Dat zeggen experts naar aanleiding van een opgelaaid conflict tussen de Europese en Amerikaanse wetgeving voor bescherming van data. Daarnaast moeten Europese bedrijven inspringen op de mogelijkheden die deze situatie met zich meebrengt.

“Dit kan een mooie mogelijkheid zijn voor cloud computing bedrijven in de Europese Unie om in te lopen op de markt. Zij kunnen veiligheid en privacy van data garanderen, zolang ze geen link hebben met de VS", zegt Jeanne Pia Mifsud Bonnici, adjunct-hoogleraar Europees technologierecht en de fundamentele rechten van de mens aan de universiteit Groningen.

Amerikanen graaien in clouddata

Cloud computing in Europa staat sinds kort onder druk door een conflict tussen de Verenigde Staten en de Europese Unie over privacyrechten van gebruikers van data in Europa. De afgelopen weken laaide de discussie over de rechten en plichten van de Amerikaanse Patriot Act en de strijd met de Europese databeschermingswetgeving op.

Aanleiding was een waarschuwing van onder andere Microsoft dat het geen garantie kan geven dat de data veilig zijn binnen de EU voor de Amerikaanse wetgever. De Nederlandse politica Sophie In 't Veld van D66 diende samen met andere Europarlementariërs vragen in bij Eurocommissaris Reding over deze zaak.

Patriot Act hoger dan EU-wetten?

“De Patriot Act kan inderdaad EU data en privacy wetgeving overtroeven", zegt Nigel Murray, Managing Director van Huron Legal, een consultancy bureau in Londen en de Verenigde Staten. “Dit geldt echter alleen als de data opgeslagen zijn bij een Amerikaans (dochter)bedrijf, zoals het geval is bij Microsoft. Maar ook als data worden verplaatst naar de Verenigde Staten onder de Safe Harbour protocol of een Amerikaans rechtsbevel dan kunnen Amerikaanse toezichthouders de gegevens opvragen onder de Patriot Act. Meestal zonder dat de betrokkene er iets vanaf weet."

Volgens de Europese wetgeving is er echter niets vastgelegd over de bescherming van personen en data en veiligheid. “Zover reikt de EU-wetgeving op dat gebied niet. En kan men zich dus afvragen of de Patriot Act in strijd is met deze wetgeving", aldus Bonnici.

In de VS is graaien normaal

Binnen de Verenigde Staten is het niet ongebruikelijk dat bedrijven hun data prijs moeten geven volgens deze terrorismewetgeving. Zo moest het hostingbedrijf van Wikileaks dit jaar haar data afstaan aan een Amerikaanse rechtbank, omdat het bedrijf als een bedreiging wordt gezien. Bij een Europees bedrijf levert dit echter meer problemen op.

“Dit botst met de eisen van de Europese privacyregels, die alleen toelaten dat bij concrete verdenkingen jegens personen in diens gegevens wordt gesnuffeld. Maar in de VS geldt natuurlijk alleen de Amerikaanse wet, net zoals bij ons alleen de Europese wet geldt", zegt Arnoud Engelfriet van ICTRecht.

Data is niet veilig in Europa

Dat betekent dat een groot aantal data op dit moment niet veilig is in Europa. ICTRecht ziet daarnaast juridische problemen voor bedrijven binnen de EU. “Een Europees bedrijf dient te allen tijde te garanderen dat persoonsgegevens adequaat beveiligd zijn tegen ongeautoriseerd gebruik. Wie dus volgens de letter van de wet wil handelen, mag geen persoonsgegevens op servers in de VS opslaan, ook niet in een cloudconstructie. Tenzij men technische maatregelen kan nemen waardoor de data niet te lezen is van de servers in de VS, bijvoorbeeld met encryptie."

In 't Veld strijdt binnen de Europese Unie voor meer duidelijkheid over de mogelijkheden om data te beveiligen binnen Europa. "De Europese Commissie moet dit dringend opnemen met de Amerikaanse regering en duidelijk maken dat we dit niet accepteren", zegt de politica op haar website.

Meer duidelijkheid hard nodig

Volgens Arnout Engelfriet is meer duidelijkheid hard nodig. “Wat men juridisch kan doen, is onduidelijk. De EU heeft geen jurisdictie over de VS (of omgekeerd). Hooguit kan men Amerikaanse bedrijven boetes opleggen omdat die immers de Europese wetten schenden."

Experts komen met verschillende oplossingen voor bedrijven die gebruik maken van cloud computing diensten uit de Verenigde Staten. Huron Legal adviseert haar Europese klanten om een Cloud Minus model aan te gaan. “Dat betekent dat zij weten waar hun data zijn opgeslagen en waar de back-ups zijn opgeslagen. Ze moeten zeker weten dat zij geen gebruik maken van een Amerikaans (dochter)bedrijf."

Contracten zullen VS niet stoppen

Een andere, maar ingewikkeldere mogelijkheid is volgens Mifsud Bonnici zorgvuldig opstellen van contracten. “Bedrijven kunnen ervoor zorgen dat binnen een clausule van het contract wordt vastgelegd dat de wetgeving van één van de EU-lidstaten van toepassing is. Maar of dit genoeg is om het bereik van de Patriot Act te stoppen, is maar de vraag."

Het lijkt er vooralsnog op dat de Europese politiek alleen kiest voor (politieke) druk. Arnoud Engelfriet vreest dat dit weinig resultaat zal opleveren. “De Amerikanen zijn meestal niet zo gevoelig voor wat zij zien als soft Europees gezeur in de strijd tegen het terrorisme."