Bedreigingen én kansen van data-privacy
Nederland stelt hoge eisen als het gaat om de privacy van zijn burgers. Begin dit jaar zorgde dit onderwerp er echter voor dat een Nederlandse minister in grote politieke problemen kwam. Plasterk overleefde het NSA kamerdebat in februari ternauwernood. Privacy was na de Snowden-onthullingen en NSA-schandalen al een onderwerp dat volop in de belangstelling stond, maar met het afluisteren van Bondskanselier Merkel is de discussie ook echt doorgedrongen tot de politieke arena.
De reden dat de Amerikaanse veiligheidsinstanties zo zwaar inzetten op het verzamelen van data, is nationale veiligheid. Na 9/11 staat het bestrijden van terroristische aanslagen hoog op de agenda. Terrorismebestrijding is ook de reden voor het ontstaan van de Patriot Act. Dit is een veelomvattende Amerikaanse wetswijziging uit 2001 op basis waarvan vergaande bevoegdheden zijn gegeven aan Amerikaanse overheden en opsporingsautoriteiten om terroristische aanslagen effectief aan te kunnen pakken. Via de Patriot Act krijgen autoriteiten in de VS in verband met de handhaving van de nationale veiligheid toegang tot gegevens in de cloud. De Patriot Act leidt in Europa tot de nodige onrust. Bedrijven maken zich zorgen over de veiligheid van hun data. Ze zijn bang dat Amerika, onder de noemer van de Patriot Act, willekeurig data bij hen kan opvragen en verzamelen.
Michael van den Assem
Het gevolg is dat bedrijven ertoe overgaan hun data weg te halen van Amerikaanse servers om ze vervolgens onder te brengen bij Europese cloud providers. In reactie hierop besluiten grote Amerikaanse cloud providers data van buitenlandse klanten en gebruikers buiten de VS op te slaan, en in te zetten op meerdere datacenters in meerdere landen verspreid over de wereld. De VS hebben ervoor gekozen terreur te bestrijden, maar men heeft er onvoldoende bij stilgestaan tot welke problemen dit zou leiden op het gebied van privacy- en databescherming. Voor Europa, dat op het gebied van cloud achterloopt op de Amerikaanse markt, betekent dit een belangrijke groeikans.
De reikwijdte van Amerika
De vraag is of door data onder te brengen bij Europese cloud providers, deze data wel veilig zijn en welke garanties dit biedt. Het is namelijk een misverstand dat er geen jurisdictie bestaat onder Amerikaans recht (lees: dat de Patriot Act niet van toepassing is) als de gegevens niet op Amerikaans grondgebied zijn opgeslagen. Zo kan een Europese cloud provider structureel activiteiten in de VS ontplooien, door daar bijvoorbeeld de hoofdvestiging te hebben. Ondanks dat de gegevens niet op Amerikaans grondgebied zijn opgeslagen, valt het daarmee toch onder de Patriot Act.
Daarnaast heeft de VS zogeheten bilaterale verdragen met Europese landen, op basis waarvan eveneens een verzoek tot inzage van data kan worden gedaan. Dit is de ‘gewone’ legale weg, zonder dat de VS zich beroept op de bijzondere, met een speciaal doel in het leven geroepen Patriot Act. Niet alleen de VS hebben bilaterale afspraken met andere landen. Dit geldt ook voor andere Europese landen. Het tumult rondom de Patriot Act voert de boventoon, maar in werkelijkheid ligt het dus genuanceerder. Vanwege de media aandacht lijkt het soms alsof gegevens ‘zomaar’ kunnen worden opgevraagd bij Europese bedrijven. Dit is niet het geval. Als er bijvoorbeeld een rechtshulpverzoek in Nederland binnenkomt die gepaard gaat met het opvragen van data, dan wordt dit eerst door justitie in Nederland getoetst. Want gegevens kunnen niet zomaar, zonder goede reden worden opgevraagd. Er moet altijd een grondslag zijn.
Nieuwe Europese Privacy Verordening
Het bestuderen van de Patriot Act gaat hand in hand met het bekijken van het geheel aan vergelijkbare regelingen in de nationale en Europese wetgeving. Er zijn zorgen in Europa over de toegang tot (cloud-)gegevens en deze zorgen houden nauw verband met de op het spel staande handelsbelangen. Die van de Amerikaanse industrie en die van Europese cloud-bedrijven. Door dit soort belangen, is het onvermijdelijk dat een deel van de informatievoorziening op het gebied van data-privacy gekleurd is. Men probeert bestaande zorgen weg te nemen of te bagatelliseren.
