Tal van ontwikkelingen op privacyvlak kleurden de afgelopen weken in. Op Europees niveau deden tal van betrokkenen een duit in dat zakje, terwijl securityhoogleraren in ons eigen land openlijk hun afkeur lieten blijken over de gang naar een Amerikaanse cloud. Voer voor discussie dus in het Datanieuws van podcast De Dataloog, sinds vandaag te beluisteren. De hoogte- én dieptepunten.
Het begon nog relatief klein toen Europese privacywaakhonden een pleidooi hielden voor een algemeen verbod op gezichtsherkenning. Ook andere realtime-biometrie in de openbare ruimte zou niet moeten worden toegestaan. De waakhonden, verenigd in de European Data Protection Board (EDPB), wijzen daarmee op de keerzijde van een belangrijke technologische ontwikkeling.
Dit blijkt uit hun reactie op een wetsvoorstel van de Europese Commissie over kunstmatige intelligentie (ai). Ook ai-systemen die burgers indelen op basis van bijvoorbeeld etniciteit, geslacht of seksuele voorkeur zijn volgens de EDPB een gevaar. Behalve de EDPB vindt ook de Europese toezichthouder EDPS dat de risico’s van gezichtsherkenning te groot zijn om de techniek toe te staan in de openbare ruimte. Dit geldt ook voor vergelijkbare technieken, zoals stemherkenning en bewegingsherkenning.
EU-uitspraak Facebook
De toon was gezet, zeker op Europees niveau werd flink doorgepakt op het privacyvraagstuk. Dit had overigens wel een nationaal tintje, want de Autoriteit Persoonsgegevens (AP) kan in urgente situaties grote technologiebedrijven zoals Google en Facebook vervolgen, zelfs als de nationale data-waakhond niet hun leidende regelgever is. Ook in lokale kwesties, waarbij uitsluitend Nederlanders zijn getroffen, bestaat die mogelijkheid.
Een recente uitspraak van het Europese Hof van Justitie bevestigt dat de AP als nationale toezichthoudende autoriteit onder bepaalde voorwaarden haar bevoegdheid kan uitoefenen om een vermeende inbreuk op de privacywetgeving voor een rechterlijke instantie van een lidstaat te brengen. De rechter bevestigt daarmee wat in de AVG staat en volgt dezelfde lijn als de AP al doet in haar toezicht. Voor lopende zaken van de AP heeft het vonnis dus geen gevolgen.
Doorgifte data naar VS
De uitspraak van het Europese Hof van Justitie heeft directe gevolgen voor de doorgifte van data naar met name Amerikaanse bedrijven. Het EDPB, dat net al aan bod kwam inzake de gezichtsherkenning, geeft het bedrijfsleven namelijk meer duidelijkheid over de doorgifte van data naar landen zoals de VS, waar anders over privacy wordt gedacht. Deze European Data Protection Board heeft daarvoor een aantal aanbevelingen aangepast. Sinds het Europese Hof van Justitie het EU-VS Privacy Shield ongeldig verklaarde in de zogeheten Schrems II-uitspraak, was over de doorgifte van data grote onzekerheid ontstaan.
Eerdere aanbevelingen zijn op een aantal punten gewijzigd. De adviezen zijn praktischer van aard geworden. Zo raadt de EDPB bedrijven aan om naar de ervaringen te vragen van de partijen met wie zij zaken doen in het derde land en deze mee te wegen in de beoordeling of doorgifte mogelijk is en onder welke voorwaarden. Zo is het raadzaam die partij te vragen of zij weleens te maken heeft gehad met bijvoorbeeld een inlichtingendienst die persoonsgegevens vorderde.
De Europese organisatie voor databescherming geeft nu ook voorbeelden van maatregelen die een bedrijf kan nemen om te voorkomen dat Amerikaanse veiligheidsdiensten toegang krijgen tot persoonsgegevens van Europeanen. Volgens de Amerikaanse wet (Foreign Intelligence Surveillance Act, red.) hebben die diensten het recht om personen van buiten de VS te surveilleren en hun data op te vragen.
Ernstige bezwaren
Die doorgifte van data kan ook plaatsvinden via de cloud. Dat is dan ook de reden dat twintig Nederlandse cybersecuritywetenschappers ernstige bezwaren hebben tegen de uitbesteding van e-mail en andere ict-diensten aan grote Amerikaanse cloudproviders. Volgens de groep van merendeels hoogleraren moeten de universiteitsbesturen goed over een dergelijke overstap nadenken.
In een brandbrief wijzen de wetenschappers, verenigd binnen de Academic Cyber Security Society (Accss), op de vele gevaren en nadelen. Grootste risico is dat als je eenmaal bent overgeleverd aan Big Tech, het nagenoeg onmogelijk wordt van hen af te komen. Universiteitsbesturen en -raden krijgen daarom het advies om een strategische visie te ontwikkelen voordat definitieve stappen worden gezet.
