Innovatie & Strategie

Cloud
vertrouwen

Office-clouds versus AVG: interpretatie en vertrouwen

Zweedse conclusie dat office-clouds niet AVG-proof zijn, lijkt niet universeel van toepassing.

© Shutterstock
1 maart 2019

Zweedse conclusie dat office-clouds niet AVG-proof zijn, lijkt niet universeel van toepassing.

In Zweden speelt nu voor overheidsinstanties het praktische probleem dat zij juridisch gezien geen gebruik kunnen maken van office-clouds. Zulke web-based office-diensten, die online-tekstverwerkers maar ook webmail en tekst- of videochatsystemen omvatten, voldoen volgens de nationale aanbestedingsdienst namelijk niet aan de AVG. Geldt dit dan ook voor Nederland? AG Connect vraagt het na bij Nederlandse juristen.

ICT-jurist Arnoud Engelfriet antwoordt dat het veel te kort door de bocht is, om nu te concluderen dat office-clouds niet stroken met de AVG. “De kern is dat men in de VS de CLOUD Act heeft, die Amerikaanse bedrijven dwingt tot afgifte van data die in het buitenland opgeslagen is. Maar dat geldt niet voor Europese dochters, die vallen immers gewoon onder de GDPR”, antwoordt hij op vragen van AG Connect.

Passend beschermingsniveau

“Dus als je met Microsoft in Ierland of Duitsland zaken doet, dan valt dat buiten de CLOUD Act. Bovendien zijn die bedrijven verplicht hun data goed te beveiligen tegen ongeautoriseerde toegang en mogen ze van de GDPR niet meewerken aan een bevel van een buitenlandse mogendheid om deze data af te geven.”

Ook volgens privacy- en ICT-advocaat Thomas van Essen, partner bij SOLV, wordt de soep niet zo heet gegeten. “Voor zover uit het rapport kan worden afgeleid (het is alleen in het Zweeds beschikbaar) meent de National Procurement Services (de Zweedse Nationale Aanbestedingsdienst) dat de clouddiensten van (Amerikaanse) leveranciers geen passend beschermingsniveau bieden. Dit omdat Amerikaanse veiligheidsdiensten op basis van Amerikaanse surveillancewetten te makkelijk bij de data zouden kunnen. Dit betekent echter niet (direct) dat opslag van persoonsgegevens in de VS nu opeens verboden is.”

Twee opties

Hij legt uit dat de hoofdregel onder de AVG is dat een organisatie persoonsgegevens alleen mag doorgeven naar derde landen (buiten de Europese Economische Ruimte, EER) die een passend beschermingsniveau hebben. “Voor opslag in de VS betekent dit concreet dat 1) de ontvangende partij in de VS zich op grond van het EU-VS Privacy Shield moet hebben gecertificeerd, of 2) de ontvangende partij in de VS de modelcontracten (standard contractual clauses) van de Europese Commissie heeft getekend.”

Deze twee opties maken het vooralsnog wel mogelijk om in lijn met Europese privacyregels aan datadoorgifte te doen, legt Van Essen uit. Het gebruik van zogenaamde office-clouds zou dus wel AVG-compliant zijn. Tenminste, “totdat de Europese Commissie dan wel de hoogste Europese rechter (het Hof van Justitie van de Europese Unie) anders oordeelt”. Dat kan een kwestie van tijd zijn. “Het Ierse High Court heeft al een aantal prejudiciële vragen gesteld aan het Hof van Justitie met betrekking tot de rechtsgeldigheid van de modelcontracten”, geeft Van Essen aan.

Safe Harbor en Patriot Act

Hij legt hierbij ook de link met de zaak Schrems. Eerder heeft privacy-activist Max Schrems namelijk al bewerkstelligd dat het Safe Harbor verdrag (voor datadoorgifte tussen de EU en VS) ongeldig is verklaard door het Hof. “Dit leidde uiteindelijk tot de totstandkoming van het Privacy Shield.” Van Essen stelt dat het nu voor gebruik van office-clouds en de AVG “in ieder geval nog niet zover is”.

Menno Weij, tech-ervaren legal counsel bij BDO, heeft een subtiel andere duiding. Hij noemt deze kwestie “oude wijn in nieuwe zakken”. De CLOUD Act is volgens hem een herhaling van zetten met voorgaande Amerikaanse wetgeving: “De discussie speelde ook bij de Patriot Act destijds.” Hij ziet de CLOUD Act als opvolger van de Patriot Act. “Die wetgeving voldoet niet aan de GDPR-standaard.”

VS- of EU-entiteit?

Daarmee is de kous echter niet af. Weij vervolgt: “Maar de vraag is: met wie heb je die services afgesloten? Indien met een Amerikaanse entiteit provider, dan is het niet-compliant, want die Amerikaanse provider is aan de CLOUD Act gebonden. Maar indien met een EU-entiteit, is het nog maar de vraag.”

