Op 16 juli kwam het oordeel van het Hof van Justitie van de Europese Unie over de zaak die Max Schrems had ingediend over de beschermingen (of het gebrek ervan) die de Privacy Shield afspraken boden aan Europese gebruikers van Amerikaanse clouds. Dit is wat je noemt een game changer. En misschien een goede gelegenheid om eens te kijken wat de Nederlandse partijen te bieden hebben. We hebben thuis eigenlijk prima alternatieven.
Achtergrond
De achtergrond, voor degene die het nieuws wat minder aandachtig hebben gevolgd: Privacy Shield is een raamovereenkomst tussen de Amerikaanse overheid, de EU en Zwitserland waarin afspraken gemaakt zijn die het mogelijk moeten maken om de privacy van persoonsgegevens te waarborgen als data tussen die landen wordt uitgewisseld. Het verving de Safe Harbor afspraken die (toen ook al door een zaak aangespannen door Max Schrems) in 2015 door het hof ongeldig waren verklaard.
Het hof was duidelijk en ging eigenlijk verder dan velen hadden verwacht. Linde Mensink van ICTRecht verwoordt het beter dan ik zou kunnen: “Kortgezegd betekent dit dat organisaties binnen de EU geen persoonsgegevens meer mogen doorgeven aan de VS, door zich te beroepen op het Privacy Shield als passende waarborg. De Standard Contractual Clauses (SCC’s) blijven een geldig mechanisme, maar staan op losse schroeven wanneer je ze met een partij in de VS sluit.”
Wat nu?
Het is opeens een stuk lastiger geworden om zaken te doen met Amerikaanse leveranciers. We gaan het niet zelf even 1,2,3 oplossen als bedrijven uit de sector. Het wachten is nu op richtlijnen vanuit de Autoriteit Persoonsgegevens, die waarschijnlijk zelf zit te wachten op richtlijnen vanuit de Europese Commissie.
In de tussentijd zitten we nu in de situatie dat, in de woorden van Arnoud Engelfriet, oprichter van ICTrecht, blogger en expert: “zolang niet geborgd is dat de NSA van die persoonsgegevens afblijft mag je geen data laten verwerken in de VS.”
Kijk eens in je eigen achtertuin
Hebben we dan alternatieven voorhanden, lokaal? Nou, ja. Prima alternatieven zelfs. We hebben in Europa, en ook in Nederland zelf, een veelvoud aan cloud providers die een eigen platform hebben dat voldoet aan alle eisen. Die lokaal beheerd zijn, die op servers draaien in Nederland of in de EU, en die kunnen waarborgen dat de data van de klanten, conform de AVG, gewoon binnen de grenzen van de EER blijft (EU + Noorwegen, Liechtenstein en IJsland)
We hebben ook genoeg variëteit in huis om voor iedereen een passende oplossing te bieden. Van hele grote, internationale spelers (denk aan OVH), tot kleinere partijen die maatwerk kunnen leveren (bij ISPConnect denk ik dan aan EGP of Tuxis), of middelgrote bedrijven zoals Uniserver, Intermax, Cyso… Ik kan nog wel even door gaan en excuses als ik uw bedrijf niet heb genoemd. Oh ja. Het zijn stuk voor stuk ook nog eens echte specialisten met elk een sector, applicatiegebied of juist een IT onderdeel waar men zich op richt. En zo kan ik nog wel even doorgaan.
Mijn punt is dat het arrest over Privacy Shield natuurlijk voor iedereen het leven net weer wat ingewikkelder maakt, en dat we weer iets meer op moeten letten op wat we doen en hoe we het doen. Maar dat het ook kansen creëert, in dit geval alweer een mooie kans om eens goed te kijken naar alle sterke, solide, goed gerunde cloud providers die we zelf in huis hebben, in onze Nederlandse goed ontwikkelde achtertuin
