Privacy shield ongeldig – weg met de Amerikaanse cloud!

Zat je deze zomer even niet op te letten, was er weer gedoe over de AVG / GDPR. Of eigenlijk over Privacy Shield. Dat werd ongeldig verklaard door de Europese rechter. Moeten we ons daar druk over maken? Jazeker, want het is nu echt tijd om afscheid te nemen van de Amerikaanse cloud.

Geschreven door Niels Huijbregts, voormalig privacy officer bij XS4ALL

TL;DR

Geen zin of tijd om het hele artikel te lezen? Hier is de korte versie. Als je volgens de AVG / GDPR verantwoordelijke bent voor de verwerking van persoonsgegevens en je slaat die gegevens op in de cloud van een Amerikaans bedrijf, dan moet je nu actie ondernemen.

En dan nu de lange versie. Eerst een beetje achtergrond

De Europese privacywet beschermt de persoonsgegevens van alle Europeanen, ook als die persoonsgegevens buiten Europa worden verwerkt. Dus als jouw gegevens door een Amerikaans bedrijf worden opgeslagen, dan moet dat Amerikaanse bedrijf zich aan de Europese wet houden.

Maar zo werkt het helaas niet: in de VS is de privacy veel minder goed beschermd dan in de EU. Geen gegevens die kant op dus. Daarom werd er iets bedacht om Amerikaanse bedrijven toch persoonsgegevens van Europeanen te kunnen laten verwerken: de Safe Harbor afspraken. Daarin stond dat Amerikaanse bedrijven zich netjes aan de Europese wet zouden houden bij de verwerking van gegevens van Europeanen. Maar die afspraken werden ongeldig verklaard omdat ze in de praktijk geen privacybescherming boden. Dankzij Snowden weten we bijvoorbeeld dat Amerikaanse opsporingsdiensten gewoon mogen rondsnuffelen in die persoonsgegevens, zonder de bescherming die daar volgens Europa bij hoort. Ondanks de afspraken dus.

De grote Amerikaanse techbedrijven vonden dat erg vervelend. Daarom kwam er een vervanging voor Safe Harbor: het Privacy Shield. Dat zou de Europese privacy wel goed beschermen. Maar ook die bescherming bleek dus onvoldoende. De Europese rechter oordeelde deze zomer dat ook het Privacy Shield de privacy van Europese burgers niet garandeert, omdat de VS gewoon geen veilig land is voor persoonsgegevens.

Kan ik dus geen Amerikaanse internetdiensten meer gebruiken?

Je Facebook kun je gewoon blijven gebruiken als je dat wilt – die persoonsgegevens verstrek je zelf, op basis van een overeenkomst tussen Facebook en jou. Maar als je een Amerikaanse cloud-provider gebruikt om bijvoorbeeld gegevens van jouw klanten op te slaan, moet je even heel goed opletten.

In zo’n geval ben jij verantwoordelijk voor de verwerking van de persoonsgegevens van je klanten, en is de cloud-provider een verwerker. Als het goed is heb je dan ook een verwerkersovereenkomst afgesloten met die partij. Je dacht dat alles daarmee netjes geregeld was, maar dat blijkt dus niet zo te zijn. Nu het privacy shield ongeldig is verklaard, mag je die gegevens waar jij verantwoordelijke voor bent, niet meer naar Amerika sturen.

En de Model Clauses dan?

Behalve het Privacy Shield was er nog een andere manier om afspraken te maken met Amerikaanse providers over de privacy. Die Model Clauses (ook wel Standard Contractual Clauses genoemd) zijn nog wel geldig, maar helaas heb je er niks aan. In die Clauses, opgesteld door de Europese Commissie, staat namelijk dat persoonsgegevens alleen kunnen worden overgedragen aan een Amerikaans bedrijf als dat bedrijf kan garanderen dat niemand anders kan meekijken in die gegevens. Cloud-providers kunnen dat niet garanderen omdat ze onder FISA vallen. Die Amerikaanse spionagewet zorgt ervoor dat Amerikaanse opsporingsdiensten nog steeds kunnen rondneuzen in de gegevens van bijvoorbeeld Amazon en Google. Ook de Model Clauses beschermen de privacy dus onvoldoende. Ik zei het al, maar ik zeg het gewoon nog een keer: Amerika is geen veilig land voor persoonsgegevens. En dat zal het – zeker onder deze president – voorlopig ook niet worden.

Dus geen AWS meer, of Azure, of Google cloud?

Nope. Als je gegevens waarvoor jij de verantwoordelijke bent, opslaat in een Amerikaanse cloud, moet je daar gewoon mee ophouden.

Wat moet ik dan?

Vergeet die Amerikaanse partijen en zoek een cloud-provider die gevestigd is in de EU.

Geschreven door Niels Huijbregts, voormalig privacy officer bij XS4ALL