Hoelang blijft de cloud legaal?

Mag een Nederlands bedrijf nog wel data opslaan in de VS? Onduidelijkheid overheerst. Advocaten en adviseurs hebben het druk.

Een datacentrum van Google in de Verenigde Staten. Onduidelijk is of en hoe bedrijven legaal data in de VS mogen opslaan.

Bijna alles wat je in Nederland op een computer doet is terug te voeren op Amerikaanse servers van Amazon, Microsoft en Google. Dat is te danken aan de cloud: goedkope rekenkracht en opslag op afstand.

Maar Nederlandse bedrijven die vertrouwen op deze cloud kunnen er niet meer blindelings van uitgaan dat ze voldoen aan alle regels voor bescherming van privacy. Dat komt doordat het Europese Hof van Justitie eerder deze maand het zogeheten Safe Harbor-verdrag torpedeerde. Volgens het Hof biedt dat onvoldoende bescherming tegen meegluren door de Amerikaanse overheid.

Privacyadvocaten en -adviseurs van onder meer KPMG, De Brauw Blackstone Westbroek en SOLV Advocaten hebben het daardoor veel drukker dan normaal, laten ze desgevraagd weten. Het schrappen van Safe Harbor zorgt bij bedrijven voor veel onzekerheid.

Elk bedrijf dat gegevens verzamelt of verwerkt, is verantwoordelijk voor de veiligheid van die gegevens. Safe Harbor was de meest gebruikte juridische constructie bij clouddiensten. Van veelgebruikte opslagdiensten van bijvoorbeeld Microsoft en Google, en van klantendatabanken van bijvoorbeeld Salesforce, is nu onduidelijk geworden of die voldoen aan de privacybeschermingseisen. Mogelijk is dat niet zo.

Er zijn voor Safe Harbor wel juridische alternatieven om data op te slaan in de VS. Een optie is om dat te regelen in modelcontracten, waarin staat dat de gebruiker akkoord gaat met opslag in de VS. Of in zogeheten binding corporate rules: bedrijfsbrede, door de overheid goedgekeurde privacyvoorwaarden. Maar: „Er zijn organisaties waar dan ruim 1.800 verschillende contracten nodig zijn, zegt Ronald Koorn, partner bij KPMG. „Onwerkbaar.”

Niet uniek voor de VS

Bovendien oordeelde het Hof dat er in de VS überhaupt te weinig waarborgen zijn om data af te schermen voor geheime diensten. „Dat zou kunnen betekenen dat ook alternatieven niet zomaar meer kunnen”, zegt Menno Weij, partner bij SOLV Advocaten. Dit probleem is niet uniek voor dataopslag in de VS. „Ook bij opslag in andere landen is hierover veel onduidelijk”, zegt Richard van Staden ten Brink, partner van De Brauw Blackstone Westbroek.

Privacyexperts zeggen dat er al langer onzekerheid bestaat over de legaliteit van het opslaan van gegevens in de Amerikaanse cloud, maar dat door de Safe Harbor-uitspraak nog meer verwarring is ontstaan. „Multinationals waren hier al langer mee bezig”, zegt Johan van Duijn, manager bij KPMG. „Maar ook andere organisaties die veel te maken hebben met de cloud komen nu met vragen.”

Adviseurs en advocaten hebben een financieel belang om te benadrukken hoe ingewikkeld en riskant de situatie is; daaraan verdienen zij immers hun geld. Maar ook de gezamenlijke Europese privacytoezichthouders, waaronder het College bescherming persoonsgegevens (CBP), hebben de afgelopen week gewaarschuwd dat het zeer onduidelijk is hoe gegevens nu legaal op servers in de VS servers gestald kunnen worden. Zij eisen snelle actie van Europese instellingen. Een nieuw verdrag tussen de EU en de VS zou een oplossing zijn.

Ook werkgeversorganisatie VNO-NCW/MKB Nederland pleit voor een ‘Safe Harbor 2.0’: „Dat moet op hoog politiek niveau gebeuren”, zegt secretaris David de Nood. „Het dataverkeer tussen de Verenigde Staten en Europa is van groot economisch belang.”

De toezichthouders hebben een deadline gesteld op 31 januari. Als bedrijven hun Amerikaanse dataverwerking dan nog niet goed hebben geregeld, overwegen zij in te grijpen, waarschuwden ze vrijdag. Dat zorgt voor nog meer druk op bedrijven.