Promoted

CLOUD Act is ‘tikkende tijdbom’: overtreed jij alsnog de AVG?

0

Terwijl Europa druk bezig was met de invoering van de AVG (of GDPR), werd aan de andere kant van de wereld een (achter)deur geopend naar ‘onze’ data. Chief Information Officers (CIO), IT-directeuren en Privacy Officers van Nederland, hoe staat het met de privacy van jouw technology stack? Ben je, zonder dat je het door hebt, direct in overtreding met de AVG?

Eerder dit jaar werd in de VS de CLOUD Act aangenomen. Door deze wet krijgt de regering Trump direct toegang tot data van Amerikaanse bedrijven die remote computing diensten aanbieden, en die wereldwijd zijn opgeslagen. Dus ook e-mail, documenten, foto’s, video’s en andere cloudgegevens van EU-burgers. Door toedoen van een Amerikaanse leverancier zou je als organisatie wel eens in overtreding kunnen zijn, terwijl je in de veronderstelling bent dat je alles keurig hebt geregeld.

De CLOUD Act is, in de huidige vorm, in strijd met de AVG die sinds mei 2018 van kracht is. De privacywetgeving was noodzakelijk om een einde te maken aan de data bonanza van de afgelopen jaren én het individu zeggenschap te geven over het gebruik van persoonsdata. De consument was namelijk hard bezig het vertrouwen in data gedreven marketing te verliezen. De snelle adoptie van ad blockers kwam niet zomaar uit de lucht vallen.

De Europese privacyregels behoren tot de strengste in de wereld. Veel bedrijven zien de AVG als een kans om het verschil te maken. Met de juiste datastrategie heb je niet alleen concurrentievoordeel, maar kun je ook het vertrouwen van de consument terugwinnen. Maar alleen als je inventief, creatief en transparant bent. Leg dus goed uit wat je van plan bent, wat het de consument oplevert en welke informatie je waarvoor wil gebruiken. Wat waarschijnlijk niet zal helpen? Verborgen achterdeurtjes. Het is dan ook niet gek dat veel bedrijven op zoek gaan naar alternatieven voor sommige (cloud)diensten die zij gebruiken.

De belangrijkste ontwikkelingen rond de CLOUD Act op een rij:

  • Op 23 maart 2018 tekent VS-president Donald Trump de zogenaamde Clarifying Lawful Overseas Use of Data Act (CLOUD Act).
  • In juli eist het Europees Parlement dat er vóór 1 september 2018 aanpassingen aan de CLOUD Act moeten worden gedaan. De Amerikaanse regering geeft daar geen gehoor aan.
  • Begin oktober informeert minister Ferd Grapperhaus (Justitie en Veiligheid) de Tweede Kamer over de impact van de CLOUD Act en het conflict met de AVG. Het is onduidelijk hoe Amerikaanse bedrijven om zullen gaan met de nieuwe wet. De Nederlandse regering vindt dat er een aanvullend verdrag moet worden gesloten tussen de VS en de EU.

cloudact

‘De CLOUD Act? Nog nooit van gehoord’

Je zou denken dat door de toenemende privacyzorgen bij veel bedrijven alarmbellen afgaan, maar niets is minder waar. “Het verbaasde me dat er zo weinig over de risico’s van de CLOUD Act in het nieuws kwam”, zegt Bram Smits, CEO van E-Mail & Marketing Technology Hub Tripolis. “Alleen op specifieke juridische en overheidsfora waren berichten te vinden. Wat ons betreft is er sprake van een tikkende tijdbom en moeten veel meer mensen geïnformeerd worden.” Het gebrek aan publiciteit kan volgens hem misschien ook worden verklaard doordat er sprake is van een nieuwe inconvenient truth: we zijn zo afhankelijk geworden van Amerikaanse (marketing)technologie, dat we er niet meer van af kunnen.

Een van de grootste uitdagingen is dat bedrijven weinig weten van de CLOUD Act. Uit een rondgang van Tripolis bij meer dan duizend Nederlandse ondernemingen blijkt zelfs dat ruim 80% nog niet eerder van deze wet had gehoord. De helft van deze bedrijven gaf aan concrete acties te willen nemen om het risico op overtreding in te perken, maar wist tegelijkertijd niet goed hoe en waar te beginnen.

Bedrijven die wel bekend zijn met de CLOUD Act, zijn over het algemeen grote, vaak internationaal opererende organisaties. Een groot deel dacht de risico’s te hebben afgedekt door data uitsluitend in Europa op te slaan of door specifieke garanties te eisen van hun huidige providers. Maar in beide scenario’s lopen zij helaas nog steeds risico. Het maakt namelijk niet uit waar de data zijn opgeslagen en Amerikaanse leveranciers moeten zich aan hun eigen wetgeving houden en kunnen bepaalde dingen nooit uitsluiten in hun contracten met Nederlandse klanten.

Enkele grotere bedrijven, die wereldwijd actief zijn, zijn bezig met de inrichting van een aparte data-architectuur, waarbij zowel wordt gekeken naar de gevoeligheid van de data als de vestigingsplaats van hun leveranciers. Idealiter zou dit hybride model ertoe leiden dat bepaalde gegevens uitsluitend via Europese leveranciers worden opgeslagen en dat minder gevoelige data wel door Amerikaanse techbedrijven kunnen worden opgeslagen en verwerkt. Tegelijkertijd gaven zij aan dat de inrichting hiervan erg problematisch was en misschien zelfs onmogelijk, simpelweg doordat er in Europa geen alternatieven zijn voor bepaalde technologieën.

Hoe nu verder?

De CLOUD Act is een ontwikkeling die bijna elk bedrijf in Nederland raakt. De gevolgen zijn echter nog niet helder. Er wordt aangestuurd op een structurele oplossing, een verdrag tussen de VS en de EU, maar het is nog maar de vraag of dat er gaat komen, en zo ja, hoe lang het gaat duren voor er overeenstemming is. Maar wat kun je dan wel doen om minder risico te lopen?

Tripolis roept CIO’s, IT directeuren en Privacy Officers op om kritisch te kijken naar hun technology stack. Begin met de basics, zoals e-mail, SMS, telecom en internet. Zijn er misschien goede Europese of zelfs Nederlandse alternatieven? Als je nu bijvoorbeeld werkt met een e-mail provider als Sendgrid of Mailgun, kijk dan eens naar de e-Mail delivery engine van Tripolis. Met hun Snelle-Overstap-Service (S-O-S) heb je het CLOUD Act-risico in ieder geval voor je e-mail opgelost. Wil je meer weten over de CLOUD Act? Download het whitepaper.