EU-bedrijven moeten voorlopig US clouddiensten mijden

Amerikaanse bedrijven die internet- en clouddiensten aanbieden zoals Microsoft en Google hebben de afgelopen dagen een flinke deuk in hun imago opgelopen. Na de onthullingen van de Washington Post en The Guardian over hoe de NSA omgaat met informatie die betrekking heeft op niet-Amerikaanse burgers, lijken privacygevoelige gegevens niet meer vanzelfsprekend beschermd. Het spionageprogramma PRISM, geeft de NSA toegang tot vrijwel alle informatie van de gebruikers van de Amerikaanse internet- en clouddiensten. Reageert de Europese Unie hier wel snel genoeg op? Moet zij niet adviseren om privacy gevoelige informatie voorlopig weg te halen bij  Amerikaanse bedrijven?

Geen Safe Harbor meer voor Europese data
De Europese Unie is al enige jaren bezig met het opstellen van een nieuwe privacywetgeving, die in 2014 in werking zou moeten zijn. Hebben we met de huidige wetgeving niet al genoeg slagkracht om in actie te komen tegen spionagepraktijken van de Amerikaanse overheid? Amerikaanse bedrijven die privacy gevoelige Europese data opslaan waar de Amerikaanse overheid vrije toegang toe heeft, zijn namelijk in principe al in overtreding van de huidige Europees-Amerikaanse afspraken. Amerikaanse bedrijven mogen namelijk voor wat betreft het opslaan en verwerken van persoonsgegevens in Europa zaken doen binnen het zogenaamde Safe Harbor raamwerk. Dit is een verdrag tussen de Europese Unie en de Verenigde Staten uit 2000, waarbij Amerikaanse bedrijven kunnen verklaren aan een zevental privacy-eisen te voldoen. Op deze zelfregulatie lijkt nauwelijks controle te bestaan en het Safe Harbor raamwerk staat dan ook al enige tijd onder druk. Op zijn minst zou er dus door de EU een pauze moeten worden ingelast als het gaat om het plaatsen van nieuwe persoonsgegevens, tot de privacystatus van deze gegevens duidelijk is.

Het geheime surveillanceprogramma, dat door de betrokken bedrijven verborgen is gehouden, treedt drie van de zeven principes van het Safe Harbor verdrag met voeten: de verplichte notificatie  van het verzamelen van de informatie, het aan de eigenaar voorleggen van de keuze of de informatie al dan niet verzameld mag worden en de voorwaarden voor overdracht naar derde partijen, die alleen is toegestaan als deze partijen ook aan de Safe Harbor eisen voldoen.

De negen grote Amerikaanse internet- en cloudpartijen die meewerken aan het PRISM-programma voldoen hoogstwaarschijnlijk niet aan het Safe Harbor raamwerk. Klachten worden uiteindelijk door de Amerikaanse Federal Trade Commission en het Amerikaanse rechtssysteem afgehandeld, dus de kans op actie uit die hoek is niet erg groot. Europeanen moeten nu zelf beslissen of ze hun data bij één van deze partijen gaan onderbrengen.

Europese internetsector kan hiervan profiteren
Glenn Greenwald, journalist van The Guardian zegt (volgens het NRC, 11-06-2013) dat er de komende tijd nog meer onthullingen met betrekking tot PRISM op komst zijn. Hierdoor zal het internationale vertrouwen in de Amerikaanse internetsector nog meer schade oplopen. De Nederlandse overheid zou er bij de EU op kunnen aandringen om snelle maatregelen te nemen, maar er ligt nog wel een grote uitdaging in het feit dat de meeste grote internetbedrijven uit Amerika komen. Het is een enorme kans voor de (nog) versnipperde Europese internet- en cloudsector om met alternatieven voor de diensten van Google en Microsoft te komen. Zolang Europese partijen zich niet onder druk laten zetten om mee te werken aan programma’s als PRISM, kan de Europese privacywetgeving zelfs een uniek selling point worden voor Europese providers.

Deze blogpost is geschreven door Lennard Zwart, Algemeen Directeur, CloudVPS.