Torpederen Safe Harbor dwingt Europese bedrijven tot nadenken
12 oktober 2015 -
Het Europees Hof zette op 6 oktober 2015 een dikke streep door het Safe Harbor-verdrag tussen Europa en de Verenigde Staten. Een uitspraak met vergaande gevolgen, zo oordeelt Patrick de Goede van Eijk, Solutions Expert Security bij T-Systems Nederland.
"Niet alleen Amerikaanse cloudproviders, maar ook Europese bedrijven moeten zich nu flink achter de oren gaan krabben." De kern van het verdrag dat Europa in 2000 sloot met de Verenigde Staten, is dat de VS worden aangemerkt als een ‘veilige haven’ voor de opslag van Europese persoonsgegevens. Hierdoor was het vijftien jaar lang mogelijk om data die herleidbaar zijn naar Europese burgers op te slaan in een land waar de bescherming van persoonsgegevens minder goed is geregeld dan in Europa.
Geen veilige haven
Dat de Verenigde Staten geen ‘veilige haven’ vormen, was al langer duidelijk. Door de onthullingen van Edward Snowden weten we al enkele jaren dat Amerikaanse inlichtingendiensten door ‘onze’ gegevens grasduinen. "Ook is al enkele jaren bekend dat de zelfregulering van Safe Harbor een chaos is door het ontbreken van een externe toezichthouder," stelt De Goede van Eijk. "Honderden Amerikaanse bedrijven claimen gecertificeerd te zijn zonder te voldoen aan de voorwaarden, zoals het invoeren van een geldig privacybeleid."
Overwinning voor de privacy
Het besluit van het Europees Hof van Justitie om Safe Harbor ongeldig te verklaren, volgt op de rechtszaak die de Oostenrijkse student Max Schrems had aangespannen tegen Facebook omdat dit bedrijf Europese persoonsgegevens verwerkt op Amerikaanse servers.
Het besluit is een overwinning voor de privacy, zo oordeelt De Goede van Eijk. "Het arrest geeft aan dat we in Europa privacy – wat bij ons een mensenrecht is – belangrijk vinden. Amerikaanse bedrijven die persoonsgegevens van Europeanen opslaan, zullen voortaan gewoon moeten voldoen aan de Europese wet- en regelgeving. Het ongelimiteerd ‘stofzuigen’ naar data is voorbij."
Consequenties voor Europese bedrijven
Wel waarschuwt De Goede van Eijk dat het arrest niet alleen vergaande consequenties heeft voor Amerikaanse cloudproviders – die zich bij het opslaan van Europese persoonsgegevens niet meer kunnen beroepen op Safe Harbor – maar ook voor Europese bedrijven die gegevens opslaan in een ‘Amerikaanse cloud’. "Bijvoorbeeld retailers die de persoonsgegevens die zijn verbonden aan een klantenkaart opslaan op Amerikaanse servers hebben nu een probleem. Zij moeten heel goed nagaan of dat wel mag nu Safe Harbor ongeldig is verklaard."
Onder bepaalde voorwaarden mogen Europese persoonsgegevens namelijk nog steeds op Amerikaanse servers staan, zo begrijpen we van De Goede van Eijk. "De Amerikaanse cloudprovider zal met de landelijke privacywaakhonden – zoals het CBP in Nederland – afspraken moeten maken over hoe ze de privacy van gegevens gaan waarborgen." Een mogelijke oplossing om tot een ‘passend niveau van beveiliging’ te komen, is bijvoorbeeld het ‘anonimiseren’ of ‘pseudonimiseren’ van de data.
Eigen verantwoordelijkheid
Volgens De Goede van Eijk is het een eigen verantwoordelijkheid van bedrijven om na te gaan of er sprake is van zo’n ‘modelcontract’. "Wie hierin verzuimt, riskeert op basis van de Wet meldplicht datalekken vanaf 1 januari forse boetes tot 810.000 euro. Het is dan namelijk wachten op de eerste klant die roept ‘mijn gegevens zijn gelekt naar de NSA’, en het is dan aan het bedrijf dat de gegevens heeft verzameld om te bewijzen dat daar geen sprake van is. Wijzen naar de cloudprovider helpt dan niet meer."
Een andere optie die volgens De Goede van Eijk meer zekerheid biedt, is het verplaatsen van bijvoorbeeld klantdata naar ‘Europese servers’. Heel veel keuze hebben bedrijven dan overigens niet. "De Amerikaanse providers zijn samen goed voor 80 procent van de hostingservices wereldwijd."