Safe Harbor: moet Amerika zich conformeren aan Europa?

Geschreven door Eric Vredeveldt
Delen

Of gaat het andersom...? Sinds de Safe Harbor Act onlangs door het Europese gerechtshof werd herroepen, worden Nederlandse datacenters en cloud-hosters overspoeld met vragen hierover. Er blijkt veel verwarring te zijn over veiligheid van data die buiten de Nederlandse grenzen wordt opgeslagen.

Wat moet u bijvoorbeeld doen om informatiebeveiliging te borgen bij uw leveranciers? Is het daarbij wel aannemelijk dat Amerika zich aan Europa moet conformeren? Is het niet veel aannemelijker dat Europa zich op termijn aanpast aan het Amerikaanse model?

Of het nu om cloud, hybride cloud, IaaS of SaaS gaat, we kunnen niet meer zonder deze flexibele vorm van IT-dienstverlening. Privacygevoelige data van Nederlandse bedrijven moet in de cloud echter aan alle in de EU geldende privacyregels voldoen, ook als die gegevens tussen internationale datacenters worden uitgewisseld.

Tot voor kort bood de Safe Harbor Act enige garantie dat die data ook in de VS onder de Europese wetgeving viel, maar sinds dit verdrag werd herroepen door het Europese gerechtshof, is dat alleen het geval als uw data in Europa staat. Amerikaanse publieke instanties blijken namelijk niet onder de overeenkomst te vallen, waardoor de Amerikaanse overheid wettelijk toegang mag vragen tot gegevens in datacenters, zelfs in Europa, zo lang deze eigendom zijn van Amerikaanse bedrijven. Is dat erg?

Volgens de Europese wet dus wel, zeker in het daglicht van de onthullingen van Edward Snowden.

Veilige haven is relatief

Het wegvallen van de Safe Harbor Act zal zeker gevolgen hebben voor de dienstverlening van Internationale datacenters en public cloud-aanbieders. Wellicht gaan we het zelfs terugzien in de kosten van de diensten.

De oplossing in veel gevallen is dat er nieuwe overeenkomsten worden gesloten met Amerikaanse datacenters, die moeten garanderen dat zij zich conformeren aan de Europese privacywetgeving. Maar we kunnen er niet omheen dat Amerika nog steeds een grote voorsprong heeft op Europa wat betreft dienstverlening op het gebied van cloud- en datacenteroplossingen. We kunnen die schaalgrootte niet negeren en er vanuit gaan dat Amerika zich zomaar gaat conformeren naar het Europese model. Het zal misschien niet direct gebeuren, maar het zou goed mogelijk zijn dat Europa over een paar jaar de privacystrijd opgeeft.

Ik zie hierbij ook parallellen met de uiterst beperkte privacy-verwachtingen van de jongere generaties. Wat gebeurt er als zij in de toekomst bepalend zijn in het bedrijfsleven? Maken we ons dan nog steeds druk over privacy en informatiebeveiliging of vinden we het dan heel normaal dat data overal ter wereld kan worden ingezien? Dat laatste zou dan betekenen dat we ons al lang hebben geconformeerd aan de Amerikaanse wetgeving. Daarbij vraag ik me ook af of Amerika voor ons de grootste bedreiging is. Andere landen vormen misschien nog wel een veel grotere bedreiging.

Nieuwe overeenkomsten

Het alternatief voor dit alles is u goed te laten informeren door uw leverancier(s) van datacenter- of clouddiensten. Vraag welke van hun toeleveranciers toegang hebben tot de door u verwerkte gegevens en of zij de Europese privacywetgeving hanteren. Datacenters moeten hiervoor een zogeheten bewerkersovereenkomst sluiten met hun toeleveranciers, wat ook wel een Data Processing Agreement (DPA) wordt genoemd.

Goede en wettelijke privacybescherming voor data in de VS is dus zeker te realiseren. Maar uiteindelijk is het ook mogelijk dat deze omstreden discussie op termijn gaat verdwijnen als de jongere generatie het voor het zeggen krijgt. Misschien dat wij onze mening dan wel bijstellen naar die van Amerikaanse wetgeving van vandaag de dag. Wellicht dat er op korte termijn een nieuwe overeenkomst komt die de Safe Harbor Act gaat vervangen en wereldwijd van toepassing is. Maar om op dit moment echt zeker van uw zaak te zijn, is het verstandig om uw data voorlopig gewoon in Europa te houden en natuurlijk het liefst bij een Nederlandse hoster.

© 1998 - 2019 Previder Voorwaarden Privacy | Contact Supportdesk Previder is onderdeel van de Odin Groep