Eurocommissaris Viviane Reding heeft gedreigd om de Safe Harbor status van Amerikaanse online dienstverleners in te trekken, vanwege hun rol in het afluisterschandaal rond de NSA. Analyses hebben uitgewezen dat Safe Harbor niet veilig is. Dit is een goede ontwikkeling. Opschorting van Safe Harbor kan een geweldige stimulans zijn voor de bescherming van de privacy en voor de Europese cloudindustrie.
De Safe Harbor-regeling maakt het voor Amerikaanse bedrijven mogelijk om privacygevoelige Europese data op te slaan. Door zich te committeren aan zeven privacy principes, krijgen zij toestemming van de EU om hun diensten in Europa aan te bieden en de gegevens buiten de EU op te slaan.
Maar als bedrijven gegevens uit de EU toegankelijk maken voor NSA-afluisterprogramma’s zoals Prism voldoen ze niet aan drie van deze zeven eisen binnen het Safe Harbor-akkoord. Het gaat hier om de verplichte notificatie (Notice) over het verzamelen van informatie; het vragen van toestemming (Choice) om informatie te verzamelen en het principe van geen overdracht naar derde partijen (Transfers to Third Parties). Dat mag alleen als deze derde partijen zich ook aan Safe Harbor hebben verbonden – en dat heeft de NSA niet. Dit gebrek wordt alleen maar ernstiger als je bedenkt dat wij als Europese burgers geen enkele mogelijkheid hebben om inbreuken op onze privacy voor een Amerikaans gerechtshof aan te vechten.
Als bedrijven niet voldoen aan Safe Harbor, moet de Europese Commissie de consequentie trekken en die status intrekken. En dat betekent dat privacygevoelige data van Europese bodem simpelweg niet langer door bijvoorbeeld Microsoft en Google mag worden opgeslagen. Omdat de Europeanen nog op uitleg over de spionagepraktijk zitten te wachten is de situatie op dit moment nog onduidelijk, maar Europa heeft een machtig wapen in handen tegen de Amerikaanse datagraaierij.
Er is een zeer grote kans dat Amerikaanse bedrijven ook tegen de zomer van 2014 – de door de Europese commissie opgelegde tijdslimiet – niet aan de Safe Harbor-principes zullen kunnen
voldoen. Alhoewel nu ook grote Amerikaanse bedrijven hun economische belang aan het verdedigen zijn, door tegen de overmatige overheidsspionage te protesteren, is de verwachting dat de NSA en de Amerikaanse regering hun beleid niet gaan aanpassen. Integendeel, het is waarschijnlijker dat additionele clouddiensten zoals Twitter en het veel gebruikte Amazon Web Services gedwongen zullen worden toe te treden tot Prism of op een andere manier gegevens moeten gaan leveren aan de NSA. En zolang programma’s als Prism bestaan, is voldoen aan Safe Harbor onmogelijk voor Amerikaanse bedrijven.
Amerika heeft hiermee een eigen doelpunt gescoord. Door toe te staan dat de NSA Amerikaanse bedrijven volstrekt onbetrouwbaar maakt voor niet-Amerikaanse gebruikers, geeft ze andere landen de kans en de noodzaak om de eigen cloudindustrie serieus te ontwikkelen. Nu al zien we duidelijk dat de omzetten in Amerika teruglopen, ten gunste van leveranciers in onder meer de EU.
Bovendien zijn politieke en bestuurlijke instituties in heel Europa nu gedwongen tot actie over te gaan en te kiezen voor betekenisvolle en strenge bescherming van de privacy van gebruikers van clouddiensten. Daarvan kan vervolgens een aantrekkelijk internationaal verkoopargument worden gemaakt om te kiezen voor Europese aanbieders. Bovendien moeten Europese uitgaven aan ict worden omgebogen naar leveranciers die niet vatbaar zijn voor de datagraaierij van de NSA, wat de omzetten binnen de EU vergroot. De eerste stap daarvoor is het opschorten van Safe Harbor.
Hoe onpraktisch het ook is, kan ik wel meegaan in de redenering, al zie ik het niet gebeuren dat deze soep zo heet gegeten wordt als dat ie wordt opgediend.
Daarnaast schuilt het gevaar dat Europa heel hard gaat brullen, maar als het erop aan komt pijnlijk duidelijk wordt dat de EU weinig tot niets in de melk te brokkelen heeft.
Stel: EU trekt de Safe Harbor certificering in. Daarmee zijn bijvoorbeeld veel NL bedrijven in overtreding omdat zij diensten van deze bedrijven blijven afnemen. EU kan dit niet handhaven waardoor het een gedoog beleid wordt. Conclusie : EU heeft nagenoeg geen invloed en leidt gezichtsverlies.
Om het maar eens mooi te quoten:
“Better to remain silent and be thought a fool than to speak out and remove all doubt.” -Abraham Lincoln
Volgens mij was het al enige tijd bekend dat Safe Harbor overeenkomst geen enkele garantie bood, onze Oosterburen hadden tenminste direct al begrepen. Dat nu politieke roeptoeters – nadat Snowden de bel hierover luidde – alarmhoorn blazen is teleurstellend. Gebruikelijke modus operandi dus want in hoeverre is onze privacy nog te beschermen nadat diezelfde roeptoeters heel volgzaam alle informatie geleverd hebben die gevraagd werd?
