Inleiding
De Amerikaanse overheid heeft carte blanche wanneer het gaat over gegevens van Europese individuen en organisaties die zijn opgeslagen in cloudsystemen van Amerikaanse aanbieders, ook al wordt daarbij beweerd dat die gegevensopslag volledig voldoet aan de Nederlandse AVG en de Europese GDPR standaarden.
De GDPR en de Amerikaanse CLOUD Act botsen fundamenteel op het gebied van jurisdictie, transparantie, databescherming en gebruikersrechten. Voor Europese organisaties die volledige privacy willen, is het risicovol om Amerikaanse clouddiensten te gebruiken. Het veiligste alternatief is om over te stappen naar Europese providers of lokaal gehoste, versleutelde oplossingen.
Jurisdictie en toegang tot data
GDPR
- Data moet binnen de EU blijven of alleen naar landen met een “adequaat beschermingsniveau” worden overgedragen (bijv. via Privacy Shield, Standard Contractual Clauses, of Binding Corporate Rules).
- Persoonsgegevens mogen niet zomaar worden gedeeld met derde landen, tenzij er sprake is van een geldige rechtsgrondslag (bijv. toestemming, contractuele noodzaak).
- Europese burgers en organisaties hebben het recht om te weten waar hun data wordt opgeslagen en wie er toegang toe heeft.
CLOUD Act
- Amerikaanse autoriteiten (bijv. FBI, NSA) kunnen toegang eisen tot data die is opgeslagen bij Amerikaanse cloudproviders (bijv. Microsoft, Google, AWS, Apple), zelfs als die data fysiek in de EU staat.
- De CLOUD Act overschrijft lokale privacywetten en dwingt Amerikaanse bedrijven om data uit te leveren, ongeacht waar ter wereld die data staat.
- Geen notificatieplicht: Bedrijven mogen gebruikers doorgaans niet waarschuwen als hun data is opgeëist.
Conflict
- Als een Europese organisatie Amerikaanse clouddiensten gebruikt (bijv. AWS, Azure, Google Cloud), kan de data toch worden opgeëist door de VS, zelfs als de servers in de EU staan.
- Dit ondermijnt de GDPR-bescherming en het vertrouwen in clouddiensten.
Doelbinding en dataminimalisatie vs. massale dataverzameling
GDPR
- Doelbinding: Data mag alleen worden verzameld voor een specifiek, legitiem doel en niet voor andere doeleinden worden gebruikt.
- Dataminimalisatie: Alleen de strikt noodzakelijke data mag worden verzameld en bewaard.
Bewaartermijnen: Data mag niet langer worden bewaard dan nodig.
CLOUD Act
- Massale dataverzameling: Amerikaanse inlichtingendiensten kunnen grote hoeveelheden data opvragen, ook als die niet relevant is voor een specifiek onderzoek.
- Geen beperking tot noodzakelijke data: Er is geen verplichting om alleen relevante data op te vragen.
Conflict
Europese organisaties die Amerikaanse cloudproviders gebruiken, lopen het risico dat onterecht veel data wordt blootgesteld aan Amerikaanse autoriteiten, in strijd met de GDPR-principes.
Transparantie en gebruikersrechten vs. geheimhouding
GDPR
- Recht op inzage: Burgers hebben het recht om te weten welke data over hen wordt verwerkt.
- Recht op vergetelheid: Burgers kunnen eisen dat hun data wordt gewist.
- Meldplicht datalekken: Organisaties moeten datalekken binnen 72 uur melden.
CLOUD Act
- Geheimhouding: Amerikaanse autoriteiten kunnen gag orders afdwingen, waardoor bedrijven niet mogen vertellen dat data is opgeëist.
- Geen gebruikersnotificatie: Gebruikers worden vaak niet geïnformeerd als hun data is opgeëist.
Conflict
Europese burgers en organisaties weten niet of hun data is opgeëist door Amerikaanse autoriteiten.
Dit schendt het GDPR-recht op transparantie en maakt het onmogelijk om gebruikers te informeren over datalekken of toegang door derde partijen.
