De korte versie: overdracht van persoonsgegevens naar Amerikaanse aanbieders, ook op servers in de EU, was juridisch al lang omstreden, omdat de US overheid zichzelf vrijwel onbeperkte rechten gunt om in die data te grasduinen. Desondanks zijn er drie pogingen gewaagd om deze overdracht te legaliseren. De eerste twee pogingen zijn door Europese rechters ongeldig verklaard.

De nieuwste poging, de Transatlantic Data Privacy Framework (TDPF) leunt zwaar op een Amerikaanse toezichthouder genaamd Privacy and Civil Liberties Oversight Board (PCLOB). En Donald Trump heeft de PCLOB op 28 januari effectief buiten werking gesteld.

Daarmee is iedere overdracht van (bijzondere) persoonsgegevens aan Amerikaanse bedrijven (zoals in MS 365) binnenkort vermoedelijk onrechtmatig, en nu al voorzienbaar onrechtmatig.

In aanvulling vervalt mogelijk voor 6 maart ook nog eens een cruciale US executive order bedoeld om de overdracht rechtmatig te maken, en dan blijft er echt helemaal niets meer over van het Framework.

Afsluitend, iedereen die besluit “naar de cloud te gaan” met z’n overheidsdata vol (bijzondere) persoonsgegevens begeeft zich nu op heel dun ijs, en komt mogelijk voor juridische verrassingen te staan. Je kan er echt niet meer zomaar voor tekenen, want het is niet zo dat er geen alternatief is.

Lees verder voor de (smeuïge) details.

Photo © Europese Commissie

Ik heb al een hoop geschreven over of het verstandig is je geheimen en (bijzondere) persoonsgegevens in een Amerikaanse cloud te zetten. Vanwege praktische zorgen over beschikbaarheid: krijg je geen sancties? Gaan de Amerikanen wel goed voor de dienstverlening zorgen als er ruzie is? Maar ook vanwege het risico dat ze mee gaan lezen met onze (overheids)communicatie en bestanden vol met onze privégegevens. De US kunnen en mogen dit allemaal, en het helpt niets dat de servers in de EU zouden staan.

Als ik hier kritisch over ben krijg ik vaak de reactie dat men meent dat het legaal is om vertrouwelijke data te delen met Amerikaanse bedrijven. Nou zijn legaal en verstandig twee heel andere dingen. Veel mensen kunnen legaal autorijden met 6 bier op is me weleens verteld. Maar verstandig is het niet.

Goed om te weten, in mijn artikel staat niets nieuws of omstredens. Er was al eerder aandacht voor door professionals. Wel geeft deze pagina meer (Nederlandse) context.

Toch is het nuttig eens te kijken of het überhaupt wel legaal is en blijft om (bijzondere) persoonsgegevens te delen met de US. Het AVG/GDPR regime zegt dat je dat soort data buiten de EU mag laten verwerken, mits het juridisch kader aldaar “adequaat” is. Zoiets geldt binnen de EU ook overigens, je moet zorgvuldig met de data omgaan, en je kunt geen partnerbedrijf kiezen waarvan je weet dat ze je data gaan verkopen of lekken.

Is het Amerikaanse privacyregime “adequaat”? Dat is nogal tricky, want er is geen recht op privacy in Amerika (!), ook niet voor Amerikanen. Wel hebben ze dit ooit min of meer “ontdekt” in hun grondwet, in de “slagschaduwen gemaakt door de uitstraling van je andere rechten”. Overigens ligt deze “ontdekking” recent onder vuur.