Stellen dat Amerikaanse bedrijven onbetrouwbaar zijn lijkt me populistisch als de Europese tegenhangers niet veel beter zijn. Roeptoeters uit Brussel beloven ons tenslotte gouden bergen met Big Data, de hype die grotendeels gebaseerd is op data mining van privacy gevoelige informatie. En laten we niet vergeten dat onze eigen overheid zich even goed schuldig maakt aan inbreuk op onze privacy.
Ik ben een beetje bang dat dit een totale non-discussie is.
NSA vs Patriot Act
NSA hackt naar believen en heeft volkomen lak aan wie daar iets van vind. Er is geen enkele entiteit die op eniger wijze inzichtelijk kan maken welke data NSA heeft ‘geharvest’ als alleen wat er tot nu toe door, bijvoorbeeld Snowden, openbaar is gemaakt. Wat we wel uit de presentaties van Snowden mogen opmaken is dat geen enkele data veilig is gebleken. Dus waarom daar nog over filosoferen?
Patriot Act stelt helder en onomwonden dat data op VS grondgebied integraal en volledig inzichtelijk moet zijn voor de overheidsdiensten van de VS. Dit even in een eenvoudige zin vervat. Daarnaast zijn er in staten van de VS ook regeltjes en wetten die stellen dat wanneer idee, scheme, techniek van een product of data meer dan x% Amerikaanse techniek bevat, (geld voor hard en software) dit exclusief Amerikaans materiaal word gezien. Even handig dit in de marge te vermelden als we het hebben over octrooi-eerbaar materiaal of idee, die misschien daar word ‘geparkeerd’ (Lang leve cloud)
Sec betekend dit dat wanneer een overheids entiteit daar wappert met om het even welke PA wet/regel, de datacenterbaas daar gewoon verplicht is gehoor te geven aan elk verzoek tot toegang tot data. Ik kan u vertellen dat Amerikaanse datacenter beheerders dit heel volgzaam zonder morren doen. Stapje verder, ‘I kid you not…’, hebben diezelfde beheerders alle middelen in handen u daar niet eens van op de hoogte te hoeven stellen.
EU retoriek overtollige lege retoriek
elke discussie over de vraag of EU data ‘safe’ in de VS kan worden opgeslagen? Vast wel. Maar of die data exclusief inzichtelijk is voor de eigenaar van die data? Ik kan u met een gerust hart antwoorden….
Not in a million light years!
Alles wat in het artikel word ‘gebracht’, met alle Respect voor de auteur, is non informatie en nietszeggende en waardeloze politiek. Maar we weten van Nederlandse/EU politiek dat die in meer dan 75% nietszeggende onzin is die alleen maar kost, niets oplevert.
Als laatste
De meeste ‘slachtoffers’ van de NSA weten niet eens dat zij slachtoffer zijn en dat er ‘specifieke’ data van hen al bij de NSA staat gestald. Daarmee alleen al word dit een non-discussie.
C’est la vie
Nou ja @NumoQuest, een non discussie is het niet, is het nooit overigens. Je realistische gedachte of de discussie iets (waarschijnlijk niets) zal veranderen snap ik. Toch is het goed dat men hier over nadenkt.
Je data goed beschermd en binnen het EU rechtssysteem opslaan en vervolgens toch gehackt worden vind ik persoonlijk voor bepaalde typen data toch beter dan het bij voorbaat al kritiekloos ter beschikking stellen aan een US cloud dienst met de wetenschap dat de NSA en via die weg mogelijk de Amerikaanse concurrent kan meekijken zonder dat je dit ooit zal weten.
En ja @Ewout Dekkinga, de Nederlandse overheid doet natuurlijk vrolijk mee, maar daar hebben wij, indirect en op de lange termijn als kiezer, direct via de rechter, wel invloed op. Dat is toch een belangrijk verschil.
Beste Bart,
Ik bedoelde met mijn statement dat de hele discussie een wassen neus is. We weten dat veel uit Brussel domweg een wassen neus is en je kunt babbelen tot je een ons weegt natuurlijk. Feit blijft gewoon dat we wete dat…
a: De NSA alle middelen tot haar beschikking heeft om bij data in Europa te kunnen
b: Niemand weet welke data de NSA zoal al heeft ‘geharvest’.
Als het puntje werkelijk bij paaltje komt dan zwichten incompetente en impotente Brusselse lieden voor de VS. Dat hebben Balkenende, Bos en Eurlings eerder al gedaan en dat beleid word gecontinueerd door Rutte en co.
In een eerder bericht in computable vernam ik dat Amerikaanse bedrijven rustig in en met het EPD van ziekenhuizen mogen vormgeven waar geen enkele overheid vraagtekens bij durft te zetten.
Vandaar mijn opmerking een non-discussie. Je kunt wel willen blijven praten maar dat moet dan wel nut hebben. Van het initiele geshetste beeld van een ‘Fortress Europe’, waar Brussel in den beginnen zo vaak mee heeft geschermd, is nooit iets wezenlijks terecht gekomen.
Iets anders dan een een economisch clubje blijkt het niet te kunnen worden in met Europa. Klaarblijkelijk.