Locatie van data
GDPR
- Data moet in de EU blijven of naar landen met een adequaat beschermingsniveau (bijv. via SCC’s of Binding Corporate Rules).
- Schrems II-uitspraak: Het Europees Hof heeft bepaald dat Standard Contractual Clauses (SCC’s) alleen voldoende zijn als het ontvangende land daadwerkelijk privacy waarborgt. De VS wordt vaak als onveilig beschouwd vanwege wetten als de CLOUD Act en FISA 702.
CLOUD Act
- Toegang tot data wereldwijd: Amerikaanse autoriteiten kunnen data opeisen, ongeacht waar deze fysiek staat.
- Geen garantie voor Europese privacy: Zelfs als data in EU-datacenters staat, kan deze toch worden opgeëist.
Conflict
Europese organisaties die Amerikaanse cloudproviders gebruiken, kunnen nooit 100% zeker zijn dat hun data privé blijft.
Dit maakt het moeilijk om te voldoen aan de GDPR, vooral na de Schrems II-uitspraak.
Sancties en handhaving
GDPR
- Hoge boetes: Tot 4% van de wereldwijde omzet of €20 miljoen (wat hoger is) bij overtredingen.
- Verantwoordelijkheid bij de organisatie: Organisaties zijn zelf verantwoordelijk voor de bescherming van persoonsgegevens.
CLOUD Act
- Amerikaanse bedrijven moeten gehoorzamen: Als een Amerikaans bedrijf (bijv. Microsoft, Google) weigert om data uit te leveren, riskeert het hoge boetes of strafrechtelijke vervolging in de VS.
- Europese organisaties hebben geen invloed: Zij kunnen niet voorkomen dat Amerikaanse providers data uitleveren.
Conflict
Europese organisaties die Amerikaanse clouddiensten gebruiken, lopen het risico op GDPR-boetes als hun data wordt opgeëist door de VS, terwijl ze hier zelf geen controle over hebben.
Praktische gevolgen voor Europese organisaties
Risico op datalekken en inbreuk op privacy
Data opgeslagen bij Amerikaanse providers kan toegankelijk zijn voor Amerikaanse autoriteiten, zonder dat de organisatie of gebruiker dit weet.
Moeilijkheid om te voldoen aan GDPR
Het is bijna onmogelijk om te garanderen dat data nooit wordt opgeëist onder de CLOUD Act als je Amerikaanse clouddiensten gebruikt.
Vertrouwenskwestie
Europese burgers en organisaties wantrouwen Amerikaanse cloudproviders vanwege de CLOUD Act en andere surveillancewetten (bijv. FISA 702).
Alternatieven zoeken
Veel Europese organisaties stappen over naar Europese cloudproviders (bijv. Nextcloud, OVHcloud, Tencent (EU-regio), oder lokale hosting) om de GDPR te waarborgen.
Oplossingen voor Europese organisaties
Gebruik Europese cloudproviders
Kies voor providers die uitsluitend in de EU opereren en niet onderworpen zijn aan de CLOUD Act (bijv. OVHcloud, Hetzner, Ionos, TransIP).
Encryptie en zero-knowledge opslag
Gebruik end-to-end encryptie zodat zelfs de provider de data niet kan inzien. Overweeg zero-knowledge services (bijv. ProtonMail, Tresorit, Nextcloud met E2E-encryptie).
Data minimaliseren
Sla alleen strikt noodzakelijke data op en vermijd Amerikaanse diensten voor gevoelige informatie.
Contractuele waarborgen
Gebruik Standard Contractual Clauses (SCC’s) met extra technische en organisatorische maatregelen (bijv. encryptie, pseudonimisatie). Voer een Data Protection Impact Assessment (DPIA) uit om risico’s in kaart te brengen.
Lokale hosting
Host gevoelige data lokaal of in een Europese private cloud.
Conclusie
De GDPR en de CLOUD Act botsen fundamenteel op het gebied van jurisdictie, transparantie, databescherming en gebruikersrechten. Voor Europese organisaties die volledige privacy willen, is het risicovol om Amerikaanse clouddiensten te gebruiken. Het veiligste alternatief is om over te stappen naar Europese providers of lokaal gehoste, versleutelde oplossingen.