De wetenschappers verbazen zich erover dat universiteitsbesturen besluiten het onderhoud van ict-diensten uit te besteden aan Amerikaanse cloudgiganten. Fijntjes wijzen ze op de oproep die rectoren van de Nederlandse universiteiten in december 2019 deden om de afhankelijkheid van Amerikaanse techbedrijven te verminderen. ‘Blijkbaar verliest het strategische langetermijndenken het van operationele korte-termijnproblemen’, schamperen de cybersecurity-hoogleraren.
Directeur DINL oneens
De twintig cybersecurity-hoogleraren missen volgens Michiel Steltman, directeur Stichting DINL (Digitale Infrastructuur Nederland), een essentieel punt met hun oproep nog eens heel goed na te denken over het gebruik van de cloudplatformen van Big Tech. Onterecht zadelen ze de universiteitsbesturen op met een maatschappelijk, breder probleem, stelt hij in een reactie op de brandbrief van de wetenschappers.
Volgens Steltman zien de hoogleraren over het hoofd dat het voor toezichthouders noch voor de overheid mogelijk is die langetermijnrisico’s zodanig hard te maken dat die een doorslaggevende rol kunnen spelen bij hun platformkeuze. Steltman: ‘Laat staan dat onderwijsorganisaties en bedrijfsleven dat kunnen.’
De hoogleraren vragen zich af of het wel zo verstandig is over te gaan op de cloud gebaseerde e-mailsystemen van Microsoft. Ze menen dat de keuze voor Amerikaanse providers op de lange termijn meer problemen kan opleveren dan er nu worden opgelost. Veiligheid en privacy van studenten en medewerkers zijn daar onvoldoende gewaarborgd.
Over één nacht ijs
Volgens Steltman suggereren de briefschrijvers met hun opmerkingen over de korte versus de lange termijn ten onrechte dat de universiteitsbesturen over één nacht ijs zijn gegaan. ‘Er is geen aanleiding om te veronderstellen dat de e-mailplatforms van Microsoft en Google niet aan de wet voldoen of onveilig zijn. Dat argument wordt er met de haren bijgesleept’, meent Steltman.
De DINL-directeur verwijt de hoogleraren een gebrekkige onderbouwing. Te veel hebben de hoogleraren zich laten meeslepen door het negatieve sentiment rond Big Tech en de op zich terechte zorgen over onze digitale soevereiniteit. Verder reiken ze nauwelijks alternatieve oplossingen aan. Enige concrete voorstel is de e-mailinfrastructuur en andere diensten zoals autorisatie en andere diensten vaker uit te besteden aan Surf. Dat is op zich een prima gedachte, vindt Steltman.
Digitale soevereiniteit
Inmiddels is er ook alweer een reactie terug op de reactie van Michiel Steltman. Prof. Aiko Pras, hoogleraar internetsecurity aan de Universiteit Twente, is blij met de aandacht die de brandbrief van de cybersecurity-hoogleraren heeft losgemaakt, want Nederland loopt volgens hem achter als het gaat om het nadenken over digitale soevereiniteit. ‘In Duitsland en Frankrijk is het strategisch denken over digitale soevereiniteit al veel verder ontwikkeld.’
De Twentse hoogleraar, hoofdopsteller van de brandbrief, benadrukt beslist niet tegen de cloud te zijn. Hij wil een waarschuwing laten klinken die vooral van politiek juridische aard is. Niet zozeer in het geding is de veiligheid van hyperscalers zoals Microsoft en Google, maar hun positie als ondernemingen die onder het Amerikaanse recht vallen.
Europese organisaties die gegevens in de Amerikaanse cloud zetten, moeten voortaan extra maatregelen nemen om de veiligheid van de doorgifte te waarborgen. Dat is hun eigen verantwoordelijkheid. Pras: ‘Universiteiten die al hun gegevensopslag uitbesteden aan big tech lopen daardoor gevaar. Dit geldt zeker als ze zo sterk afhankelijk zijn geworden dat er geen weg terug meer is.’ Als een Nederlandse rechter daar een stokje voor steekt, zijn de rapen gaar. Het zou Pras niet verbazen als een student in de toekomst naar de rechter stapt om die data-overdracht aan te vechten. Hij acht de kans groot dat de rechter die doorgifte onwettig acht.
Podcast De Dataloog
Naast deze discussie over datadoorgifte en de bijbehorende privacy, kwamen er 30 juni tijdens het Datanieuws van podcast De Dataloog meer onderwerpen aan bod. Zo gingen de hosts Walter van der Scheer, Harm Bodewes en Sander Hulsman ook nog in op zaken als responsible ai, discriminerende algoritmen, data-analyse in de sport en schadevergoeding bij een datalek. Beluister hier de volledige uitzending.
