Verdien geld door onze enquêtes te beantwoorden

Schrijf u nu in !
De blog van het marketing agentschap IntoTheMinds
Marktonderzoek en ondernemers coaching

Cloud Act en GDPR: kunt u uw gegevens in de cloud bewaren?

Verdien tot 50€ door deel te nemen aan een van onze betaalde marktonderzoeken.

Schrijf u nu in !

Leidt uw gebruik van clouddiensten tot een overtreding van de GDPR? Kunt u uw gegevens opslaan op AWS, Azure, … en toch voldoen aan de GDPR? De American Cloud Act zaait twijfel en schept rechtsonzekerheid, waarover we hebben gesproken met Jérôme Tassi, advocaat bij de balie van Parijs.

Inleiding

Het uitgangspunt voor dit artikel (en de bijbehorende video) is een van een bevriende ondernemer mij gaf. Hij was bezorgd dat de gegevens van zijn bedrijf zouden worden opgeslagen bij Microsoft, Google of Amazon. Door de Cloud Act vreesde hij dat zijn gegevens in handen van zijn concurrenten zouden komen.

banner definition

De Cloud Act: een zeer opdringerige Amerikaanse wetgeving

De Cloud Act (“Clarifying Lawful Overseas Use of Data Act”) is een federale wet van de VS die in maart 2018 werd aangenomen. Het geeft de Amerikaanse regering toegang tot gegevens die zijn opgeslagen door Amerikaanse bedrijven, ongeacht hun geografische locatie. Zoals mr. Jérôme Tassi het in de video toelicht, is de Cloud Act voortgekomen uit een geschil tussen de Amerikaanse federale overheid en Microsoft. In één geval beriep deze zich op de plaats (in Ierland) waar de gegevens zich bevonden om te weigeren ze aan de Amerikaanse regering te overhandigen.

Zo werd de Cloud Act geboren, uit de wens van de Amerikaanse regering om volledige controle uit te oefenen op basis van de nationaliteit van het bedrijf in plaats van de geografische ligging. Maar in Europa zijn we toch beschermd door de GDPR zou je kunnen zeggen. Dus wat is het verband tussen Cloud en GDPR?


 

Is de Cloud Act echt onverenigbaar met de GDPR?

Artikel 48 van de GDPR bepaalt dat een internationale overeenkomst noodzakelijk is om gegevens buiten de Europese Unie door te geven. Aangezien er momenteel geen dergelijke overeenkomst tussen de VS en Europa bestaat, is er maar één mogelijkheid: een gerechtelijk bevel. Met andere woorden, een Amerikaanse rechtbank moet overtuigd zijn van het bestaan van een federaal misdrijf om de overdracht te eisen van gegevens die buiten de VS zijn opgeslagen door een Amerikaanse provider. Dit vermindert de risico’s aanzienlijk.
De juridische situatie is echter nog onduidelijk en bij gebrek aan jurisprudentie zijn bepaalde regels noodzakelijk.


Hoe de GDPR naleven zonder bang te zijn voor de Cloud Act?

Mr. Tassi raadt aan voorzichtig te zijn en zoveel mogelijk te vermijden dat gegevens worden gehost bij Google, Amazon of Microsoft. De Franse regering heeft het voortouw genomen via de publicatie van een doctrine, genaamd de Cloud au centre” (Franse site), die de Cloud voorschrijft als de plaats voor het onderbrengen van gegevens voor Franse overheden, maar het gebruik verbiedt van oplossingen die niet de “SecNumCloud”-certificering genieten. Microsoft, Amazon en Google, die 69% van de markt voor cloudopslag in handen hebben, komen niet in aanmerking voor deze certificering en zijn derhalve de facto uitgesloten van de Franse overheid.

Dus als u rustig wilt slapen, wend u dan tot een van de oplossingen met SecNumCloud-certificering (Franse site). Er zijn momenteel slechts 3 vertrouwde providers: Odrive, Outscale en OVH.

Tip: overweeg na te gaan wat uw leveranciers doen

Vooruitlopen op de Cloud Act en de GDPR betekent ook dat u de situatie van uw leveranciers moet controleren. Vergeet niet dat het begrip hoofdelijke aansprakelijkheid is ingevoerd onder artikel 26 van de GDPR.

Er moeten twee situaties worden onderscheiden:

  • Indien u met derden samenwerkt en de doeleinden van de verwerking samen bepaalt, zorg er dan voor dat u de nodige voorzorgsmaatregelen neemt met betrekking tot datahosting.
  • Als u gevoelige SaaS-diensten gebruikt, vraag hen dan waar hun gegevens worden opgeslagen. De kans is 9 op 10 dat het op een Amerikaanse cloud is, in welk geval het gepast zou zijn hen dit artikel te laten lezen.

De soevereine cloud

Er wordt momenteel veel gesproken over de “soevereine cloud”, de “betrouwbare cloud” en er verschijnt de laatste tijd veel nieuws over dit onderwerp. Langzaam maar zeker wint de belangstelling voor digitale onafhankelijkheid terrein. De Covid-crisis heeft maar al te duidelijk aangetoond hoe afhankelijk wij van China zijn voor elektronische componenten; in de digitale sector is de situatie ten opzichte van de Verenigde Staten niet anders. Deutsche Telekom is de belangrijkste Europese cloud-speler met een marktaandeel van 2%; een peulenschil vergeleken met 32% voor AWS (Amazon), 20% voor Azure (Microsoft) en 9% voor Google.

Om het Europese protest tegen te gaan, organiseren de Amerikaanse spelers zich. Microsoft heeft de lancering van “Bleu” aangekondigd in samenwerking met Orange en Capgemini; Google heeft een overeenkomst gesloten met Thales. Het is dus Amerikaanse technologie die op Europese infrastructuren zal worden toegepast. Men kan zich afvragen of dit de oplossing is, aangezien de afhankelijkheid van Uncle Sam’s technologie er altijd zal zijn. Wat Europa nodig heeft is een volledige soevereiniteit die het in staat zal stellen om zich, net zoals China heeft gedaan, van de Amerikaanse tactiek van pressie en manipulatie.

Author: Pierre-Nicolas Schwab

Pierre-Nicolas is de directeur van de marketing agentschap IntoTheMinds. Hij heeft speciaal interesse voor e-commerce, retail, HoReCa en supply-chain projecten. Hij is ook een onderzoeker aan de Vrije Universiteit Brussel en werkt ook als coach voor meerde publieke organisaties. Hij verwelkomt Linkedin uitnodigingen : gelieve gewoon een paar woorden toe te voegen en uit te leggen waarom U wilt connecteren.

Share This Post On

Submit a Comment

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *