Ongeldige Safe Harbor-beschikking: maar de eindverantwoordelijke blijft u

Ongeldige Safe Harbor-beschikking: maar de eindverantwoordelijke blijft u

15-10-2015 13:25:29

Het zal niemand ontgaan zijn, de uitspraak van het Europese Hof op 6 oktober. Oostenrijker Maximillian Schrems is van mening dat Facebook-gegevens in de VS niet veilig zijn. Geïnspireerd door de onthullingen van Edward Snowden diende Schrems een klacht in bij de Irish Data Protection Commissioner die de klacht van de hand wees. Uiteindelijk belandde de zaak bij het Europees Hof van Justitie en de rest is geschiedenis. Een Safe Harbor-beschikking is niet langer rechtsgeldig. Maar wat betekent dit voor de Nederlandse ISP- en hostingbranche? Eigenlijk is het een bevestiging van wat wij al jaren roepen.

Allereerst is deze uitspraak wat mij betreft goed nieuws. De verhoudingen tussen de EU en de VS zijn natuurlijk al jaren op het niveau ‘they say jump, we say how high’. Met deze uitspraak is daar toch een klein beetje verandering in gekomen. En terecht, want hoe democratisch zijn de verhoudingen nou eigenlijk? Met twee keer zoveel Europeanen als Amerikanen, laten we ons toch wel erg makkelijk leiden. Uiteraard heeft deze uitspraak gevolgen voor de IT-wereld. Amerikaanse bedrijven als Microsoft zullen wellicht hun servers moeten gaan verplaatsen naar de EU om geen klanten te verliezen. Maar één ding is nog altijd onveranderd: bewustwording is essentieel.

Dataopslag binnen of buiten de EU
Weet u precies wat er met uw data gebeurt wanneer u besluit deze buitenshuis op te slaan? Hier wordt nog altijd te weinig over nagedacht en ik hoop dat deze recente uitspraak bijdraagt aan de bewustwording hierover. Organisaties kiezen voor de cloud, maar realiseren zich vaak niet dat de bedrijfsdata alsnog ergens opgeslagen staat. Is dit buiten de EU, dan moeten bedrijven zich ernstig afvragen in hoeverre deze data veilig is. Niet alleen vanwege de Patriot Act, maar bijvoorbeeld ook vanwege de kans op spionage en de aanwezigheid van concurrerende bedrijven.

Voor organisaties als Facebook geldt dat zij zich er bewust van zijn dat persoonsgegevens worden opgeslagen, maar hostingbedrijven en ISP’s weten niet wat voor informatie er over het netwerk gaat en wat er wordt opgeslagen. De provider geeft informatie door en heeft geen kennis van de inhoud. Het is te vergelijken met de vroegere telefoonlijnen. Wie een moord beraamt via de telefoon, is zelf verantwoordelijk, daarvoor kan niet KPN aansprakelijk gesteld worden. Daarom is het des te belangrijker dat Nederlandse bedrijven het heft in eigen hand nemen en vragen stellen aan hun (toekomstige) dienstverlener. De verantwoordelijkheid ligt namelijk nog altijd bij uzelf. Waar wordt uw data opgeslagen en heeft u de garantie dat deze de Europese grenzen niet overschrijdt?

Alex Bik