AVG: Nederlandse CIO's vs. Amerikaanse cloudproviders

AVG: Nederlandse CIO's vs. Amerikaanse cloudproviders

15-04-2021 10:53:57

amerikaanse-techreuzen-hyperscalers-privacy.jpg

Recent verscheen er een stuk op fd.nl waarin de voorzitter en directeur van het CIO Platform Nederland aangeven dat hun leden zich niet aan de privacywet kunnen houden omdat hun cloudleveranciers zich niet aan de AVG houden. In het CIO Platform hebben zich 130 Chief Information Officers verenigd van de grootste Nederlandse bedrijven en instellingen. De cloudleveranciers waar deze 130 organisaties zaken mee doen zijn volgens het artikel Google, Amazon en Microsoft. De CIO's vinden dat niet zij schuldig zijn aan hun non-conformiteit aan de AVG, maar dat hun cloudleveranciers dat zijn. Maar is dat ook zo of is een belangrijk deel van die schuld in de spiegel te vinden?

Dat Amerikaanse techbedrijven er andere ethiek op het gebied van privacy en persoonsgegevens op nahouden dan wij in Europa mag toch geen verrassing zijn voor deze 130 IT-experts? We weten toch al zeker tien jaar dat Google en privacy niet goed samengaan? Dat privacy een ingewikkeld thema is voor een advertentiebedrijf is bekend. We kennen ook allemaal de privacyschandalen waar Amazon mee te maken heeft gehad. De leden van het CIO Platform zullen aan hun stemassistent toch ook wel eens de vraag gesteld hebben: "Alexa, are you invading my privacy?".

Persoonsgegevens klanten

Van bedrijven die juist een businessmodel hebben gemaakt van de verkoop en analyse van persoonsgegevens kan je verwachten dat ze er binnen andere takken van het bedrijf een zelfde houding ten opzichte van persoonsgegevens op na houden. Desalniettemin kiezen de CIO's van de grootste Nederlandse organisaties ervoor om deze IT-bedrijven de persoonsgegevens van hun medewerkers en klanten toe te vertrouwen. Overigens zonder die klanten en vermoedelijk ook zonder de medewerkers op de hoogte te stellen dat zij hun persoonsgegevens laten verwerken door een bedrijf waarvan ze weten dat die zich niet aan de privacywet houdt.

De CIO's klagen dat zij geen goede onderhandelingspositie hebben ten opzichte van de drie Amerikaanse hyperscalers, maar niemand verplicht ze om zaken met deze partijen te doen. Stem met je portemonnee, beste CIO's. De 130 leden van het Platform hebben een gezamenlijke omzet van enkele tientallen miljarden euro's, als het niet meer is. Als Amazon, Google en Microsoft daar hun neus voor ophalen, dan zijn er allerlei Europese cloudleveranciers te vinden die deze 130 wel van dienst willen zijn, die geen lak hebben aan de AVG en waar ze wel inspraak hebben op de verwerkersovereenkomst.

Vendor lock-in

De directeur van het Platform meent echter dat stemmen met je portemonnee 'extreem kostbaar en tijdrovend' is. Dat is het zeker, als je het ecosysteem van de hyperscalers wenst te verlaten, maar ook dat kan geen verrassing zijn. Ongetwijfeld is een groot deel van de 130 gewaarschuwd voor vendor lock-in toen zij op het punt stonden het contract te tekenen voor hun clouddiensten. Ze zijn gewaarschuwd voor de onduidelijke prijsmechanismes die Microsoft en Amazon erop nahouden. Iemand heeft ze verteld dat het goedkoop is om data die clouds in te brengen, maar dat het extreem duur is om data eruit te halen. Ze hebben gehoord van Amazon's technische trucjes om te voorkomen dat je je data naar een concurrerende dienst kan exporteren.

Europese techindustrie

Het afschuiven van de verantwoordelijkheid voor conformiteit aan de AVG richting AP en mededingingsautoriteiten, zoals in het FD-artikel wordt gedaan is te makkelijk. Overheidsorganen hebben daar wel degelijk een rol in te spelen, net als de cloudleveranciers. Maar ook de klanten van die cloudleveranciers, want die klanten bepalen uiteindelijk met hun portemonnee of zij zich afhankelijk blijven maken van Amerikaanse hyperscalers of dat ze de Europese techindustrie een kans geven.