Amazon Web Services (AWS) heeft zijn standaardcontractvoorwaarden aangepast aan de nieuwe Europese wet- en regelgeving rondom data en privacy. In juni presenteerde de EU een modelcontract om de privacy te waarborgen als bedrijven gegevens buiten de EU opslaan.
Amazon Web Services (AWS) kondigt een wijziging aan van het online-AWS GDPR Data Processing Addendum (AWS AVG DPA) en de online-servicevoorwaarden. Daarin staan de nieuwe standaardcontractbepalingen die de Europese Commissie in juni 2021 heeft aangenomen.
‘Amazon biedt dit nieuwe modelcontract voor de zekerheid aan. In principe kun je bij hen namelijk aangeven dat je jouw data uitsluitend in Europa opgeslagen wil hebben. In noodgevallen kan het voorkomen dat Amazon jouw data toch tijdelijk buiten Europa brengt’, verduidelijkt ict-jurist Peter Kager.
Hij verwijst naar juni 2021 toen een nieuwe versie van het Europese modelcontract werd opgesteld. ‘Dat is het contract waarmee je persoonsgegevens eventueel buiten Europa (officieel de EER, Europese Economische Ruimte) kunt verwerken. Bijvoorbeeld in landen die niet zo’n strenge of andere privacywetgeving hebben.’ Het oude modelcontract kwam uit begin 2000.
‘Moetje’
Kager verwacht dat binnenkort ook andere leveranciers hun modelcontracten aanpassen. ‘Ik heb Microsoft nog niet voorbij zien komen, maar andere partijen zullen snel volgen. Het is een ‘moetje’ en eigenlijk vooral een administratieve handeling.’
Aanbieders van clouddiensten hebben tot eind 2022 de tijd om hun voorwaarden aan te passen. Wat feitelijk weinig anders inhoudt dan het vervangen van de oude naar de nieuwe tekst die door de Europese Commissie is aangeleverd. Volgens Kager moeten partijen alleen nog even hun huiswerk doen rondom de verschillende modules voor de varianten aan diensten waar de voorwaarden voor gelden. Kager merkt dat dit ook speelt onder de klanten van zijn adviesbureau ICTRecht.
Ook in de nieuwe variant van het modelcontract blijft het stallen van data in de VS een heikel punt. Strikt juridisch genomen kan de Amerikaanse overheid nog steeds onder voorwaarden data opvragen van burgers van buiten de VS als die data in de VS is opgeslagen. De Patriot Act biedt de Amerikanen die mogelijkheid, ook al is dat in strijd met de Europese AVG-wetgeving. ‘Daar verandert de nieuwe versie van dit modelcontract niets aan’, benadrukt Kager
In principe kun je aangeven dat jouw data uitsluitend in Europa opgeslagen wordt maar in noodgevallen kan het voorkomen dat jouw data toch tijdelijk buiten Europa opgeslagen wordt. Laat me raden, de overmachtclausule in het contract is het juridische gaatje wat gebruikt gaat worden om alsnog toegang te verkrijgen tot data? Want wat is tijdelijk en wie is er eigenlijk de eigenaar van een backup?