Update 12-7-2016: Privacy Shield heeft het Safe Harbor verdrag vervangen
Wie met een Amerikaanse cloudprovider in zee gaat (met de wolken in zee?), kan niet achterover zitten met “Oh ze doen Safe Harbor”. Dat zegt namelijk niets over hoe ze met data omgaan; Safe Harbor regelt alleen het formele puntje dat de data überhaupt Europa uit mag. Dat is wat ik opmaak uit de recente Zienswijze van de privacytoezichthouder, waarin men in algemene zin ingaat op een serie vragen van academische software- en dienstenboer SURFmarket.
Als je met persoonsgegevens werkt, mag je die niet zomaar aan niet-Europeanen geven want die doen er enge dingen mee, zo staat in de wet. De Amerikanen hebben natuurlijk de Safe Harbor-verklaring, waarmee ze beloven zich echt aan de regels te houden. Maar dat gaat écht niet helpen, zo concludeert het College bescherming persoonsgegevens.
Ik moet ook wel eens mijn lachen inhouden als ik vertel hoe Safe Harbor werkt: het is dus écht genoeg dat je als Amerikaanse club zegt “oké ik zal me aan die Europese regels houden”. Zelfcertificering heet dat. Maar goed, die gekke Europeanen willen dat je dat zegt en vooruit dus maar. En wij maar denken dat daarmee de kous af is.
Maar nee: het Safe Harbor raamwerk gaat alleen over het mogen exporteren (doorgeven) van persoonsgegevens. Alles dat daarna gebeurt, moet alsnog apart worden geregeld. Een Amerikaans bedrijf dat bewezen zich houdt aan wat Safe Harbor eist, kan dus nog steeds de Europese privacyregels schenden. Men kan gegevens opslaan zonder adequate beveiliging, of gegevens gebruiken voor andere doelen dan waarvoor ze zijn verkregen. Dat valt buiten de scope van Safe Harbor. Nog even afgezien van de eis dat je een schriftelijk contract moet hebben als je verwerking uitbesteedt, en een accountje bij Google telt niet als “schriftelijk contract”.
Wie dus Amerikaanse bedrijven met data wil laten werken, moet dus zelf aan de bak. En naast dat contract zul je vooral moeten gaan auditten: wat doen die met onze data, beveiligen ze die wel goed en waar gaat de data allemaal nog meer heen? Dat ben je als Europese verantwoordelijke namelijk wettelijk verplicht, en je draait op voor de schade als de Amerikaanse cloudprovider de Europese wet blijkt te schenden.
Gelukkig is er een soort van oplossing: de Third Party Mededeling (TPM). Nee, ik weet ook niet waarom dat half Engels is en ik weet ook niet waar de spaties of koppelstreepjes horen, maar zo heet het kennelijk. (Update 15:15 het heet Third Party Memorandum officieel.) Het Cbp legt uit:
Een TPM is een verklaring van een onafhankelijke externe deskundige, waarin deze een oordeel geeft over de maatregelen die een bewerker heeft getroffen. De TPM wordt opgesteld in opdracht van de bewerker, en wordt verstrekt aan de verantwoordelijken die gebruikmaken van diens diensten. Het doel van het verstrekken van een TPM is om de verantwoordelijken inzicht te bieden in de getroffen maatregelen, zonder dat iedere verantwoordelijke daar zelf onderzoek naar hoeft te (laten) doen.
Zo kan een cloudprovider dus met één TPM laten zien wat hij allemaal doet aan beveiliging en dergelijke, zodat de verantwoordelijke weet dat het wel snor zit met die persoonsgegevens in de Amerikaanse cloud. Een SAS70 verklaring mag het niet meer heten, wat wel jammer is want “ISAE 3402 verklaring” of “SSAE 16 verklaring” bekt toch een stukje minder.
En ja, wat nu. Want zo’n bevinding is mooi, en dat er iets scheef zit is ook wel duidelijk, maar wat gaan we nu in de praktijk concreet doen om dit te verbeteren? Gaan we nu allemaal contractjes sluiten met de Amerikaanse cloudproviders? En wie gaat al die ISAE3402 verklaringen afgeven na het datacenter van Amazon te hebben bezocht?
Arnoud
