Privacy en Cloud

1. Introductie

In het tijdperk van digitalisering is het gebruik van cloud diensten niet meer weg te denken. In de dynamische wereld van cloud is gegevensbescherming bovendien een niet te overzien aspect voor organisaties van elke omvang. Het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens is niet alleen een juridische verplichting, maar evenzeer cruciaal voor het behoud van vertrouwen en het beschermen van de reputatie. Het is daarom belangrijk om over een solide gegevensbeschermingsstrategie te beschikken vooraleer de overgang naar cloud te maken. Onder andere het huidige regelgevingslandschap, en meer specifiek de bezorgdheid over internationale gegevensoverdrachten, stelt uitdagingen voor organisaties die clouddiensten afnemen van providers uit de Verenigde Staten (VS).

2. Wet- en regelgeving

Lokale besturen dienen rekening te houden met de Algemene Verordening Gegevensbescherming (AVG) of GDPR (General Data Protection Regulation). Deze regelgeving schrijft voor dat alle bedrijven, lokale besturen, overheidsdiensten, organisaties en instellingen die in Europa persoonsgegevens verwerken, gebruiken, registreren of bewaren, moeten voldoen aan bepaalde richtlijnen. Deze richtlijnen stellen dat gegevens volgens een afdoend beveiligingsniveau moeten worden verwerkt binnen een organisatie. Om te voldoen aan de AVG, wordt er onder andere verwacht dat persoonsgegevens niet zomaar naar derde landen worden overgedragen die geen adequate gegevensbescherming afdwingen.

3. Juridische onzekerheid bij het gebruik van VS cloud providers

In 2016 stelde de Europese Commissie in 2016 een verordening voor, bekend als het EU–US Privacy Shield, met als doel adequate gegevensbeschermingsverplichtingen bij de overdracht van persoonsgegevens uit de EU naar de VS te waarborgen. Echter, in 2018 hebben de VS de US CLOUD Act aangenomen, die Amerikaanse federale wetshandhavingsinstanties in staat kan stellen in de VS gevestigde technologiebedrijven via bevelschriften of dagvaardingen te dwingen de gevraagde gegevens te verstrekken die zijn opgeslagen op servers, ongeacht of de gegevens in de VS of op buitenlands grondgebied zijn opgeslagen. Daarop vernietigde het Europese Hof van Justitie het Privacy Shield in 2020. Het oordeelde dat, omwille van de verregaande bevoegdheden van de Amerikaanse inlichtingendiensten en het gebrek aan effectieve rechtsmiddelen hiertegen, het Privacy Shield geen adequate bescherming van persoonsgegevens bood. Dit oordeel staat nu bekend als de Schrems II-beslissing.  

Het wegnemen van dit Privacy Shield had aanzienlijke gevolgen. Gegevensbeschermingsautoriteiten, overheidsinstellingen en toezichthouders riepen op tot een stopzetting van gegevensoverdrachten vanuit de EU naar de VS, wat dus ook de vraag deed rijzen of Amerikaanse cloud providers nog gebruikt konden worden.

Om een antwoord te bieden op dit moeilijk vraagstuk en de stijgende onzekerheid, heeft de Europese Commissie in juli 2023 het EU-VS Data Privacy Framework aangenomen. Amerikaanse bedrijven die deelnemen aan dit raamwerk worden nu verondersteld een passend beschermingsniveau te garanderen voor persoonsgegevens overgedragen vanuit de EU. Een overzicht van deze bedrijven kan hier geraadpleegd worden. Het blijft echter afwachten of dit nieuwe raamwerk lang zal standhouden. Privacy experten verwachten immers dat dit opnieuw zal worden aangevochten voor het Europese Hof van Justitie, aangezien het de fundamentele surveillanceproblemen onvoldoende zou oplossen.

4. Gebrek aan Europese alternatieven

Het gebruik van cloud diensten groeit aanzienlijk, met voorspellingen dat tegen 2025 de helft van alle IT-uitgaven van organisaties hiernaartoe zal gaan. De markt wordt momenteel gedomineerd door drie grote Amerikaanse aanbieders - Amazon Web Services, Microsoft Azure en Google Cloud Platform – die samen meer dan 60% van het wereldwijde marktaandeel bezitten. Deze dominantie levert een dilemma op voor Europese organisaties. Terwijl gegevensbeschermingsautoriteiten aanbevelen het gebruik van Amerikaanse cloud providers te staken, bemoeilijkt het gebrek aan competitieve Europese alternatieven dit. Project GAIA-X, in 2020 gestart door Frankrijk en Duitsland om een Europese cloud-infrastructuur op te zetten, staat voor uitdagingen en scepsis, met zorgen over buitenlandse invloed en twijfels over de slaagkansen om de macht van de Amerikaanse grote spelers effectief in te perken.

