Afgelopen najaar verklaarde het Europese Hof het Safe Harbor- verdrag ongeldig; een belangrijke gebeurtenis voor CIO’s. Het verdrag tussen Europa en de VS voorziet in omgangsprincipes ten aanzien van data tussen partijen die het verdrag gebruiken en als zodanig geregisstreerd staan. De gegevens, zo is de afspraak, worden door de VS op eenzelfde wijze als de data-protectieregelingen in Europa behandeld.
De Oostenrijker Max Schrems is de zaak begonnen door de vraag aan het Europese Hof voor te leggen of Facebook, middels een vestiging in Ierland, het recht had zijn persoonsgegevens door te geven aan een server in de VS. Aanleiding waren de onthullingen van Snowden rond de Amerikaanse inlichtingendiensten. Het Hof heeft gemeend dat Safe Harbor niet voldoende bescherming biedt aan Europese burgers en bedrijven die gebruikmaken van Amerikaanse service- providers, omdat de bevoegdheden van de Amerikaanse overheid altijd zwaarder wegen dan Safe Harbor. CIO’s zouden hier ten minste twee zaken uit moeten leren. Allereerst maakt het duidelijk dat de rol van de CIO verschuift van een met name technische functie naar een algemene managementrol, waar dus ook stevige juridische kennis bij hoort. Je draagt de eind- verantwoordelijkheid over de juiste en integere bewaring van en handelingen met data van je organisatie. Bij plaatsen van de data bij service- of cloudproviders moet je je er dus van vergewissen of je ‘in control’ bent. Het Europese Hof is er ten aanzien van het Safe Harbor-verdrag duidelijk over: dat is niet het geval. Er zijn tientallen andere situaties, veelal binnen de publieke cloud, waarbij dat eveneens dubieus is. Moet je dan maar afzien van al die mooie technologie? Dat is de vraag. Je zal je terdege moeten afvragen welke data je bij een publieke cloud leverancier plaatst en welke risico’s je daarmee loopt. De afweging zal van organisatie tot organisatie verschillen. Doorgaans heb je als organisatie geen grip op de wijze waarop de cloud provider zijn diensten uitvoert. Immers, juist door de uniforme werkwijze kan de provider schaalvoordelen realiseren. Als klant heb je doorgaans weinig of geen inspraak over zaken als de manier waarop back-ups zijn geregeld, of je desgewenst gemakkelijk van provider kan wisselen en je je data in een leesbaar format terugkrijgt, en wat de juridische consequenties bij hacking zijn. Geen publieke cloud dan maar? Wel, dat brengt me bij het tweede punt…
Safe Harbor 2.0 ?
Inmiddels heeft de Europese Commissie, vooralsnog mondeling, nieuwe afspraken gemaakt met de VS inzake een Safe Harbor 2.0 Komende maanden zal duidelijk worden of de Nationale Data Protection Agencies (in Nederland de Commissie Kohnstamm) akkoord zullen gaan met nieuwe schriftelijke garanties van de VS. Het is zeer de vraag of dat tot volle tevredenheid zal gaan lukken. De NSA (National Security Agency) in de VS zal er immers nooit genoegen mee kunnen nemen dat ze in hun vrijheid beknot zullen worden om terroristen op te sporen. Er wordt nu gesproken over een Hof van Arbitrage om gevallen van inbreuk op privacy te kunnen behandelen. Maar lost dit alles het echte vraagstuk op ? Het echte vraagstuk is dat de eigenaar van (prive) data recht heeft op een “redelijke” bescherming van zijn data, zoals een huiseigenaar er recht op heeft dat niet zomaar een politiedienst het huis binnenstormt op een willekeurig moment. Er zullen in de digitale wereld regels, nieuwe regels, moeten komen in welke gevallen overheidsdiensten wel of geen recht hebben om “data breach” te plegen, net zoals dat het geval is bij huisvrede breuk. Op dat punt hebben we nog een lange weg te gaan, gezien de verschillen in opvatting in de VS en Europa. Laat staan met de niet Westerse wereld. En in een hyper connected world, zullen deze zaken uiteindelijk op wereldniveau opgelost moeten worden. Een aardige klus voor juridische beleidsmakers.
Oorspronkelijk artikel CIO Magazine 2016