image

Juridische vraag: Mag NL bedrijf data bij Google opslaan?

vrijdag 11 november 2011, 14:12 door Arnoud Engelfriet, 9 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Het werd weer eens tijd voor een bezemwageneditie van de Juridische vraag, zeker nu Arnouds nieuwe boek Security binnenkort uitkomt. Daarom behandelen we elke dag tot volgende week in het kort een vraag.

Vraag: Steeds vaker maken bedrijven gebruik van Amerikaanse diensten, waar ze ook persoonsgegevens en klantdata opslaan. Denk oa aan Amazon, Google en Microsoft. De Amerikaanse overheid kan op basis van de Patriot Act gegevens van klanten van Amerikaanse bedrijven opvragen, ook als deze gegevens fysiek niet op servers in de VS staan. Daarnaast worden deze klanten bij het opvragen van deze gegevens niet in alle gevallen op de hoogte gesteld van deze ontsluiting van informatie. Daarbij kunnen persoonsgegevens en klant data ontsloten worden, waardoor een conflict ontstaat met de vigerende wetgeving op het gebied van privacy. Mag je dan wel van zo'n dienst gebruik maken als Nederlands bedrijf?

Antwoord: Export van persoonsgegevens (zoals naam, adres, IP-adres) vanuit Nederland naar andere landen mag alleen als dat land een “passend beschermingsniveau” waarborgt. De VS heeft dat niet, volgens de Europese Unie. Een uitzondering geldt als het bedrijf zich wil aansluiten bij de Safe Harbor-regeling. Daarmee verklaart het bedrijf zich te houden aan de wettelijk eisen uit Europa. Dat zou in theorie genoeg moeten zijn voor het Europese bedrijf.

Die Patriot Act gooit echter roet in het eten. Met de Patriot Act in de hand kan de Amerikaanse overheid namelijk bij een Amerikaanse cloudaanbieder aankloppen en gegevens opeisen, ook wanneer dat volgens Europese regels niet zou mogen. En daarmee zou de Nederlandse dienstverlener in de problemen kunnen komen alhier. Maar of dit écht een probleem is of alleen maar bezorgde borrelpraat, is mij nog steeds niet duidelijk. Ik heb namelijk nergens kunnen vinden of dit ook écht gebeurt. De FBI zegt dat ze alleen werkt met subpoenas, gerechtelijke bevelen dus. En als dat de basis is, dan is opvragen ook bij ons verplicht.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (9)
11-11-2011, 15:32 door realone
Vreemd eigenlijk dat zoiets niet duidelijk is. Het gaat hier toch om zeer serieuze zaken m.b.t. gevoelige data. Als je in Nederland onzorgvuldig met dat soort data om gaat wordt je vanzelf op je vingers getikt, maar over iets triviaals als dit is gewoon geen duidelijkheid.
11-11-2011, 17:24 door Arnoud Engelfriet
Het probleem is dat in die PATRIOT ACT de mogelijkheid staat om een dwangbevel onder geheimhouding te geven. En zelfs het BESTAAN van dat bevel mag niet worden bevestigd. Het is dus niet mogelijk om na te gaan of dit ooit gebruikt wordt. FOIA verzoeken (bij ons de Wob) worden afgewezen met een beroep op de nationale veiligheid.
11-11-2011, 19:27 door Anoniem
Als bedrijf zijnde wil je dit toch niet, zeker als er ook bedrijfs geheimen in de cloud zijn opgeslagen, wie zegt dat ze dat niet ergens anders voor gebruiken en van je pikken, ik zou nooit data buiten mijn eigen deur willen opslaan.
12-11-2011, 10:08 door WhizzMan
Het gebeurt. Zie ook de hele toestand met Rop Gonggrijp en Twitter. Alles wat je op google mail, google docs en dergelijke zet als bedrijf is in principe door CIA, FBI, NSA en al die andere clubjes daar op te vragen, al dan niet zonder huiszoekingsbevel.
12-11-2011, 10:22 door Anoniem
Door WhizzMan: Het gebeurt. Zie ook de hele toestand met Rop Gonggrijp en Twitter. Alles wat je op google mail, google docs en dergelijke zet als bedrijf is in principe door CIA, FBI, NSA en al die andere clubjes daar op te vragen, al dan niet zonder huiszoekingsbevel.