“The foregoing cases suggest that specific guarantees in the Bill of Rights have penumbras, formed by emanations from those guarantees that help give them life and substance. Various guarantees create zones of privacy” - Griswold v. Connecticut

Cruciaal daarbij is deze uitspraak van een van de rechters in die zaak:

“I like my privacy as well as the next one, but I am nevertheless compelled to admit that government has a right to invade it unless prohibited by some specific constitutional provision”

Dit staat haaks op Europees recht, zoals compact vervat in artikel 13 van onze grondwet (en in artikel 10, en in het Europees Verdrag voor de Rechten van de Mens, en nog het mooiste in het EU Handvest):

Artikel 13

1. Ieder heeft recht op eerbiediging van zijn brief- en telecommunicatiegeheim.
2. Beperking van dit recht is mogelijk in de gevallen bij de wet bepaald met machtiging van de rechter of, in het belang van de nationale veiligheid, door of met machtiging van hen die daartoe bij de wet zijn aangewezen.

Kort gezegd, in Europa heeft iedereen privacy tenzij er bij wet onder specifieke omstandigheden van wordt afgeweken, en in Amerika heb je geen privacy tenzij er een specifieke wet is die je wat privacy geeft.

Dit is nogal een kloof om te overbruggen. Want de wetten die ze hebben gunnen dat beetje privacy grotendeels alleen aan echte Amerikanen en de enigmatische “US Persons”. En wij zijn dat niet.

De constructie

Amerika heeft een gigantisch bulk afluisterprogramma, waarmee ze (volgens hun wetten) met hun inlichtingen- en veiligheidsdiensten geheel los mogen gaan op onze data. En sinds Snowden weten we dat ze dat echt doen.

Europa heeft ook wetgeving voor grootschalig afluisteren. Het Europees Hof voor de Rechten van de Mens heeft in een serie rechtszaken regels opgelegd aan dit soort afluisterprogramma’s. Ik vind het persoonlijk nog niet ver genoeg gaan, maar de beperkingen zijn stevig. In iedere stap van het proces is onafhankelijk toezicht nodig. Een rechter of een commissie die even onafhankelijk is moet het allemaal beoordelen: “Bulk interception should be authorised by an independent body; that is, a body which is independent of the executive”. En cruciaal, als je het er niet mee eens bent kun je (uiteindelijk) naar de rechter, ook al heb je geen bewijs dat je afgeluisterd bent.

In Amerika bestaat dit soort toezicht al niet voor het afluisteren van Amerikanen, en al HELEMAAL niet voor het afluisteren van buitenlanders zoals wij. En ook belangrijk, je kunt niet naar de rechter want die wil eerst bewijs zien dat je afgeluisterd bent.

Klinkt allemaal niet erg ‘adequaat’ in GDPR termen. Toch wilde de Europese Commissie heel graag data naar Amerikaanse clouds kunnen sturen, en daarom zijn er diverse juridische constructies gemaakt om dit mogelijk te maken. De eerste twee pogingen zijn voor de rechter gesneuveld, maar er is nu een nieuwe poging: Het Transatlantic Data Privacy Framework (TDPF).

Omdat de US ook heel graag willen dat Europeanen hun data op Amerikaanse servers zetten heeft men pleisters op hun afluisterprogramma geplakt, waaronder executive order 14086 die beschrijft dat Europeanen alleen afgeluisterd mogen worden als er een goeie reden voor is. En, het afluisterprogramma moet overleggen met de Privacy and Civil Liberties Oversight Board (PCLOB). Bij die PCLOB kunnen EU-lidstaten ook klachten indienen als ze denken dat zij of een van hun ingezetenen onterecht afgeluisterd is.

De Europese Commissie was nogal onder de indruk van die PCLOB en noemt deze commissie 31 keer in hun besluit dat de US een adequaat privacyregime heeft. Kennelijk belangrijk.

En toen kwam Trump

Als een van zijn eerste handelingen heeft Trump de meerderheid van de PCLOB leden ontslagen. Hierdoor heeft de commissie geen quorum meer en kan geen besluiten meer nemen. Ook is hiermee duidelijk dat de PCLOB geen commissie is zoals wij die hier kennen waar de leden beschermd zijn tegen ontslag. De PCLOB is in termen van Europees recht dus niet “independent of the executive”. Het aanvullen van de PCLOB met nieuwe leden herstelt de commissie daarom ook niet in ere. Goed om te weten is ook dat de PCLOB al langer bestaat, en grote delen van z’n bestaan vleugellam of gesaboteerd was.

