Blog

Data-opslag in de cloud, privacy en wetgeving deel 2

De Verenigde Staten

Bedrijven die in Nederland zaken doen dienen te voldoen aan Nederlandse wet- en regelgeving op het gebied van bescherming van persoonsgegevens. Als diezelfde bedrijven ook zakendoen in de Verenigde Staten, hebben ze te maken met Amerikaanse opsporingsdiensten die andere bevoegdheden hebben om persoonsgegevens op te vragen. Die bevoegdheden gaan verder dan de Europese wetten en regels voor privacybescherming toestaan. Hoe om te gaan met dit spanningsveld?

In dit drieluik gaan we in op factoren die invloed hebben op de spelregels voor data in de cloud. De informatie komt uit het whitepaper dat wij met de juristen van Brandeis Advocaten maakten. Lees de eerste blog hier terug: grensoverschrijdende data. In dit tweede deel: de Verenigde Staten.

Door: Patrick Brand

Impact

De kans dat je met Amerikaanse opsporingsdiensten te maken hebt is groter dan je denkt. De mogelijkheden van deze diensten zijn geborgd in de USA Freedom Act. Deze wet richt zich in beginsel op Amerikaanse burgers en bedrijven, maar kan ook gevolgen hebben voor buitenlandse bedrijven die met Amerikaanse bedrijven samenwerken. De autoriteiten hebben de bevoegdheid om data van buitenlandse bedrijven op te vragen bij Amerikaanse (cloud)bedrijven die die data in beheer hebben. Die Amerikaanse autoriteiten kunnen daarbij ook nog eens afdwingen dat die bedrijven hier hun mond over te houden.

Achterpoortjes

Bedrijven als Google en Microsoft hebben clouds gebouwd in Europa, onder meer om data buiten het bereik van de USA Freedom Act te houden en op die manier Europese klanten tegemoet te komen. Dat heeft echter niet gewerkt. In maart 2018 zijn de bevoegdheden van de inlichtingendiensten namelijk nog eens verbreed met de Cloud Act. Data die Amerikaanse bedrijven buiten de VS beheren voor buitenlandse klanten moeten nu ook worden afgestaan aan de FBI of CIA als deze hierom vragen.

Om de zakenwereld niet te schaden zijn er afspraken gemaakt tussen de Europese Unie en de VS. Amerikaanse bedrijven kunnen zich sinds 1 augustus 2016 voor het zogenaamde Privacy Shield certificeren. Bedrijven kunnen zich aanmelden voor het programma en committeren zich daarmee aan een aantal strenge afspraken rond gegevensverwerking. Europese privacywaakhonden doen geen nader onderzoek naar Amerikaanse bedrijven die op het Privacy Shield programma aangesloten zijn.

Daarmee is de kous niet af, want het is best mogelijk dat de voorwaarden van Privacy Shield worden herzien aan de hand van maatschappelijke discussies over privacy. De Europese Commissie en groepen als Bits of Freedom zijn kritisch over het Privacy Shield. En het Privacy Shield zelf is een vernieuwing van het oudere Safe Harbor verdrag dat na een rechtsgang van een activist onvoldoende privacygaranties bleek te bieden. De kans bestaat dat dit ook met het Privacy Shield gaat gebeuren. Sommige afspraken uit het verdrag – zoals het aanstellen van een Amerikaanse ombudsman voor klachten van Europese bedrijven – zijn twee jaar na dato nog niet gerealiseerd.

Voor het bedrijfsleven lijken er genoeg opties om gegevens te stallen bij Amerikaanse cloudleveranciers. Het is echter maar de vraag of alle regelingen garanderen dat Amerikaanse inlichtingendiensten niet mee kunnen kijken. Bedrijven die absoluut niet willen dat er meegekeken wordt door de Amerikaanse overheid doen er verstandig aan uitsluitend gebruik te maken van een Europese cloudleverancier.

In blog drie van dit drieluik gaan we in op tips om te voldoen aan alle ‘cloudregels’. Meer juridische informatie vindt u in ons whitepaper: Dataprivacy: Risico’s, wet- en regelgeving & de reikwijdte van de VS. We schreven het samen met de juridisch specialisten van bureau Brandeis.

Neem contact op met ons.

;