Eurocommissaris Kroes (Digitale Agenda & ICT) waarschuwt voor de gevaren van cloud computing. De Europese Commissie wil daarom nieuwe, strenge regels opstellen voor grensoverschrijdende dataverwerking en -opslag door bedrijven.

“Cloud computing is meer dan een technische uitdaging. Door onze persoonlijke data op servers op afstand te zetten, lopen we het risico om de controle over die data te verliezen. Omdat de bescherming van privégegevens een fundamenteel recht in de EU is, moet er actie worden ondernomen,” aldus Kroes in een toespraak aan de Université Paris-Dauphine donderdag.

Cloudvriendelijker Europa

De Eurocommissaris noemt de grote cloudproviders Google, Microsoft en Amazon niet bij naam, maar haar boodschap is duidelijk: Europa zal zijn digitale privacyregels niet versoepelen onder druk van een Amerikaanse lobby.

Wel pleit ze ervoor om de regelgeving tussen de lidstaten beter te harmoniseren. Momenteel is Europa een lappendeken van verschillende datawetten, ondanks dat die allemaal zijn gebaseerd op Europese Richtlijnen. Door deze versnippering kunnen cloudbedrijven niet goed opereren, zo klaagt onder meer Microsoft.

Databescherming EU

Kroes: “Wat mij betreft kan vrij verkeer van persoonlijke data binnen de EU helpen bij het tot stand komen van één digitale interne markt in Europa. Daarom zou het onderliggende idee cloudvriendelijk moeten zijn." Maar, benadrukt ze, “een cloud zonder duidelijke en strenge databescherming is niet het soort cloud dat we willen.”

Data niet veilig in VS

Momenteel kunnen Amerikaanse bedrijven data van Europese burgers en bedrijven verwerken als ze voldoen aan de zogenaamde Safe Harbor principes. Dat zijn regels die enigszins overeenkomen met de Europese, maar met bijvoorbeeld het verschil dat de Amerikaanse overheid via de Patriot Act toch data zou kunnen vorderen. Zelfs het Amerikaanse adviesbureau Forrester waarschuwt voor het laten opslaan van data in de VS. Het land staat daarmee in een selectief lijstje met andere privacy-onvriendelijke staten zoals China, Rusland en Singapore.

Databescherming VS

In het nieuwe beleidsdocument over dataprotectie van de Commissie wordt deze problematiek ook aangestipt. "Verscheidene belanghebbenden wijzen op het feit dat de verwerking steeds vaker wordt uitbesteed, dikwijls buiten de EU, wat leidt tot diverse problemen in verband met het op de verwerking toepasselijke recht en de toewijzing van de daarmee samenhangende verantwoordelijkheid."

Kroes maakt daarom duidelijk dat Europa zal vasthouden aan eigen privacystandaarden. Die zijn strenger dan in de VS, wat Amerikaanse techgiganten zoals Google een doorn in het oog is. “Sommige internationale bedrijven claimen dat de Europese regels voor databescherming slechts verkapt protectionisme zijn, die Europese operators zou beschermen en de ontwikkeling van cloud computing in Europa remt. Ik denk dat beide aannames incorrect zijn”, aldus Kroes in haar toespraak.

Googlecloud is overal

Het is net als met auto’s. Het primaire doel is voortbeweging, maar goede remmen en airbags zijn cruciaal, argumenteert Kroes. Voor de cloud betekent dat: duidelijkheid waar data staat (jurisdictie), en sterke privacy- en databescherming.

Dat is iets wat vooral Google zich kan aanrekenen. Want alhoewel het concern een absolute cloudpionier is, houdt het zijn locaties angstvallig geheim en biedt het geen garanties in welke landen data wel of juist niet staat.

Uit een recent onderzoek van Webwereld blijkt dat deze kwestie van datajurisdictie voor een aantal Nederlandse onderwijsinstellingen doorslaggevend is bij hun keuze voor een cloudprovider. En aangezien Google geen garantie biedt, kiezen ze voor [email protected], de gratis clouddienst voor het onderwijs van Microsoft.

Forrester: Google heeft probleem

En deze kwestie speelt niet alleen in de onderwijsbranche. “Datalocatie is een grote en groeiende zorg voor bedrijven die de cloud overwegen”, bevestigt Christopher Voce, senior analist bij Forrester tegenover Webwereld. “Google heeft hierbij een probleem, omdat hun architectuur niet is ingesteld om data tot bepaalde locaties te beperken. Bijvoorbeeld Microsoft heeft een andere architectuur en kan de data van één klant veel gemakkelijker in één datacenter stoppen.”

Voce benadrukt dat datalocatie slechts één van de vele technische en juridische afwegingen is bij de keuze van een cloudprovider, maar het kan zeker de doorslag geven. “Dat hangt af van de branche, de gevoeligheid van de data, de bedrijfscultuur maar ook de cultuur van het land.” Zo staan bijvoorbeeld Duitsers en Italianen veel sceptischer tegenover clouddiensten dan andere Europeanen, weet Voce.

Privacy by design

De Europese Commissie zal begin 2011 met verder uitgewerkte plannen komen voor cloudregulering. Het initiatief is onderdeel van een bredere hervorming van de Europese Richtlijn voor Databescherming.

Centraal in de visie van Neelie Kroes staat privacy by design. "In dit wereldbeeld zijn de winnaars de fabrikanten en providers - uit welk land ze ook komen - die begrijpen dat ingebouwde privacy features concurrentievoordeel bieden."

Neelie Kroes

Eerder in het Dossier Cloud & Databescherming

Microsoft heeft last van privacywetten 'Privacywetgeving schiet tekort bij cloud' Data mag niet zomaar het land uit Europese Commissie gaat online privacy regelen EU betaalt IBM voor cloud-onderzoek Microsoft wil privacycode voor de cloud Amazon EC2-clouddienst beschikbaar in Europa Backupdienst houdt data binnen Europa Schoolstrijd tussen Google en Microsoft Vijf redenen om de cloud te mijden