‘Om ervoor te zorgen dat je gegevens daadwerkelijk beschermd zijn, moet je de hele keten controleren of er niet alsnog ergens een Amerikaanse link is.’ De Duitse ‘Vergabekammer’, het officiële toezichtorgaan op publieke aanbestedingen heeft een cloudaanbesteding vernietigd omdat deze in strijd is met Europese privacywetgeving.
Wie op een openbare aanbesteding wil inschrijven, kan daarvoor geen gebruik maken van Europese dochterbedrijven van Amerikaanse clouddiensten, zelfs als de cloud-servers in Europa staan, en zelfs als databeschermingsclausules worden toegepast. Voor videohosting is er inmiddels een Nederlands antwoord: Jet-Stream, de uitvinders van streaming.
In Nederland is er een initiatief om een Europese cloud te bouwen voor videostreaming, dat inmiddels 80% van het internetverkeer beslaat. De Europese toezichthouder EDPS gebruikte het platform van Jet-Stream al, na een succesvolle audit.
Tender
De winnaar van een Duitse tender wilde gebruik maken van diensten van een Europese dochteronderneming van een bekende Amerikaanse cloudleverancier. Hiertegen werd met succes bezwaar gemaakt door een andere leverancier, die wel investeringen deed om gegevens binnen de EU op te slaan, maar dan zonder enige juridische of technische link met Amerikaanse leveranciers.
Risico op datadeling
Volgens de kamer is er een “latent risico dat een ongeoorloofde overdracht van persoonsgegevens kan plaatsvinden”. De oorzaak hiervan ligt in de Amerikaanse Cloud-wet, die verregaande toegang tot gegevens afdwingt, en prevaleert boven private clausules over databescherming tussen partijen. Er volgt hoger beroep.
Op 16 augustus 2022 heeft het Nationaal Cyber Security Centrum op verzoek van de Nederlandse Overheid een memo vrijgegeven over de toepassingen van de Cloud Act op EU-entiteiten. EU-entiteiten kunnen binnen de werksfeer van de Cloud Act vallen, zelfs wanneer zij buiten de Verenigde Staten gevestigd zijn. In geen enkel geval mag de EU-entiteit een moederbedrijf in de VS hebben, aangezien het moederbedrijf zou worden geacht in het bezit te zijn van of zeggenschap te hebben over de gegevens van zijn dochteronderneming.
Grote gevolgen
De beslissing kan grote gevolgen hebben voor de bestaande samenwerking van Europese afnemers van Amerikaanse technologieaanbieders en hun Europese groepsmaatschappijen.
Het feit dat een bieder wordt uitgesloten van een complexe aanbestedingsprocedure omdat hij gebruik maakt van een dochteronderneming van een Amerikaanse leverancier “kan een aanzienlijke impact hebben op het toekomstige ontwerp en de uitvoering van aanbestedingsprocedures”, aldus advocatenkantoor Gruendelpartner, dat de uitspraak bestudeerde.
Databescherming is bedrijfsbelang
“Databescherming is in je eigen belang: je wil bijvoorbeeld niet dat bedrijfsgevoelige gegevens in handen van derden terecht komen. Al die gegevens zitten in je logs en statistieken”, zegt Stef van der Ziel, directeur van het Nederlandse streamingbedrijf Jet-Stream.
“De uitspraak bevestigt onze overtuiging dat je bij inkoopprocedures niet meer voorbij kan gaan aan databescherming. Het is de wet, en ook in je eigen belang, om gegevens te beschermen. Private clausules tussen partijen zijn onvoldoende. Werken met Europese leveranciers is ook onvoldoende Je moet de hele keten controleren of er niet alsnog ergens een Amerikaanse link is.”
Europese cloud voor video
Jet-Stream lanceert daarom een eigen Europese streaming cloud, waarmee zakelijke klanten zoals omroepen, uitgeverijen, evenementen en bedrijven professioneel live tv en radio kunnen streamen, en videodiensten zoals Netflix op kunnen uitrollen, met garantie dat hun media en hun gegevens zijn beschermd en er geen enkele juridische en technische link met Amerikaanse leveranciers is.
“Hosting, live streaming, encoderen, statistieken en de video player; alles zit in de beveiligde cloud, die in Nederlandse handen is, en in de Europese zone staat. We beschermen het publiek en de zakelijke belangen van onze klanten met Jet-Stream Cloud”, aldus van der Ziel.
EDPS audit
EDPS, de Europese Data Protection Supervisor die erop toeziet dat Europese instituten zich aan de eigen databeschermingswetgeving houden, heeft onlangs haar jaarlijkse privacy conferentie via Jet-Stream Cloud gestreamd. Daartoe heeft EDPS een onafhankelijke databeschermingsaudit op het Jet-Stream platform uit laten voeren, met succes.
Jet-Stream Cloud wordt op 9 september gelanceerd, tijdens de International Broadcast Convention (IBC), in de RAI, Amsterdam.
