dat het venijn hem daarbij zit in de staart. ‘Gegevensuitwisseling wordt via deze weg mogelijk gemaakt en dat is prettig voor het internationale handelsverkeer. Maar wat is het prijskaartje nu en wat moet het prijskaartje in de toekomst zijn?’