“Die EU-er is immers níet gebonden aan de CLOUD Act. Dan is het meer een kwestie van de interne verhoudingen tussen de Amerikaanse en Europese entiteiten. Als in: kan de Amerikaanse provider afdwingen dat de Europese aanbieder moet meewerken indien de Amerikaanse entiteit onder de CLOUD Act iets moet doen met EU-persoonsgegevens?”

Vatbaarheid

Indien dit verschillende bedrijven zijn, valt er mogelijk meer op te vertrouwen dat de Europese partij zich strikt aan de EU-regels houdt en zich niet stoort aan de Amerikaanse wetgeving. Tegelijkertijd kan die Europese aanbieder ook actief zijn in de VS en daarmee dus wel ‘vatbaar’ zijn voor wet- en regelgeving daar. Bovendien speelt er nog de machtsverhouding tussen de Amerikaanse en de Europese entiteiten.

En wat te denken als het om één en hetzelfde bedrijf gaat? Microsoft VS versus Microsoft Ierland? De één valt toch echt onder de ander. Zo’n 7 jaar geleden (in januari 2012) heeft softwarereus en cloudaanbieder Oracle al geclaimd dat zijn cloudaanbod ongevoelig was voor de Patriot Act. Waarom? Omdat Oracle een internationaal bedrijf is, aldus een topman van het bedrijf dat is opgericht en qua hoofdkantoor is gevestigd in de Verenigde Staten.

Deze cloudpromotende topman is toen in zeer kort tijdsbestek echter teruggefloten door zijn werkgever. De mooie marketingtaal was juridisch natuurlijk niet houdbaar. Oracle heeft verklaard dat het als Amerikaans bedrijf wel degelijk gehoor moet geven aan vorderingen onder de antiterrorisme wetgeving van de Patriot Act. Dit geldt ook voor zijn dochterondernemingen, stipte Oracle toen ook aan.

Duitse oplossing?

De huidige ICT-industrie, inclusief de markt voor clouddiensten, is grotendeels gedomineerd door Amerikaanse aanbieders. En daar zit nu dan ook de kern van de Zweedse zorg. De huidige marktleiders op het gebied van office-clouds zijn uiteindelijk Amerikaanse firma’s: met Microsoft en Google als de grote namen.

Het kritische rapport van de Zweedse aanbestedingsdienst voor overheidsinstanties belicht ook ontwikkelingen in andere landen. Zo wordt de huidige Bundescloud van Duitsland genoemd: een online-dienst voor het delen van documenten. Deze cloud is gebaseerd op het open source NextCloud en moet dit jaar aanvullende functionaliteit bieden voor kantoortoepassingen. Dit omvat tools voor tekstverwerking, spreadsheets, presentaties, chat en videoconferencing. De Bundescloud voldoet aan de AVG én aan Duitse wetgeving voor databescherming en geheimhouding.

Lokale wetgeving en de cloudwet

Maar naast uitwijken naar een eventuele Duitse oplossing speelt er nog een belangrijke nuance. De Amerikaanse CLOUD Act, waar Zweden nu over valt, bevat zelf nog een detail wat de Zweedse zorg zou moeten sussen. De datavorderingswet heeft namelijk een clausule die stelt dat lokale wetgeving voor databescherming wel gerespecteerd moet worden. Dit betreft dan de wetgeving van het land waarin data is opgeslagen. De AVG zou dus een borging zijn.

Deze kritieke nuancering in de CLOUD Act is echter tot op heden niet aan de praktijk getoetst. De hoog opgelopen rechtszaak tussen Microsoft en het Amerikaanse ministerie van Justitie over een vordering voor data opgeslagen in Ierland heeft geen soelaas gebracht. Nadat dit juridische conflict het Hooggerechtshof in de VS heeft bereikt, is het echter op niets uitgelopen.

Die hoogste gerechtelijke instantie in de VS heeft zich uiteindelijk niet over de zaak uitgesproken simpelweg omdat er ineens geen zaak meer was. Microsoft en Justitie zijn er namelijk in april vorig jaar alsnog uitgekomen, dankzij de vers aangenomen CLOUD Act. Justitie heeft een nieuwe datavordering opgesteld en overhandigd aan Microsoft, die daar gehoor aan heeft gegeven.

Kwestie van tijd, en vertrouwen?

De opgeëiste e-mails plus accountinformatie van een verdachte in een drugssmokkelzaak zijn alsnog overhandigd, in lijn met de toen-nieuwe wetgeving hiervoor. Daarna is in mei 2018 echter de AVG van kracht geworden. Het is nu dus wachten op een volgende vordering vanuit de VS, om de CLOUD Act versus de AVG te toetsen? En ondertussen vertrouwen op bestaande internationale privacy-overeenkomsten en modelcontracten?

Lees meer over Innovatie & Strategie OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.