Hoe veilig zijn mijn gegevens in de Cloud?

Er bestaan veel twijfels over de privacy van onze data die in de Cloud staan. En die onduidelijkheid komt omdat de regelgeving omtrent de privacy nog een aantal moeilijkheden kent. Zo was er geen wereldwijde uniformiteit en waren er dus geen algemeen geldige wetten die deze privacy beschermen. Sinds 2 februari is er een nieuwe regelgeving “EU-US Privacy Shield”.

De wetgeving over de privacy van data is anders in de Europese Unie dan in de Verenigde Staten. Binnen de Europese Unie wordt privacy gezien als een fundamenteel recht en gelden er strenge regels voor het omgaan met persoonsgegevens. Elke lidstaat van de EU heeft hun lokale wetgeving omtrent deze privacy op elkaar afgestemd. Hierdoor zullen bedrijven binnen de EU er alles aan doen om aan deze regels te voldoen zodat de data veilig staat. Binnen de VS is deze regelgeving anders en veel flexibeler. Binnen de VS bestaat er geen algemeen aanvaarde wetgeving rond privacy, maar zijn er beperkte sectoriale wetten. Hierdoor kan bijvoorbeeld de overheid in de VS gegevens opeisen.

Safe Harbor: Europese data in een Amerikaans datacenter

Om het mogelijk te maken voor Europese bedrijven om data op te slaan in de VS was er 15 jaar geleden een overeenkomst afgesloten tussen de EU en de VS onder de naam “Safe Harbor”. Hiermee worden Amerikaanse bedrijven verplicht om zich te houden aan de strenge Europese regels betreffende de privacy van persoonsgegevens.

Dit framework werd na jarenlange onderhandelingen tussen de VS en EU aangenomen en bestaat uit een aantal mechanismen van zelfcertificering en zelfbeoordeling die Amerikaanse bedrijven moeten naleven. Eenmaal ze aan deze voorwaarden voldoen, worden zij geacht het adequate beschermingsniveau aan te bieden dat in de Europese lidstaten wordt gegarandeerd.

Maar op 6 oktober 2015 verklaarde het Europese Hof dat de Safe Harbour-overeenkomst als onrechtmatig werd beschouwd. Hierdoor konden Europese organisaties geen beroep meer doen op deze overeenkomst wanneer ze persoonsgegevens opgeslagen hadden in de VS. Dit resulteerde in het feit dat Europese bedrijven niet meer voldeden aan hun eigen, lokale wetgeving. Met andere woorden, er konden boetes opgelegd worden aan Europese organisaties die wél nog gegevens in de VS opgeslagen hadden.

Waarom stond “Safe Harbor” zo onder druk?

Doordat een aantal klokkenluiders aan de alarmbel trokken (o.a. Edward Snowden), bleek hoe persoonsgegevens in handen van Amerikaanse bedrijven misbruikt konden worden in “mass surveillance”-programma’s van de Amerikaanse overheid, zelfs al waren de gegevens, ontvangen in de VS, Safe Harbor-gecertificeerd.

Deze onthullingen hebben gezorgd voor de groeiende kritiek op dit framework. Deze kritiek resulteerde in maart 2014 tot een opschorting van het Safe Harbor-framework door het Europese Parlement.

Reactie van Microsoft op de uitspraak van het Europese Hof

Toen in maart 2014 het Europese Parlement de overeenkomst opgeschort had, is Microsoft meteen beginnen zoeken naar een alternatieve oplossing voor de veiligheid van de persoonsgegevens. Hierbij sloot MS als eerste grote Cloud-provider, een aanvullende overeenkomst af met de Article 29 Working Group. Dit is een werkgroep van alle commissies ter bescherming van persoonsgegevens van alle EU lidstaten.

Daarnaast verzet Microsoft zich tegen opvragingen van de Amerikaanse overheid als het gaat om de data die fysiek binnen de EU opgeslagen is. Brad Smith, Chief Legal Officer bij Microsoft is voorstander van de bescherming van persoonsgegevens op onze Europese manier. Hij vertelde in een artikel van 20 oktober dat privacy een fundamenteel recht is van de mens.

2 februari 2016: EU-US Privacy Shield

Sinds 2 februari 2016 hebben de VS en de EU een vernieuwd akkoord aangaande Safe Harbor bekend gemaakt onder de naam ‘EU-US Privacy Shield’. Door de uitspraak van maart 2014 werden de betrokken partijen gedwongen om rond de onderhandelingstafel te zitten om zo snel mogelijk tot een oplossing te komen.

De hoofdlijnen van deze nieuwe overeenkomst zijn de volgende:

  • Amerikaanse bedrijven die gegevens van Europeanen verwerken zullen strengere verplichtingen moeten nakomen. Daarnaast zullen bedrijven verplicht zijn te voldoen aan beslissingen die door Europese privacy toezichthouders worden genomen.
  • De Amerikaanse overheid wordt verplicht om op een heldere manier duidelijk te maken indien ze toegang heeft tot persoonsgegevens van Europese burgers aan de hand van waarborgen en verplichtingen met betrekking tot transparantie.
  • Bedrijven krijgen deadlines om te reageren op klachten en kunnen deze klachten ook doorverwijzen naar de U.S. Federal Trade Commission. Voor specifieke klachten met betrekking tot de mogelijke toegang van de Amerikaanse overheid zal een ombudsman ingesteld worden. Deze regels zullen de Europese burgers beschermen & zal voor diverse beroepsmogelijkheden zorgen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *