Er wordt door Amerikaanse bedrijven al jarenlang grootschalige fraude gepleegd met het Safe Harbor-keurmerk. De federale overheid in Washington controleert niet en de Europese Commissie laat het op zijn beloop. Bovendien wordt een uiterst kritisch rapport over de fraudepraktijken al maanden achtergehouden. Dat blijkt uit onderzoek van Webwereld.

De Europese fractie van D66 eist opheldering van de Europese Commissie en de SP stelt kritische Kamervragen aan het kabinet over de kwestie. Juristen concluderen waarschuwend: “Vertrouw Safe Harbor niet.”

Veilige datahaven?

In het kader van een serie over de cloud en databescherming dook Webwereld dieper in de Safe Harbor-principes, een cruciale regeling tussen de EU en VS. Alleen als Amerikaanse bedrijven Safe Harbor gecertificeerd zijn mogen ze privégegevens van Europese consumenten verwerken en opslaan. Het gaat om zeven principes, waaronder ‘ondubbelzinnige toestemming’ van en een opt-out mogelijkheid voor betrokkenen, passende databeveiliging, duidelijk omschreven handhaving en correcte klachtafhandeling.

Mail- en chatdiensten, sociale netwerken, cloudproviders, ze moeten allemaal aan de eisen voldoen, anders mogen ze helemaal niet met uw privédata aan de slag. Ruim 2000 Amerikaanse firma’s zijn gecertificeerd, waaronder uiteraard giganten als Microsoft, Facebook, Google. Een relatief veilige Amerikaanse haven voor Europese data, toch?

Relatief, want met de antiterreurwet Patriot Act in de hand kan de Amerikaanse overheid al deze data alsnog vorderen. Vandaar dat Eurocommissaris Neelie Kroes, maar ook het het Amerikaanse adviesbureau Forrester waarschuwen voor de risico's van het laten opslaan van data in de VS.

Chaos door zelfregulering

Maar er is veel meer aan de hand. De regels rondom Safe Harbor zijn zo zacht als boter en is er is totaal geen toezicht. Het fundamentele probleem zit bij het Amerikaanse Ministerie van Handel, dat de lijst met Safe Harbor-bedrijven ‘beheert’. Van echt beheer is geen sprake, want de bedrijven certificeren én controleren zichzelf.

Het departement meldt dan ook: “Het Ministerie van Handel doet geen onderzoek naar en uitspraken over de geldigheid van het privacybeleid van welke organisatie op de lijst dan ook en voert ook geen controles uit. Bovendien garandeert het Ministerie niet dat de lijst klopt en neemt het geen aansprakelijkheid voor foutieve registraties, opnames, omissies en verwijderingen van de lijst.”

Het resultaat? De zelfregulering van Safe Harbor is al jaren een chaos en het keurmerk wordt structureel misbruikt. Zo claimen honderden Amerikaanse firma’s dat ze gecertificeerd zijn, zonder dat ze aan de voorwaarden voldoen. Uit evaluaties van de EU in 2002 en 2004 bleek het systeem al niet te werken.

Vier jaar later, in 2008, was er niets verbeterd en kwam het onafhankelijke onderzoeks- en adviesbureau Galexia in een rapport tot een vernietigend oordeel. Van de 1,597 organisaties op de Safe Harbor-lijst voldeden er slechts 348 enigszins aan alle zeven principes.

Aanhoudende fraude

Bovendien bleken honderden Amerikaanse bedrijven een Safe Harbor-keurmerk op hun site te voeren, terwijl ze niet eens lid waren. Het rapport van het Australische onderzoeksbureau Galexia is een grote waslijst van fouten, misstanden, gesjoemel en fraude.

De conclusie: "Het aantal valse claims van organisaties vormt een significant privacyrisico voor consumenten. [...] Consumenten en bedrijven zouden elke claim over Safe Harbor moeten wantrouwen en zelf onderzoek doen voordat ze enige persoonlijke informatie aan Amerikaanse organisaties overhandigen."

Dat was in 2008. Zijn sindsdien de problemen opgelost? De FTC heeft vorig jaar zes bedrijven aangeklaagd wegens valse Safe Harbor-claims. Die zaken zijn geëindigd in een schikking. En eind 2009 is er opnieuw overleg geweest tussen de EU en de VS. (De Safe Harbor-principes stammen al uit het jaar 1998).

Maar het gesjoemel gaat gewoon door. In juli van dit jaar presenteerde Galexia-directeur Chris Connolly de resultaten van een vervolgonderzoek. 2170 Amerikaanse bedrijven claimen inmiddels het Safe Harbor certificaat te hebben. Maar 388 daarvan bleken niet eens geregistreerd bij het Ministerie van Handel, en van 181 was het certificaat verlopen. Maar liefst 940 bedrijven maken helemaal niet duidelijk hoe zij de Safe Harbor-principes handhaven en de gevoelige data van Europeanen beschermen. 314 firma’s hanteerden - tegen de principes in - klachtenprocedures die de klager op enorme kosten jagen, al snel duizenden euro’s.

Onderzoeksrapport blijft uit

Deze cijfers komen van het Datenschutzzentrum Schleswig-Holstein, de onafhankelijke privacytoezichthouder van die Duitse deelstaat. Die deed verslag van de presentatie van Connolly.

Het Datenschutzzentrum wacht echter al maanden op publicatie van het onderzoeksrapport. “Deze cijfers komen uit de presentatie die de heer Connolly in juli hield in Cambridge. Het rapport zou in augustus uitkomen. Maar sindsdien hebben we niets meer van hem vernomen,” aldus een woordvoerder van de Duitse privacywaakhond.

De afgelopen maand heeft Webwereld talloze pogingen gedaan om in contact te komen met Chris Connolly, maar die lijkt ondergedoken en reageert helemaal niet. Een woordvoerder van Galexia stelt dat hij het ‘heel druk’ heeft.

Desgevraagd laat de zegsman wel in cryptische termen weten waarom het rapport nog niet is verschenen. “De uitkomsten zijn nogal schokkend, sommige partijen waren hier niet blij mee. Daarom is het rapport nog niet gepubliceerd.” Of de resultaten überhaupt nog wordt geopenbaard, durft hij niet te zeggen.

Safe Harbor failliet

“Als je die bevindingen en conclusies leest, dan ben ik wel geschokt. Dit is vrij heftig. In de afgelopen tien jaar is er blijkbaar weinig verbeterd”, reageert Leo van der Wees, onderzoeker bij het Tilburg Institute for Law, Technology and Society van de Universiteit van Tilburg.

“Alle reden om te zeggen, die Safe Harbor is leuk, maar wij komen wel eens terug als het goed geregeld is. En áls je dan toch in zee gaat met een partij die dat keurmerk voert, neem dan vooral niet zomaar aan dat het in orde is.”

“Ik ben bang dat de Safe Harbor inmiddels heel weinig waarde meer heeft, constateert ook Theo Bosboom, ICT-advocaat bij Dirkzager Advocaten. “Het idee erachter was helemaal niet zo slecht, maar als er dan verder geen enkele controle op is, en ieder bedrijf dat zegt ‘hier voldoe ik aan’ kan zich aansluiten zonder consequenties als het niet klopt, dan verwatert het natuurlijk. Je kunt vaststellen dat dat inmiddels is gebeurd.”

Dus beter je data binnen Europa houden? Zeker, adviseert Bosboom. “Als bedrijven aan mij vragen: is dit een issue? Dan zeg ik: ja. Als er aanbieders zijn die garanderen dat de data wél binnen de Europese Unie blijven, dan is dat juridisch gezien zonder meer de beste keuze.”

Opheldering van EC en kabinet

D66 Europarlementariër Sophie in ’t Veld wil middels Parlementaire Vragen opheldering van de Europese Commissie over de Safe Harbor-misstanden. “Laat de Commissie dit maar eens uitleggen, wat ze weten van die rapporten en waarom er niks mee gedaan is." Ook vraagt ze zich af wat de rol is van de Amerikaanse toezichthouder FTC.

In 't Veld vindt de kwestie typerend voor het gebrek aan privacybewustzijn en -prioriteit, in de VS maar ook in Europa. "Over van alles en nog wat voeren de EU en de VS hele handelsoorlogen, maar een totaal gebrek aan controle op grensoverschrijdende verwerking en -opslag van privégegevens van honderden miljoenen Europeanen kan blijkbaar jaren worden genegeerd."

In Brussel wordt momenteel gewerkt aan een overkoepelend Transatlantisch verdrag over databescherming. "En Europa is zelf momenteel bezig met een grondige herziening van het hele framework rondom data protection. Het is een goed moment om niet alleen privacy- databescherming bij overheden tegen het licht te houden, maar ook bij de private sector. Want de Safe Harbor is veel te vrijblijvend en eigenlijk al lang achterhaald."

De fraude met Safe Harbor-certificaten is ook voor Tweede Kamerlid Sharon Gesthuizen (SP) aanleiding voor Kamervragen aan de minister en staatssecretaris van Veiligheid en Justitie.

De SP pleit voor een algemeen bindend verdrag met de Verenigde Staten over de bescherming van persoonsgegevens, dat toeziet op alle gegevens, niet alleen justitiële. De vraag is hoe het kabinet daar over denkt.

Privacykloof

Eurocommissaris Neelie Kroes kondigde vorige week nieuwe regels aan omtrent databescherming en cloud computing. Maar of dat het einde van de omstreden Safe Harbor-code betekent is nog niet duidelijk.

Advocaat Bosboom ziet weinig toekomst in Safe Harbor, maar hoopt wel dat Europa en de VS tot een bindend verdrag komen over grensoverschrijdende dataverwerking, al acht hij de kans op zo’n verdrag klein. “De VS en Europa denken zo verschillend over privacy. Dat blijkt hier maar weer eens uit.”

Toch moet er volgens Bosboom snel wat gebeuren. “Een groot deel van het internationale bedrijfsleven worstelt hiermee. De juridische praktijk is gewoon niet afgestemd op cloud computing, terwijl er een enorme behoefte aan is. Daar zal toch iets mee moeten gebeuren.”

Eerder in het Dossier Cloud & Databescherming

Kroes waarschuwt voor privacyrisico's cloud Microsoft heeft last van privacywetten 'Privacywetgeving schiet tekort bij cloud' Data mag niet zomaar het land uit Europese Commissie gaat online privacy regelen EU betaalt IBM voor cloud-onderzoek Microsoft wil privacycode voor de cloud Amazon EC2-clouddienst beschikbaar in Europa Backupdienst houdt data binnen Europa Schoolstrijd tussen Google en Microsoft Vijf redenen om de cloud te mijden