Achter de term ‘cloud computing’ gaan grote datacenters schuil waar jouw bestanden zoals foto’s, video’s en muziek worden opgeslagen. Dat is handig en snel, maar hoe veilig zijn je gegevens nu eigenlijk? Maakt het uit of je gegevens bij Amazon of op STRATO HiDrive zijn opgeslagen? En vooral: welke wetgeving voor gegevensbescherming is er nu precies van toepassing?
Europese en Amerikaanse regelgeving
Kies je bijvoorbeeld voor Google of Amazon in plaats van cloud storage van een Europese aanbieder, maakt dat wel degelijk verschil. Welke wetgeving geldt in zo’n geval? Die vraag blijkt nog niet zo eenvoudig te beantwoorden.
Cloud- en hostingaanbieders die zowel in Europa als Noord-Amerika zakendoen, zitten namelijk ‘klem’ tussen de verschillende regelgeving op het gebied van gegevensbescherming. De Europese AVG (Algemene Verordening voor Gegevensbescherming) stelt bijvoorbeeld dat het territorialiteitsbeginsel en het marktprincipe leidend zijn. Daarom geldt de AVG voor alle diensten van providers in de EU, maar óók voor elke dienst die aan klanten in de EU wordt aangeboden. Dat laatste omvat dus ook diensten van Amerikaanse providers zoals Google en Amazon. Maar dat botst weer met de afwijkende Amerikaanse wetgeving.
VS: de aanbieder bepaalt
De AVG legt allerlei plichten op aan cloudaanbieders, tegelijkertijd – en dat is minstens zo belangrijk – verleent de AVG ook veel rechten aan consumenten. Die consumentenrechten zijn vastgelegd omdat cloudaanbieders in het voordeel zijn. Ze hebben immers de kennis van de gebruikte technologie. Zonder adequate wetgeving is de klant, die deze kennisvoorsprong niet heeft, al snel uitgeleverd aan de grillen van de aanbieder. De AVG komt hier dus op voor de belangen van de consument. Zo heb je volgens de AVG als klant van een cloudaanbieder het recht om na beëindiging van het contract jouw data onherroepelijk te (laten) verwijderen.
De situatie in de VS is anders. Voor consumenten in de VS zijn er namelijk geen wettelijke rechten op het gebied van gegevensbescherming die vergelijkbaar zijn met die in Europa. Cloudaanbieders kunnen in feite op basis van hun servicecontracten zelf bepalen in hoeverre ze klanten de controle over hun persoonsgegevens geven. In de meeste gevallen verwijzen die contracten alleen naar interne privacyrichtlijnen van het bedrijf. En wie leest de gebruikersvoorwaarden en privacyverklaring nu werkelijk van A tot Z door?
Met andere woorden: de klanten hebben dus zelf geen extra rechten. De effectieve controle van hun data en de daarvoor benodigde rechten hangen feitelijk af van de goodwill van de providers. Klanten van Amerikaanse cloudproviders hebben daardoor vaak nauwelijks bescherming.
VS: de overheid kijkt eventueel mee
Sinds maart 2018 vormt een nieuwe Amerikaanse wet een extra probleem voor Amerikaanse cloudaanbieders en hun klanten. De regering van Donald Trump heeft namelijk de CLOUD Act uitgevaardigd, die cloudproviders verplicht om data (zowel persoonsgegevens als bedrijfsinformatie en telemetriegegevens) aan Amerikaanse autoriteiten te verstrekken als die erom vragen. De Amerikaanse wetgeving geldt voor alle Amerikaanse bedrijven die gegevens in het buitenland verwerken. Een verzoek van een Amerikaanse autoriteiten volstaat, een gerechtelijk bevel is niet nodig.
Je raadt het al: deze wettelijke verplichting uit de CLOUD Act is in strijd met de AVG. Artikel 48 verbiedt namelijk de doorgifte van persoonsgegevens aan buitenlandse autoriteiten als de EU met dat land geen overeenkomst heeft over wederzijdse bijstand. Precies dat is het geval met de VS: die overeenkomst is er niet en een AVG-conform beschermingsniveau kan niet worden gewaarborgd.
Amerikaanse cloudaanbieders met klanten in de EU staan dus voor een dilemma. Voldoen ze aan het verzoek van de Amerikaanse overheid om data te verstrekken? Dan schenden ze de AVG en lopen ze het risico op een zware boete. Wijzen ze het Amerikaanse verzoek af? Dan kan dát weer forse gevolgen hebben volgens de Amerikaanse wetgeving.
Om dit dilemma te ontlopen, stellen providers soms voor de persoonsgegevens alleen in versleutelde vorm naar de overheid te sturen. Maar Amerikaanse autoriteiten hebben volgens de CLOUD Act wel de mogelijkheid om data in niet-versleutelde vorm op te vragen of om de versleutelde data te ontcijferen. Dat is dan tóch weer in strijd met de AVG.
Wil jij je data veilig opslaan bij een Europese cloudaanbieder?
Al deze problemen vermijd je als je voor een Europese cloudprovider kiest. Alle bestanden die je naar HiDrive uploadt, worden uitsluitend binnen de EU opgeslagen. Onze Tier 3-datacenters bevinden zich in Duitsland en worden jaarlijks volgens de ISO-norm 27001 gecertificeerd. Ze behoren daarmee tot de veiligste ter wereld.
Naar de HiDrive pakketten
Phil Salewski
Ich bin Rechtsanwalt bei der IT-Recht Kanzlei München und auf das Datenschutz- und Wettbewerbsrecht spezialisiert. Zu meinen Mandanten gehören vor allem Unternehmer mit Tätigkeitsschwerpunkt im Online-Handel.
Je kunt pas een reactie plaatsen nadat je ons privacybeleid en cookies hebt geaccepteerd. Om privacyredenen mogen wij jouw persoonsgegevens anders niet verwerken.
Klik onderaan de pagina op de blauwe button OK. Nadat je de pagina opnieuw hebt geladen, kun je een reactie achterlaten.