BOUWEN AAN CLOUDVERTROUWEN

In een tijd waarin technologische ontwikkelingen elkaar in rap tempo opvolgen, is vertrouwen misschien wel het belangrijkste onderwerp. Zoals Brad Smith, President & Chief Legal Officer van Microsoft, het recent zei: “Technology needs to advance, but timeless values need to endure. Privacy and the proper rule of law stand among these timeless values.”

Waar het gaat om vertrouwen in technologie, en in cloud computing voor de zakelijke markt in het bijzonder, zijn er vier kernthema’s waar we vragen over krijgen.

1. Beveiliging: hoe veilig zijn mijn gegevens, hoe kan ik mijn gegevens optimaal beveiligen?
2. Privacy: houd ik controle over mijn gegevens, kan ik bepalen wie er wel of niet bij kan?
3. Compliance: hoe kan ik blijven voldoen aan wet- en regelgeving?
4. Transparantie: wat gebeurt er met mijn gegevens, waar worden mijn gegevens precies opgeslagen?

Begin juli 2016 zagen we twee ontwikkelingen die meer duidelijkheid bieden rondom deze vragen. Eerst was er het in werking treden van het EU-US Privacy Shield. Dit betreft afspraken tussen de Amerikaanse overheid en de Europese Unie, die de privacy van gegevens die in Amerika worden verwerkt, helpen waarborgen. De andere ontwikkeling was de uitspraak van de Amerikaanse federale rechter in de zogenoemde ‘Search Warrant Case’. De rechtbank bevestigde dat Microsoft geen data van een Ierse server hoeft over te dragen aan de Amerikaanse overheid.

Positieve uitspraak rechtbank

De ‘Search Warrant Case’ geeft een goed beeld van hoe Microsoft aankijkt tegen het proces rondom vorderingen op data. Als er een vordering van een overheid binnenkomt wordt eerst de rechtmatigheid van de vordering gecontroleerd en verwijzen zij deze vordering door naar hun klanten, of proberen zij – als de wet dat toestaat – op zijn minst hun klanten hierover te informeren. In het geval van de ‘Search Warrant Case’ hebben zij de rechtmatigheid van een verzoek openlijk ter discussie gesteld. In deze zaak werd Microsoft door de Amerikaanse overheid verzocht gegevens te overhandigen, die opgeslagen zijn op servers in Ierland. Microsoft hoeft volgens de uitspraak van de rechter deze gegevens uiteindelijk niet te overhandigen.

De uitspraak van de rechter laat zien dat Microsoft gesteund wordt in de overtuiging dat de privacy van mensen en organisaties beschermd moet worden onder de lokale wetgeving en niet onder die van een buitenlandse overheid.

Afspraken Europa en VS

Ook met het EU-US Privacy Shield is een volgende stap gezet in het waarborgen van transparantie en privacy van gegevens die worden opgeslagen in een (publieke) cloud. Met de aankondiging van het ‘Shield’ ligt er een nieuwe basis met afspraken over het doorgeven van persoonsgegevens tussen de EU en de Verenigde Staten. Microsoft kondigde in april 2016 al aan het EU-US Privacy-voorstel te ondersteunen. Direct na de formele adoptie door de Europese Commissie in juli 2016 heeft Microsoft aangegeven zo snel mogelijk te starten met de implementatie.

Transitieperiode

Als we kijken naar de Europese en Nederlandse wet- en regelgeving, dan is daarin bepaald dat persoongegevens alleen mogen worden doorgegeven aan landen die voldoende bescherming bieden, tenzij er extra maatregelen genomen zijn. De Verenigde Staten behoren niet tot deze landen. Maatregelen als Safe Harbor of de EU Standard Contractual Clauses (EU-SCC) zijn opgezet om die ruimte toch te bieden. Safe Harbor is recentelijk door het Europese Hof van Justitie ongeldig verklaard. Tot Microsoft het EU-US Privacy Shield heeft geïmplementeerd, bevinden we ons in een transitieperiode waarin nu de EU- SCC van toepassing zijn. Microsoft had gelukkig een vooruitziende blik en heeft de EU- SCC al in 2014 tot standaardonderdeel gemaakt van haar leveringsvoorwaarden. Via de EU Standard Contractual Clauses helpt Microsoft ook in deze transitieperiode de privacy van haar klanten te waarborgen.

Het nu aangekondigde Privacy Shield en de uitspraak in de ‘Search Warrant Case’ zijn belangrijke en positieve ontwikkelingen voor de inzet van cloud computing. Microsoft blijft continu nieuwe ontwikkelingen op het gebied van privacy volgen om haar klanten zoveel mogelijk transparantie te bieden en de privacy te helpen waarborgen.