Safe Harbour: it’s getting cloudy…

Neemt u diensten af van Exact, Perfectview, Afas, Unit4, Ziggo, KP, Ordina, Centric of een andere Nederlandse Public Cloud aanbieder dan loopt u risico. De dienstverlening zou deze zomer onwettig kunnen worden en per direct moeten stoppen. Het is verstandig voor 24 juni na te gaan in hoeverre dat ook voor uw aanbieder(s) geldt. Maken zij geen gebruik van servers (of XaaS-onderaannemers) op Amerikaanse bodem, dan zit u zeker safe.

Hoe zit dat?

Genoemde bedrijven maken voor (minimaal een deel van) hun diensten gebruik van “cloud” oplossingen. Een op de drie cloud-aanbieders blijkt voor buitenlandse servers te kiezen, waarbij 21% kiest voor servers in de USA. Dat zou ook uw XaaS-aanbieder kunnen zijn.

Op dit moment speelt bij het Europese Hof van Justitie de zaak van de Oostenrijkse student Max Schrem. Hij diende een klacht in bij de Ierse Data Protection Commission (DCP, de Ierse evenknie van het CBP) tegen Facebook, omdat Facebook volgens de onthullingen van Snowden de persoonlijke gegevens van Max aan de NSA gegeven had. Facebook heeft in Europa een Ierse vestiging, vandaar dat Max zich bij de Ierse DCP meldde.

De Ierse DCP gaf in een reactie aan dat zij het niet zouden onderzoeken, omdat Facebook zou vallen onder de Europese regels van het Safe Harbour Agreement (SHA). De Europese wet stelt namelijk dat Amerikaanse bedrijven die zich zelf gebonden verklaren aan het SHA, daarmee adequate voorzieningen hebben voor export van persoonlijke gegevens buiten de EU. En omdat dit een Europese afspraak is, is de Nationale DCP niet bevoegd, aldus de DCP.

Max was het niet eens met het besluit van de DCP en ging naar het Ierse “High Court”. Deze instantie vraagt op haar beurt advies aan het Europese Hof van Justitie. Is het DCP gebonden aan de Europese afspraken over de SHA bij een klacht waaruit blijkt dat de SHA mogelijk niet voldoet?

Omdat het Europese Hof deze zaak vanuit meerdere perspectieven beziet breidde deze vraag zich als een olievlek onder de betrokken EU-instanties uit. Dit resulteert in de kernvraag of de SHA nog wel adequate bescherming biedt.

Op 24 juni doet het Europese Hof van Justitie uitspraak. Daar dit Hof het hoogste EU-rechtspraakorgaan op Privacy-gebied is deze uitspraak niet meer elders aan te vechten. De inhoud van de uitspraak kan uiteraard sterk variƫren, het uiteindelijke effect is vrij digitaal: het huidige SHA is dood of leeft.

De SHA is onder XaaS-aanbieders een populaire grondslag voor export van gegevens. Als de SHA niet meer geldt, mogen cloudaanbieders vanaf die datum op basis van het SHA geen privacy-gevoelige gegevens meer exporteren naar de USA. Als uw dienstverlener geen maatregelen heeft genomen moet haar dienstverlening stoppen. Daar kan uw aanbieder, of de aanbieder van uw aanbieder, tussen zitten…….

Over de auteur

Boudewijn de Graaf
Kerndocent studierichting Business & IT Management Hogeschool Rotterdam, eigenaar van Kronenbeeck.nl, zelfstandig consultant gespecialiseerd in Privacy Management. Brede veranderkundige, bestuurskundige, organisatiekundige en ICT achtergrond.