Bij veel overheidsorganisaties, onderwijsinstellingen, instellingen in de gezondheidszorg en andere organisaties die met privacygevoelige persoonsgegevens te maken hebben heerst het hardnekkige misverstand dat de Wbp het niet toestaat om privacy gevoelige informatie vanuit bijvoorbeeld Google Apps bij buitenlandse providers van Cloud diensten op te slaan.
Gefragmenteerde gebruikersdata
Google slaat de data van haar gebruikers op haar servers - juist uit veiligheidsoverwegingen - op in diverse datacentra die verspreid zijn over de gehele wereld. Niet netjes gegroepeerd in een mapje op één fysieke lokatie, maar versnipperd en geanonimiseerd in haar wereldwijde netwerk. Dit klinkt wat rommelig maar het grote voordeel is dat ook al zou het iemand ooit lukken om zo'n server te kraken, er geen coherente informatie te vinden is van en over gebruikers. Het is een beetje vergelijkbaar met een bank die uw geld ook niet in een speciaal kluisje voor u bewaart.
Passend beschermingsniveau
Het vermeende probleem volgens velen is dat de informatie buiten de EU terechtkomt, onttrokken aan toezicht en regelgeving van Nederland en de EU. Om het helemaal griezelig te maken wordt de Amerikaanse Patriot Act nogal eens van stal gehaald. Ook het College Bescherming Persoonsgegevens (CBP), toezichthouder op het verwerken van persoonsgegevens, doet niet echt haar best om deze mythes uit de wereld te helpen en communiceert vrij mistig. Nergens schrijft zij ondubbelzinnig dat het gebruik maken van Cloud diensten van buiten de EU gevestigde providers (wel of niet) is toegestaan. Bij het lezen van deze toespraak van Paul Frencken, directeur van het College, kon ik mij niet aan de indruk onttrekken dat het CBP de beproefde FUD taktiek toepast om gebruik van buitenlandse Cloud providers te ontmoedigen. Een telefoontje naar hun helpdesk leverde geen concrete informatie op, wel algemene - vrij insinuerende - waarschuwingen. "U blijft als organisatie verantwoordelijk en u moet wel goed weten met wie u in zee gaat...".
Toch is de Wbp zelf vrij helder:
"Het algemene principe dat in artikel 76 WBP is vervat, luidt dat persoonsgegevens alleen naar een derde land mogen worden doorgegeven als dat land, onverminderd de naleving van de wet, een passend beschermingsniveau waarborgt. Dit principe is op de Richtlijn gebaseerd, die de Lidstaten verplicht te garanderen alleen doorgiftes naar een derde land toe te staan als dat land een passend beschermingsniveau waarborgt."
De "Safe Harbour" beginselen
Het draait dus om het begrip "passend beschermingsniveau" dat bepaalt of persoonsgegevens buiten de EU-grenzen kunnen worden opgeslagen. Google is gezeteld in de VS en valt onder het Amerikaanse rechtssysteem. In de Verenigde Staten bestaat geen algemene wetgeving voor de bescherming van persoonsgegevens. Daarom heeft de Europese Commissie ten aanzien van de Verenigde Staten een speciale beslissing genomen: alleen voor die organisaties die zich verplicht hebben tot naleving van de zogenaamde Veilige Haven Beginselen ("Safe Harbour Principles") geldt dat er sprake is van een passend beschermingsniveau. Deze bedrijven staan op een lijst zodat duidelijk is welke bedrijven zich aan de Beginselen houden.
(zie https://safeharbor.export.gov/list.aspx)
Wat is veiliger?
Google komt op deze lijst voor en dus is de Wbp geen belemmering om met Google Apps te gaan werken, ook niet voor organisaties die met privacygevoelige data te maken hebben. Juist deze organisaties - en misschien ook het CBP - zouden onderstaand filmpje eens moeten bekijken en zich afvragen of de extreem beveiligde en gecertificeerde Google servers niet te verkiezen zijn boven hun eigen infrastructuur. Of zoals een deelnemer aan een aan dit artikel voorafgaande Google+ conversatie het uitdrukte: "Een lekkende clouddienst in Nederland brengt je uiteindelijk meer ellende dan Google in de VS".
Zie ook:
- CBP: Doorgifte naar derde landen inzake uw gegevensverwerkingen (PDF)
- Google Apps voor Business: Veiligheid voorop
- ADSMG Blog: Hoe veilig is Google Apps?
- ADSMG Blog: Beveilig je Google Acount met verificatie in twee stappen
0 reacties:
Een reactie posten