Onlangs sloot de Europese Commissie de Privacy Shield-overeenkomst met de Verenigde Staten. De opvolger van Safe Harbor moet de data van Europese burgers op Amerikaanse servers beschermen tegen de ogen en oren van de Amerikaanse overheid. De Europese privacywaakhond EDPS uit echter forse kritiek. Terecht: met de huidige regeling is de privacy in de overzeese cloud allesbehalve gewaarborgd.
Privacy Shield verbiedt ‘massasurveillance’ van data van Europese gebruikers. Maar de terminologie in het akkoord is uiterst vaag. Zo wordt niet gespecificeerd wat precies daaronder valt en wat niet. Met dergelijke onduidelijke regelgeving is het absoluut niet uitgesloten dat het in bulk verzamelen van gegevens onverminderd doorgaat. Sterker nog: het geeft de VS een ‘incentive’ om die zogenaamd preventieve surveillance zo goed mogelijk verborgen te houden. Niet voor niets heeft het Europees Parlement grote vraagtekens gesteld bij voornamelijk deze passage.
Doekje voor het bloeden
Privacy Shield maakt het gemakkelijker uit te vinden welke wegen je data bewandelen. Het eist meer transparantie van bedrijven. Ook moet het akkoord het voor burgers gemakkelijker maken om klachten in te dienen. Zij kunnen bij een ombudsman terecht wanneer zij het niet eens zijn met de manier waarop hun data behandeld worden. Dat klinkt mooi, maar is natuurlijk niets meer dan een doekje voor het bloeden. Dat je straks gemakkelijk kunt zien op welke manier je privacy geschonden wordt en daar ook nog eens gemakkelijker over kunt klagen, is natuurlijk iets anders dan een goede privacybescherming.
Twee maten
Er is nog een belangrijk bezwaar tegen het huidige Privacy Shield, en dat heeft te maken met onze eigen wetgeving. Vanaf 2018 is de GDPR (General Data Protection Regulation) in heel de EU van kracht. Die regeling gaat beduidend verder dan Privacy Shield. Zo staat het recht om vergeten te worden en de controle die eindgebruikers over hun eigen data hebben en behouden veel verder dan de huidige afspraken in Safe Harbour. Met het gevaar dat we over twee jaar met twee maten meten. Ik voorzie juridisch getouwtrek.
In zijn huidige vorm is Privacy Shield gedoemd te stranden bij de rechter, zoals ook het geval was bij de Safe Harbor-regeling. De juridische basis is simpelweg te wankel. Dan is het maar weer afwachten wat een derde voorzet ons gaat brengen.
Blijf in Europa
Burgers en bedrijven die hun privacy serieus nemen, gaan dan ook het beste in zee met Europese dienstverleners met datacenters aan deze kant van de oceaan. Dat wil niet zeggen dat Amerikaanse diensten uit den boze zijn. Zo kan Microsoft Azure wel voldoen aan de wet- en regelgeving, omdat deze in de Duitse datacenters zijn gehost die voldoen aan de striktste privacywetgeving van de EU. Met die mate van privacybescherming zal de Amerikaanse overheid zoals het er nu naar uitziet nooit akkoord gaan. Wat mij betreft doen burgers en bedrijven die gesteld zijn op hun privacy er dan ook goed aan niet te wachten tot weer een nieuw plan. Data moeten voor hen simpelweg altijd op Europees grondgebied blijven.
Zeer zinvolle publicatie. Al sinds het begin van het commerciële cloudverhaal bleef en blijf ik aan de kaak stellen zeer alert te zijn waar de data word ‘geparkeerd’. Er zijn namelijk twee issues hier.
Data in de VS dient integraal toegankelijk te zijn en blijven voor VS autoriteiten
Daar hoeft men namelijk helemaal niet zulke zwaarwegende redenen aan te geven zich toegang te verschaffen tot data. Men hoeft basaal alleen maar op te merken dat het om veiligheidsredenen is of dat men u verdenkt lijnen te hebben met Generic Embargoed Countries. Zelfs dan hebben de autoriteiten daar niet eens de plicht u hierover te informeren
Auteur, portretrechten, ideeën en eigendomsrechten
Ook deze zaken zijn in de VS totaal anders geregeld dan hier in de EU, zelfs per staat aldaar. Dat betekend dat het heel goed kan zijn dat wanneer u denkt eigenaar te zijn van een concept, elke amerikaan naar de rechter in de VS kan stappen en u daar voor een rechter slepen.
Juist op digitaal vlak bent u wat wat dit betreft altijd aansprakelijk voor digitale data die op servers binnen de VS juristictie worden opgeslagen en zelfs dat kan zomaar zijn zonder dat u het weet.
Toch een klein ding om even bij stil te staan. Top artikel.