Alles dat je uberhaupt op het internet zet of via het internet communiceert kan per definitie onderschept worden.... Alle data gaat altijd over meerdere schakelpunten, ieder op zich kan daarin de rol van onderschepper vervullen.....
Het blijft intrigerend hoe sommige mensen de illusie blijven koesteren dat het internet anoniem kan zijn. Is dat erg? Geen idee? Was het vroeger erg dat in de dorpskernen iedereen alles over iedereen wist om dat door te mumbelen aan de pastoor? Geen idee? De schaal is nu nogal wat groter, de principes blijven hetzelfde....
12-11-2011, 14:22 door Anoniem
Door Arnoud Engelfriet: Het probleem is dat in die PATRIOT ACT de mogelijkheid staat om een dwangbevel onder geheimhouding te geven. En zelfs het BESTAAN van dat bevel mag niet worden bevestigd. Het is dus niet mogelijk om na te gaan of dit ooit gebruikt wordt. FOIA verzoeken (bij ons de Wob) worden afgewezen met een beroep op de nationale veiligheid.

Dergelijke bevelen zijn er in Nederland ook. Dan meestal niet van justitie maar van de inlichtingendiensten. Dan staan er een paar mensen aan de deur van het hoofdkantoor van de ISP. Je mag controleren of hun ID klopt en of het bevel juist is. Zoja, mag je de relevante gegevens overnemen in je tapdoos en verder niets. Voor justitie moet je het bevel veilig opslaan. Bevelen van inlichtingendiensten mag je vaak niet eens aanraken.

Hoe je het ID van iemand van een inlichtingendienst kunt controleren, vertelt je niemand. Als zoiemand dus aan de deur staat, valt er niets te controleren. Het bevel is vaak ook zo dat alleen degene die de tapdoos bedient het bevel mag inzien. Jurdische medewerkers of advocaten willen ze er dan ook liever niet bijhebben. Dus controleren of de juiste wettelijke grond wordt gehanteerd, is ook lastig.

Peter
12-11-2011, 14:49 door Arnoud Engelfriet
In de Twitterzaak is wel een gerechtelijk bevel gebruikt, dus dat is niet in strijd met de Europese regels.
13-11-2011, 09:20 door WhizzMan
Ik zelf zie het grote probleem vooral dat je als Nederlander je Nederlandse data bij een Nederlands bedrijf onderbrengt. Eventuele dwangbevelen zouden dan onder Nederlands recht moeten worden afgegeven, ongeacht of het medium met de fysieke bitjes zich binnen de Nederlandse staatsgrenzen bevindt of niet. Sterker nog, misschien staan ze dat zelfs wel, maar is het bedrijf wat de data host wel in Amerikaans eigendom. Ook dat laatste is nog te betwijfelen in het geval van Google, want het is een bedrijf wat keihard op de beurs verhandeld wordt en veel van de aandelen zijn in handen van niet Amerikanen. Waar ligt die grens nou precies? Als je als bedrijf zaken met inwoners of bedrijven uit de USA doet, ben je verplicht om alles maar op te lepelen waar de Amerikaanse overheid om vraagt? Mag je als Nederlands bedrijf met zo'n wetgeving nog wel zaken doen met de USA als het om gegevens van je klanten gaat?
01-03-2015, 10:46 door LvT_01
Hoe staan we er nu voor? Nu we dankzij Edward Snowden weten dat NSA wel degelijk gegevens opeist, zijn nu de regels aangescherpt?
Zijn de regels voor het bedrijfsleven gelijk aan die voor de (lokale) overheid?
Kortom: zijn de regels sinds 2013 aangepast?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.