5. Nieuwe standaardcontractbepalingen en soevereine cloud

De Europese Commissie erkent de bezorgdheid over de onzekerheid die ontstaan is bij het gebruik van VS cloud providers. Ze publiceerde daarom nieuwe standaardcontractbepalingen als overdrachtsmechanisme. Door het gebruik van deze nieuwe bepalingen worden ondernemingen uit derde landen contractueel verplicht om voldoende veiligheidswaarborgen te bieden.

Eén van de veiligheidswaarborgen die contractueel kan worden afgedwongen is het versleutelen van persoonsgegevens in rust en tijdens de overdracht. De effectiviteit van deze versleuteling hangt echter af van wie de controle heeft over de versleutelingssleutels. Rechtbanken hebben geoordeeld dat een organisatie beroep kan doen op een Amerikaanse cloud provider, indien deze cloud provider zelf geen controle heeft over de versleutelingssleutels. Het gebruik van dergelijk Key Management System biedt een levensvatbaar alternatief voor Europese organisaties en instanties, waardoor ze verder gebruik zouden kunnen maken van de Amerikaanse cloud providers met verbeterde waarborgen voor gegevensbescherming.

Recent duikt ook vaker de term ‘soevereine cloud’ op bij de grote (Amerikaanse) cloud providers. Dit is een cloudoplossing voor de veilige opslag van gevoelige of vertrouwelijke gegevens, onderworpen aan strikte regelgeving. De soevereine cloud garandeert dat alle gegevens, inclusief metatdata en persoonsgegevens, binnen de Europese Unie blijven en niet vanuit derde landen (zoals de VS) toegankelijk zijn. Een belangrijk onderdeel van een soevereine cloud is het hebben van de controle over de versleutelingssleutels.

6. Adviezen van gegevensbeschermingsautoriteiten en de Vlaamse Toezichtscommissie

Gegevensbeschermingsautoriteiten adviseerden organisaties om overeenkomsten met dochterondernemingen van Amerikaanse cloud providers, zoals Amazon Web Services (AWS) SARL, te beëindigen. De Vlaamse Toezichtscommissie (VTC) heeft richtlijnen uitgegeven over het acceptabel gebruik van cloud providers en stelt bovendien strikte regels aan Vlaamse overheidsentiteiten die cloud diensten willen gebruiken. Zo verbiedt de VTC standaard het gebruik van niet-Europese cloud providers, tenzij bepaalde aanvullende maatregelen voor gegevensbescherming, zoals versleuteling, worden overwogen.

De twee belangrijkste adviezen die de VTC publiceerde in kader van het gebruik van cloud providers zijn de volgende:

• Advies VTC nr. 2020/05: hierin is een beslissingsmaatregel terug te vinden, opgesteld voor de Vlaamse Overheid, met daarin de voornaamste criteria qua risico’s en maatregelen die de mogelijke hostingoplossingen duidelijk maken.

• Advies VTC nr. 2022/02: hierin uit de VTC opnieuw haar bezorgdheid voor het gebruik van VS cloud providers. Het advies bevat een overzicht van de maatregelen die, op basis van de inzichten van de VTC, minimaal moeten genomen worden bij hosting in de cloud.

7. Conclusie

De juridische historiek over gegevensoverdracht tussen de EU en VS heeft veel onzekerheid veroorzaakt bij ondernemingen die gebruik maken van VS cloud providers. Ook al biedt het EU-VS Data Privacy Framework momenteel de mogelijkheid om persoonsgegevens naar de VS over te dragen, er heerst grote onzekerheid of deze oplossing lang zal standhouden.

Ook al blijft het regelgevingslandschap continu evolueren, er is ten minste één optie die direct beschikbaar is: bij het gebruik van een Amerikaanse cloud provider is er de mogelijkheid om een Key Management System te adopteren dat in staat stelt beter controle te houden over de versleutelingssleutels.

We raden lokale besturen aan de adviezen van de VTC in rekening bij het overschakelen naar of het gebruik van cloudoplossingen.