Ook goed om te weten, de PCLOB is alleen maar belangrijk vanwege die executive order 14086, waarin staat dat de PCLOB geconsulteerd moet worden. En Trump heeft op zijn eerste dag “in office” gepubliceerd dat:

The National Security Advisor (NSA) shall immediately begin a complete and thorough review of all National Security Memoranda (NSMs) issued from January 20, 2021, through January 20, 2025, for harm to national security, domestic resilience, and American values. No later than 45 days from the date of this order, the NSA shall recommend to the President NSMs for rescission.

Het aanbevelen tot schrappen zou dan gebeuren voor 6 maart, en dat gaat ook over die EO 14086.

En nu?

Nu de PCLOB, 31 keer genoemd in het besluit van de Europese Commissie, weggevallen is blijft er weinig meer over van het Transatlantic Data Privacy Framework. EO 14086 staat ook op losse schroeven. Maar formeel is de TDPF pas dood als de Europese Commissie dat bevestigt, of als een rechter het onderuit haalt. Dus als je zin zou hebben kan je nog een tijdje “legaal” door met MS 365 en andere Amerikaanse cloudproducten, maar weet dat de toekomst er heel matig uitziet.

Als de TDPF wegvalt zijn er nog “standard contractual clauses” mogelijk ter compensatie. Maar voor die SCCs moet een instantie of overheid dan zelf een afweging maken of persoonsgegevens goed genoeg beschermd worden in de US. Voor een schoenenwinkel valt die afweging mogelijk anders uit dan voor een ministerie van justitie, overigens.

Het is natuurlijk mogelijk om, in afwijking van alle Europese uitspraken, te bepalen dat we het ondanks alles toch veilig genoeg vinden. Een beetje een stikstof- of Urgenda-situatie kom je dan in.

Men roept vaak ‘wat moeten we dan’. Het lijkt soms alsof er geen alternatieven zijn. Maar die zijn er wel, al is het even werk. Download bijvoorbeeld LibreOffice en het werkt gewoon. Ook zijn er emailprogramma’s die niet Outlook heten. Deze alternatieve softwareproducten zijn nog niet gelijk een goed ondersteunde oplossing die we direct in kunnen zetten.

Maar met de beschikbaarheid van dit soort niet-cloud alternatieven is het niet mogelijk om met droge ogen te zeggen “we moeten wel naar de MS 365 cloud want we kunnen niet anders”.

Ik zou nu in ieder geval geen risico-afweging uit het Rijksbrede cloudbeleid durven te ondertekenen waarin staat dat de risico’s van de Amerikaanse cloud maar genomen moeten worden omdat er gewoon geen alternatief is.

Juist is om te zeggen: er zijn andere oplossingen, en we gaan er mee aan de slag met het noodzakelijke verandermanagement om daarop over te gaan.

En nog een keer voor de extra duidelijkheid: dat men belooft dat je data op servers in de EU wordt opgeslagen, of dat je je “eigen sleutels kunt gebruiken”, beschermt je echt helemaal niet. Al schijnt het juridisch gezien geen “dataoverdracht” te zijn als men de data van een server in de EU ophaalt, maar dat onderscheid heb je weinig aan (nummer 35).

Meer informatie

• Kamervragen over dit onderwerp van Barbara Kathmann en Jesse Six Dijkstra (hulde)
• Datadeal VS-EU op losse schroeven na weggestuurde privacytoezichthouders , iBestuur
• US Cloud soon illegal? Trump punches first hole in EU-US Data Deal
• Trump’s Sacking of PCLOB Members Threatens Data Privacy