Of een bedrijf succesvol is, hangt samen met de mate waarmee het bedrijfsnetwerk en de it-infrastructuur gelijke tred houden met nieuwe vereisten. Om meer flexibiliteit aan te brengen, beheren organisaties hun netwerkinfrastructuur vanuit de cloud. Dit brengt wel compliance-risico's met zich mee.
Het netwerk of wlan van meerdere vestigingen beheren via een cloud-oplossing verhoogt de efficiëntie, flexibiliteit en controle voor bedrijven aanzienlijk. Onregelmatigheden in het netwerk kunnen via een centraal dashboard worden opgespoord en, idealiter, op afstand worden verholpen nog voordat een storing optreedt. Nieuwe vestigingen worden met slechts enkele muisklikken op het bedrijfsnetwerk aangesloten en bedrijfskritische diensten zijn binnen zeer korte tijd beschikbaar.
Nieuwe juridische situatie
Sinds de zomer van 2020 zijn de randvoorwaarden voor het gebruik van cloud-oplossingen fundamenteel veranderd. Hierbij gaat het vooral om persoonsgegevens die in de cloud, en dus buiten het bedrijf, worden verwerkt door Amerikaanse cloudproviders. Hiermee worden niet alleen de gangbare platforms en clouddiensten bedoeld, zoals Facebook, AWS of Azure. Cloud-managed bedrijfsnetwerken verwerken, afhankelijk van het type netwerk, ook persoonsgegevens van werknemers, klanten, gasten, studenten of patiënten. Denk aan mac- en ip-adressen, inloggegevens, locatiegegevens, informatie over het gebruik van diensten of namen en e-mailadressen.
Met het Schrems II-arrest heeft het Europees Hof van Justitie de wettelijke basis voor de trans-Atlantische uitwisseling van dergelijke gegevens op basis van het Privacy Shield op 16 juli 2020 afgeschaft. De rechters oordeelden dat de gegevens van EU-burgers niet voldoende beschermd waren tegen mogelijke inzage door de Amerikaanse autoriteiten. Het doet er daarbij niet toe of de gegevensverwerking op Europees grondgebied plaatsvindt. Doorslaggevend is aan welk rechtsgebied het bedrijf dat de opdracht heeft gekregen, is onderworpen.
De zogenaamde modelcontractbepalingen zijn nog steeds toegestaan als alternatief. Deze moeten echter worden ondersteund door technische en organisatorische maatregelen om een adequaat beschermingsniveau te waarborgen. Dit is vrijwel onmogelijk bij netwerken die in de cloud worden beheerd. Om het netwerk continu te optimaliseren, soms tot het eindapparaat aan toe, is er behoefte aan bruikbare en betrouwbare data. Versleuteling of pseudo- en anonimisering van de gebruikersdata is dus uit den boze.
‘Men moet begrijpen dat dit een fundamenteel juridisch conflict is’, zei privacy-activist Max Schrems onlangs tijdens een webcast van het bedrijfsinitiatief Privacy Provided, dat voorlichting geeft over privacyvraagstukken. Met zijn rechtszaak tegen Facebook had Schrems een procedure voor het Hof van Justitie in gang gezet die de krantenkoppen domineerde. ‘De kwestie zal de komende tien jaar of zelfs daarna niet verdwijnen totdat ofwel de Amerikanen hun surveillancewetten wijzigen, of wij de gegevensbescherming afschaffen in het Handvest van de grondrechten van de EU’, aldus Schrems.
Miljoenenboetes
Bedrijven die hun netwerk beheren met een cloudoplossing uit een land dat geen adequate wetgeving op het gebied van gegevensbescherming kent, zoals de VS, zijn door de uitspraak van de rechter in grote onzekerheid gebracht. Er dreigen immers boetes die in de miljoenen lopen als werknemers of klanten een rechtszaak aanspannen wegens inbreuk op de privacy en een schadevergoeding eisen.
Om dit risico te vermijden, adviseren deskundigen als Max Schrems de bedrijven om een grondige inventarisatie en risicoanalyse uit te voeren. Als oplossingen niet zijn te gebruiken op een manier die in overeenstemming is met de gegevensbescherming, dan moeten er andere opties worden overwogen, aldus Schrems. Dit kan soms zelfs goedkoper zijn dan grote bedragen te investeren in advocaten en consultants die met ingewikkelde constructies iets willen oplossen dat technisch en feitelijk gewoon onoplosbaar is.
Oplaaiend vuur
Voor bedrijven die overwegen hun netwerkinfrastructuur in de cloud te beheren en die zich momenteel in het selectieproces bevinden, is het advies eenvoudig: investeer in een oplossing die data verwerkt in overeenstemming met de wet. Anders, zo concludeert Schrems, zal het thema gegevensbescherming een eindeloos oplaaiend vuur blijven voor compliance- en juridische afdelingen.
Concreet betekent dit dat bedrijven er goed aan doen om bij het plannen van hun cloudgebaseerde netwerkinfrastructuur al rekening te houden met compliance en gegevensbescherming. Wie het netwerk van zijn vestigingen of het lan en wlan op de desbetreffende locatie met behulp van een cloud-oplossing wil beheren, moet zich afvragen welke gegevens het lokale netwerk verlaten. Maar ook: aan welke wetgeving is de aanbieder van de oplossing onderworpen? Voldoet de oplossing aan zijn eigen compliance-vereisten en aan de Europese voorschriften inzake gegevensbescherming? Hanteert het land waar de data wordt bewaard dezelfde mate van gegevensbescherming als het land waar de data wordt verzameld?
Bij niet-Europese cloudoplossingen moeten gebruikers zich ervan bewust zijn dat persoonsgegevens niet alleen het lokale netwerk verlaten, maar ook het hier geldende rechtsgebied. Bij Amerikaanse providers belandt die data rechtstreeks in de handen van een rechtsstelsel dat, met wetten zoals FISA en de Cloud Act, niet strookt met de vereisten van de AVG/GDPR. De gegevensoverdracht is daarom onwettig.
Aan de veilige kant
Europese oplossingen voor netwerkbeheer die aan de strenge eisen van de AVG/GDPR voldoen, bieden daarentegen rechtszekerheid en helpen van begin af aan compliance-risico’s te voorkomen. Op die manier profiteren de gebruikers niet alleen van een bedrijfsnetwerk dat flexibel reageert op nieuwe bedrijfsbehoeften en dankzij de cloud gemakkelijk te beheren is, maar wordt ook geen afbreuk gedaan aan de gegevensbescherming.
Angst verkoopt alleen lijkt het nog niet storm te lopen met die boetes, met zo’n 1000 gerechtelijke uitspraken sinds 2019 is de noodzaak om te voldoen aan privacy wetgeving nog niet zo urgent. Er is dus vooral veel afwachtendheid en persoonsgegevensbescherming blijft hierdoor nog wel even een compliance vraagstuk welke zal leiden tot juridische conflicten want profilering op basis van het gedrag is nu eenmaal op meerdere manieren interessant. Zo helpt het nauwlettend in de gaten houden van het gebruik niet alleen bij het voorspellen van de vraag maar ook bij het voorkomen van ongewenst gedrag. En in dat kader is pseudo- en anonimisering van de gebruikersgegevens inderdaad niet erg handig maar ook deze surveillance kent strikte regels in het kader van compliance zoals blijkt uit de adviezen van Autoriteit Persoonsgegevens. Het recht om onbespied te leven houdt niet op als je begint te werken of gaat winkelen, juridische conflicten hierover zijn niet zo spraakmakend als het succes van Schremm maar er is meer jurisprudentie waar rekening mee gehouden moet worden.