De Europese wetgever is bezig met een nieuwe privacy-wet en bezig regels op te stellen over de bescherming van gegevens van Europeanen in de cloud. Dit is ook nodig, gezien het feit dat de huidige privacywetgeving uit 1995 stamt. Officieel gaat het hierbij niet om de terugdringing van de ongebreidelde spionagepraktijken van de Amerikaanse NSA, maar dit initiatief is daar wel een direct gevolg van. Bedrijven als Google, Facebook, Microsoft en Yahoo hebben gelobbyd tegen de nieuwe Europese wet, omdat zij denken dat hun operationele activiteiten rondom dataverwerking met de nieuwe wet veel ingewikkelder, en dus duurder zullen worden. Desondanks komt de Europese Privacy Verordening eraan, naar verwachting in 2015. De verordening maakt organisaties zelf verantwoordelijk voor het bewaken van de privacy van persoonsgegevens. Zij moeten kunnen aantonen dat privacy over de gehele linie en in alle bedrijfsprocessen is geborgd. Daarbij moeten zij inzicht kunnen geven over hun manier van dataverwerking. Boetes voor schending van de privacy kunnen oplopen tot vijf procent van de jaaromzet van een bedrijf. Bedrijven doen er daarom verstandig aan nu al een Data Privacy Officer aan te stellen die de organisatie kan voorbereiden op de wetswijziging.
Kritiek
Hoewel de nieuwe initiatieven op het gebied van privacy-wetgeving voornamelijk lof oogsten, is er ook kritiek. Volgens hoogleraar Lokke Moerel, die op vrijdag 14 februari haar leerstoel aan de Universiteit van Tilburg aanvaardde met de rede Big data protection, leiden de rechten ten eerste niet tot meer bescherming en ten tweede staan ze maatschappelijk relevante innovaties met big data in de weg. Moerel pleit voor een Amerikaanse benadering, harm based. Pas als een dataverwerking schade berokkent, dan moet toestemming worden gevraagd aan betrokken individuen. Europa heeft een rights based aanpak. Dit houdt in dat de bescherming van data een fundamenteel recht is. Nu biedt de wetgeving ook goede rechten, maar er wordt vaak gesteld dat die in de praktijk met voeten worden getreden. In de VS zijn alleen bepaalde sectoren die met privacygevoelige gegevens werken, gereguleerd. Mocht daarbuiten een roep om regulering ontstaan, dan wordt alleen ingegrepen als er sprake is van een misstand waardoor schade wordt geleden. Moerel pleit voor dit beginsel van harm based, omdat dat in de praktijk, paradoxaal genoeg, vaak tot betere bescherming leidt.
Een ander bezwaar dat zij belicht, is dat de wetgevingsplannen big data-toepassingen belemmeren. Zo kan een bedrijf gegevens verzamelen, deze analyseren en op basis daarvan beoordelen of hiermee een nieuwe toepassing of dienst mogelijk is. Voor de verzameling van die gegevens moet er onder de nieuwe verordening een wettelijke grondslag zijn. Dat betekent in de meeste gevallen dat burgers of consumenten 'geïnformeerde toestemming' moeten geven. Maar volgens Moerel is het voor een bedrijf lastig deze toestemming te verkrijgen als nog niet bekend is waar het de data voor gaat gebruiken. Volgens Moerel zullen dit soort bepalingen in de verordening al met al een rem zetten op innovatie.
Privacy in het datacenter
Hoewel onafhankelijke datacenters zelf geen data verzamelen of data in eigendom hebben, worden er uiteraard innovaties gedaan op gebied van dataprivacy-oplossingen. Naast de vergaande fysieke beveiligingsmaatregelen, vinden er bijvoorbeeld vernieuwingen plaats op het gebied van encryptie, en keuzemogelijkheden om data lokaal op te slaan, al dan niet in combinatie met het verzenden naar de cloud. Op Europees niveau en ook in het datacenter gaat het om de goede mix van veiligheid, privacy en vertrouwen, met transparante technologie. Klanten van datacenters moeten kunnen bouwen op een veilig onderkomen van hun data.
Michael van den Assem is Algemeen Directeur van Interxion Nederland