Clouds suggereren onafhankelijkheid van plaats. Maar niets is minder waar. Onderzoeksbureau Forrester concludeerde dat begin dit jaar in het rapport Infrastructure-As-A-Service (IaaS) Clouds Are Local And So Are Their Implications. Gebruik van de cloud betekent juist niet automatisch dat de geografische locatie van gegevens niet meer uitmaakt.

Integendeel: meer dan ooit is de locatie van levensbelang. Iedere keer weer moeten bedrijven zich afvragen of ze de gegevens wel over mogen dragen aan een leverancier die elders is gevestigd. Bovendien verschilt dat van land tot land. Mag je persoonsgegevens van bijvoorbeeld klanten van de Nederlandse wetgever wel naar een database buiten de EU verplaatsen?

Privacyrichtlijn

Ja, dat mag, zegt Leo van der Wees, zegt Leo van der Wees, onderzoeker bij het Tilburg Institute for Law, Technology and Society van de Universiteit van Tilburg. “De basis van de Nederlandse wet inzake gegevens van personen, de Wet Bescherming Persoonsgegevens, wordt gevormd door de Europese privacyrichtlijn”, legt hij uit. In die richtlijn staat aan welke regels Europese (en dus ook Nederlandse) persoonsgegevens zijn gebonden.

“Je moet daarbij de bedrijfsbenadering en consumentenbenadering van elkaar scheiden”, zegt Van der Wees. “Grotere bedrijven hebben het relatief makkelijk, omdat ze vaak in onderhandelingen met een cloud-leverancier kunnen eisen dat gegevens niet in bepaalde landen ondergebracht zullen worden. Individuen hebben veelal geen onderhandelingsruimte.”

Als het gaat om waar Nederlandse gegevens zonder mitsen en maren naartoe mogen is het binnen de Europese Unie eenvoudig: overal binnen de grenzen van de EU. Het is dus geen probleem om gevoelige gegevens op een Britse server te laten neerzetten. “Er is wel een duidelijk verschil tussen 'opslag' en 'doorvoer'. De richtlijn is van toepassing op het moment dat gegevens binnen de EU worden opgeslagen. Maar als ze via apparatuur binnen de EU worden getransporteerd, om vervolgens buiten de EU terecht te komen, dan weer niet. Dat maakt het ingewikkeld.”

Beperkt lijstje

Naast de Europese landen is er maar een beperkt aantal landen waar je gegevens zonder geharrewar mee kunt uitwisselen. “Dat zijn naast de EU-landen de landen van de Europese Economische Ruimte, Noorwegen, IJsland en Liechtenstein”, zegt Van der Wees. Andere naties op het lijstje toegestane landen zijn Canada, Argentinië, Australië en Zwitserland.

Daarnaast zijn er nog enkele territoria van bepaalde landen met bijzondere bevoegdheden, zoals de Faeröer-eilanden, Guernsey en Isle of Man. “Het is een heel kort lijstje”, geeft Van der Wees toe. Landen die niet op dat lijstje staan, bieden volgens Europa (en dus volgens Nederland) onvoldoende waarborgen als het gaat om de persoonsgegevens.

Safe Harbor

De Verenigde Staten worden ook genoemd, maar alleen als het om bedrijven gaat die het zogenaamde Safe Harbor-certificaat hebben van het Amerikaanse Ministerie van Handel. Dat is een afspraak met de Europese Unie waarbij een bij Safe Harbor aangesloten Amerikaans bedrijf stelt zich te houden aan de principes inzake de bescherming van persoonsgegevens zoals opgenomen in de Europese privacyrichtlijn.

Maar geheel waterdicht is Safe Harbor niet, zo waarschuwen ook de analisten van Forrester in hun rapport. Op het moment dat bijvoorbeeld de Amerikaanse PATRIOT-act wordt aangeroepen, biedt Safe Harbor geen bescherming meer. De Amerikaanse overheid kan dan zonder blikken of blozen alle gegevens opvragen. Dat maakt het voor een Europees bedrijf een stuk lastiger om in zee te gaan met een Amerikaanse partij die met Amerikaanse datacentra werkt.

Van der Wees plaatst daar wel een kanttekening bij. “Er zijn binnen de EU ook wel landen waar het voor justitie makkelijker is dan in Nederland om opgeslagen gegevens op te vragen”, vertelt hij. “De VS is daar niet zo bijzonder in. Het Europese strafrecht is namelijk per land verschillend.” In de meeste gevallen is het geen probleem, maar honderd procent zekerheid bestaat dus niet.

Vergunning verkrijgen

En de rest van de wereld? Is het niet mogelijk om de gegevens daar te stallen? Kun je echt geen database in bijvoorbeeld Japan draaien? Jawel, het is wel mogelijk. “Echter, indien een land geen passend beschermingsniveau heeft, dien je wel te voldoen aan bepaalde eisen."

Die zijn opgenomen in artikel 26 van de privacy-richtlijn (pdf). "Zo moet een klant expliciet toestemming verlenen voor de gegevensoverdracht, of moet er een zwaarwegend belang in het spel zijn. Voldoe je niet aan die eisen dan kan de Minister van Justitie nog een vergunning voor doorgifte verlenen”, aldus Van der Wees.