Kennisportal
Kennisportal is een kennisplatform met een focus op de brede doelgroep Business en IT.

Privacy Shield geschrapt: hoe, waarom en wat nu?

Op 16 juli heeft het Hof van Justitie van de Europese Unie de veelbesproken overeenkomst EU-VS Privacy Shield ongeldig verklaard. Daarmee is nog eens onderstreept wat Europese experts al jaren beweren: organisaties die kiezen voor optimale privacy- en dataveiligheid, doen er verstandig aan om te kiezen voor Europese cloudaanbieders.

De Europese afkeuring van het Privacy Shield is een tegenvaller voor de Amerikanen, die in 2015 ook al de voorganger van de overeenkomst, Safe Harbor, onwettig verklaard zagen. De uitspraak van het Europese Hof betekent dat het Privacy Shield voor organisaties in de Europese Unie geen grond mag zijn om persoonsgegevens door te geven aan de Verenigde Staten.

Niet AVG-proof

Voornaamste reden voor de beslissing van het Hof is dat het AVG-beveiligingsniveau voor persoonsgegevens onvoldoende gewaarborgd is. Volgens de Amerikaanse wetgeving hebben de autoriteiten in de VS het recht om gegevens van EU-burgers in te zien en te gebruiken; een recht dat heel wat verder gaat dan alleen noodzakelijke gegevens. De European Data Protection Board (EDPB) onderzoekt nu welke praktische gevolgen de uitspraak van het Hof heeft en wat eventuele vervolgstappen kunnen zijn.

Twijfels en scepsis

Het Privacy Shield heeft vanaf het begin onder vuur gelegen, met name vanwege die bedreiging van de privacy. Zo vroegen sommige experts zich af in hoeverre bepaalde onderdelen van het verdrag in de praktijk nageleefd zouden gaan worden. Daarnaast werd er getwijfeld aan de controleerbaarheid: hoe weet je zeker dat partijen zich houden aan de gemaakte afspraken? Ook de belofte van de Amerikanen dat ze geen ‘grootschalige surveillance’ zouden toepassen op de uitgewisselde gegevens wekte scepsis – zeker omdat de Amerikaanse wetgeving voor terrorismebestrijding nog steeds van kracht is. Al met al was eigenlijk iedereen het er wel over eens dat het Privacy Shield vooral schijn-privacy zou bieden.

Wat is wijsheid?

Nu er definitief een streep door het verdrag is gezet, zouden we kunnen zeggen: beter geen overeenkomst dan een slechte overeenkomst. Maar intussen blijft natuurlijk de vraag overeind of het wijs is om privacygevoelige data toe te vertrouwen aan partijen die hun cloudservers in de VS hebben staan. Wat gebeurt er precies met je informatie, zeker zolang er geen internationaal verdrag met duidelijke regels bestaat? De juridische onzekerheid blijft groot.

Bij het selecteren van een cloudpartij is het ook nog belangrijk om erop te letten wie de eigenaar is van het datacenter. Als een in Europa gevestigd datacenter een Amerikaanse eigenaar heeft, valt het formeel namelijk nog steeds onder de Amerikaanse toezichtwetgeving. Zo kan er een lastige spagaat ontstaan, want elk datacenter op Europese bodem valt ook onder de AVG. En los daarvan: als een in Europa gevestigd datacenter van een Amerikaanse eigenaar uitvalt, waar gaat je data dan naar toe?

Nog een punt om bij stil te staan: er zijn cloudaanbieders van buiten de Europese Unie die de mogelijkheid bieden om je data op te slaan in Europa. Dat mag zonder extra maatregelen, zolang er maar geen dataverwerking buiten de EU plaatsvindt. Maar dan moet je er wel heel alert op zijn dat er via de partijen die jouw data verwerken niet toch gegevens worden doorgegeven naar buiten de EU. Dat kan bijvoorbeeld al aan de orde zijn als er een buiten de EU gevestigde helpdesk meekijkt in je systeem. Waakzaamheid is dus geboden, ook als het gaat om de onderaannemers die door je dataverwerkers worden ingeschakeld.

Neem het zekere voor het onzekere

Zolang er geen waterdicht verdrag op tafel ligt waarin nakoming van de AVG op alle punten gewaarborgd wordt, lijkt het absoluut verstandig om te kiezen voor Europese servers, met lokale gegevensopslag. Dat is de beste manier om je ervan te verzekeren dat privacygevoelige data niet zomaar kan worden geraadpleegd door de NSA en andere Amerikaanse diensten. En omdat de VS en Europa zo fundamenteel verschillend staan tegenover de privacyrechten van burgers, zal dat de komende jaren zeker nog wel zo blijven.

Het besluit van het Europees Hof spreekt zeker ook in het voordeel van Previder en onze datacenters. Dat zien we terug in de groei van onze datacenter- en clouddiensten over de afgelopen jaren. Maar juridische beweegredenen zijn niet de enige argumenten om te kiezen voor een Europees datacenter. De meeste organisaties vinden het prettig om te weten met wie ze zaken doen, waar hun data staat en hoe de zaken door ons zijn geregeld. Dat vertrouwen is waarschijnlijk minstens zo belangrijk.