De gemeente Narvik in Noord-Noorwegen moet zijn contract met Google Apps verbreken, omdat de clouddienst niet voldoet aan de wet bescherming persoonsgegevens. Dat oordeelt de Noorse privacytoezichthouder Datatilsynet.

Ook bedrijven in overtreding

Alhoewel de zaak formeel draait om een gemeente, overtreden bedrijven feitelijk ook de Noorse wet als ze privacygevoelige gegevens aan Google's cloud toevertrouwen. “Google Apps overtreedt onze databeschermingsregels op verschillende punten," concludeert Bjørn Erik Thon, directeur van de toezichthouder.

“Als verdediger van databescherming moeten we strenge eisen stellen aan het soort cloud computing die Noorse bedrijven kunnen gebruiken. Bedrijven kunnen de voorwaarden die Google dicteert in zijn standaard contracten niet accepteren."

Het gaat dan in eerste instantie om bedrijven die privacygevoelige data verwerken, zoals verzekeraars en banken, legt de woordvoerder van de Noorse toezichthouder uit.

Ook verbod in Denemarken

De kwestie is toegespitst op Google Apps, dus het niet duidelijk of andere (Amerikaanse) cloud providers wel door de beugel kunnen. Wel refereert Datatilsynet excpliciet aan de 'problematische' Patriot Act, die Amerikaanse geheime dienst de mogelijkheid geeft om te graaien in de cloud. Ook Amerikaanse providers die een zogenaamde 'Europese cloud' aanbieden, zoals Microsoft en Amazon, ontkomen hier niet aan.

“Als Google, of andere internationale bedrijven, cloud computingdiensten aan Noorse ondernemingen willen aanbieden, moeten ze diensten ontwikkelen die voldoen aan de Noorse en Europese wetten voor databescherming", aldus Thon.

Noorwegen is geen lid van de EU, maar wel van de EEG, en de waakhond refereert expliciet aan de Europese richtlijn databescherming. De bezwaren die de Noren hebben zijn dan ook vergelijkbaar met de Denen, die wel EU-lid zijn, vertelt de zegsman van Datatilsynet. Vorig jaar oordeelde ook de Deense privacytoezichthouder dat Google Apps de privacywet overtreedt.

Kabinet draait en wacht

In Nederland is er nog geen duidelijkheid over de status van (Amerikaanse) clouddiensten voor overheden. Minister Opstelten schreef afgelopen najaar dat Amerikaanse cloudproviders kunnen worden uitgesloten van aanbestedingen, om die uitspraak later weer in te trekken.

Alhowel de Tweede Kamer meermaals om een eenduidig standpunt heeft gevraagd, houdt het kabinet zich verder op de vlakte. Minister Donner beloofde dat dit geregeld zou worden in de nieuwe Europese regels voor databescherming.

Geen oplossing in nieuw EU-plan

Die voorstellen werden gisteren eindelijk gepresenteerd, maar zonder duidelijkheid over datagraaien door buitenlandse geheime diensten.