Onlangs gaf Microsoft te kennen dat ze Europese data vanaf dit jaar ook echt in Europa wilt houden. Daarmee zou die data onder de Europese datawetgeving, lees AVG, vallen. Toch is er een stukje Amerikaanse wetgeving die nog altijd roet in het eten gooit voor wie denkt op de Azure cloud vrij te zijn. En ja, dat geldt ook voor iedereen die host op AWS en Google Cloud…
EU data in de VS
Wanneer je data van burgers uit de EU in de VS opslaat, moet je die afdoende beveiligen. Je kunt daar onder anderen SCC contracten voor afsluiten met verwerkers in de VS. Een goed voorbeeld hiervan is Mailchimp die dit toelaat. Echter is het dan nog altijd zo dat de Amerikaanse overheid grondrechtelijk zich het recht voorbehoudt om toegang te krijgen tot die data. De manier voor buitenlandse bedrijven om dit op te lossen is door data actief in de EU op te staan en niet meer de grens over te laten gaan.
Cloud Act
De Cloud Act staat voor Clarifying Lawful Overseas Use of Data Act. Dat Overseas is nou net waar het fout gaat. Die staat de Amerikaanse overheid toe om via bevelschriften en dagvaardingen ook data die opgeslagen is over de grens, op te vragen. Dus ook hier in Europa. Dit noem je ook wel extraterritoriale wetgeving en dat doet niet alleen de VS. Ook de GDPR, de basis van de AVG, en wetgeving als de Digital Markets Act en Digital Services Act zijn vormen van extraterritoriale wetgeving omdat ze gebruikt kunnen worden om bedrijven buiten de EU aan te pakken voor hoe ze omgaan met data van Europese burgers.
In opdracht van het Nationaal Cyber Security Centrum mocht advocatenkantoor GreenbergTraurig de positie van de CLOUD-act in de EU uitzoeken en kwam met deze memo.
Interessant is dat het kantoor vooral de conclusie stelt dat het heel lastig is om vast te stellen voor de gegevenseigenaar of verwerkingsverantwoordelijke of er bij Europese verwerking van persoonsgegevens door Europese partijen spraken is van data die opgeëist kan worden op basis van de CLOUD-Act. Met name omdat het lastig is om de extraterritoriale invloeden uit te schakelen in de gehele supply chain. Met ander woorden; je kunt goed je best doen, maar risico’s dat je data moet delen met de VS of een ander land lijken bijna niet uit te sluiten.
Data Security Law
De VS en EU staan niet alleen in deze vorm van extraterritoriale wetgeving. Ook landen als Australië, Zuid-Afrika en India hebben vergelijkbare wetgeving. Die van China is helemaal interessant omdat hun Data Security Law is geschreven als antwoord op de CLOUD-Act. Er woedt al langer op een handelsoorlog tussen de twee naties die zich dus ook op het gebied van privacy voortzet.