Is Trump een gevaar voor onze branche?
Het zal niemand zijn ontgaan dat Donald Trump inmiddels in het Witte Huis zit. En hij zit daar absoluut niet stil. Onze politieke mening over hem zullen we voor ons houden, maar we willen het wel hebben over de gevolgen van zijn plannen voor de veiligheid van onze data. Want die kunnen groot zijn.
Wat is er aan de hand?
Sinds 1995 is er een EU-wet die ervoor zorgt dat persoonlijke data niet zomaar van binnen naar buiten de EU kan worden verplaatst, tenzij er zwaarwegende redenen zijn. Tegelijkertijd heeft de VS strenge surveillancewetten die ervoor zorgen dat de overheid data kan inzien die is opgeslagen bij Amerikaanse bedrijven zoals Amazon, Meta, Microsoft en Google, ook als die data in een Europees datacenter staat. Daar is geen zwaarwegende noodzaak of rechtelijke goedkeuring voor nodig. Uit de geheime documenten die Edward Snowden in 2013 naar buiten bracht, blijkt dat de VS op grote schaal in de EU heeft gespioneerd.
De Privacy and Civil Liberties Oversight Board, oftewel PCLOB, is een Amerikaanse toezichthouder die ervoor moet zorgen dat de VS privacy serieus neemt. Het houdt onder meer toezicht op Amerikaanse surveillanceprogramma’s. Niet lang na zijn aantreden heeft Trump drie Democratische leden van de PCLOB ontslagen, nadat ze geen gehoor gaven aan de oproep om zelf op te stappen. Zonder deze mensen is er nog maar één PCLOB-lid over, een Republikeinse. Eigenlijk bestaat de organisatie voorlopig dus niet. De Europese privacy-waakhond sloeg meteen alarm en diverse maatschappelijke organisaties tekenden protest aan. Twee van de ontslagen PCLOB-leden spannen nu een rechtszaak aan.
De gevolgen van een zwakke of niet bestaande PCLOB kunnen groot zijn. In 2023 werden de EU en de VS het na heel lang touwtrekken eens over het EU-VS Data Privacy Framework (DPF). Dat zou ervoor moeten zorgen dat elk bedrijf in de EU zonder zorgen gegevens kan overdragen aan Amerikaanse providers, ondanks de Amerikaanse surveillancewetten. Er werd toen al gezegd dat het DPF op ‘los zand’ was gebouwd. Twee eerdere regelingen met hetzelfde doel werden door het Europees Hof van Justitie namelijk al ongeldig verklaard. Door de verzwakte positie van de PCLOB, lijkt de basis onder het DPF helemaal te zijn weggevallen.
Daar komt bij dat Trump ook een bevel ondertekende waarin staat dat alle beslissingen die zijn voorganger Biden op het gebied van de nationale veiligheid heeft genomen, binnen 45 dagen worden herzien en mogelijk worden ingetrokken. Het DPF kan dus heel binnenkort al omver worden geworpen. NOYB, een Europese organisatie voor digitale rechten, verwoordt het als volgt: Trump schiet gaten in de Europees-Amerikaanse datadeal.
Dat Elon Musk een belangrijke adviseur van Trump is geworden, zorgt voor extra bezorgdheid. Van Musk is immers bekend dat hij het niet zo nauw neemt met Europese privacyregels.
Hoe erg is dit allemaal?
Veel Europese bedrijven hebben ervoor gekozen om allerlei data in de publieke cloud te zetten. En wie publieke cloud zegt, zegt Amerikaanse big-tech. Want de grote hyperscalers zijn allemaal Amerikaans: Microsoft, Amazon en Google.
Als de Amerikaanse regering het DPF (deels) intrekt, zou het voor EU-bedrijven illegaal kunnen worden om Amerikaanse clouddiensten te gebruiken. Max Schrems, een Oostenrijkse advocaat en bekende privacy-activist, zegt dat het voor Europese bedrijven belangrijker dan ooit is om na te denken over eventuele juridische onzekerheden en een noodplan te hebben, waarbij data in Europa blijft.
Hoe gaan bedrijven ermee om?
Het is niet verstandig om als bedrijf te wachten op regelgeving. Je hebt zelf ook een verantwoordelijkheid als het om jouw data en die van je klanten gaat. Bij EGP merken we dat veel bedrijven niet weten hoe ze om moeten gaan met deze ontwikkelingen. Het ontbreekt ze simpelweg aan kennis van de mogelijke consequenties. Ook weten ze vaak niet welke alternatieven er zijn voor de grote Amerikaanse tech-bedrijven. Ze kijken als een hert in de koplampen van een vrachtwagen die op hen afkomt, terwijl ze midden op de weg blijven staan.
Wat kunnen bedrijven het beste doen?
Digitale onafhankelijkheid zou weleens het IT-begrip van de komende jaren kunnen gaan worden. Heb je in zowel juridisch als technisch opzicht de volledige controle over jouw data en voldoe je aan wetgeving zoals de AVG? Op 13 februari overhandigde branchevereniging Dutch Cloud Community (DCC) een whitepaper over dit thema aan staatssecretaris Szabó van digitalisering. Als EGP hebben we een steentje bijgedragen aan de totstandkoming daarvan. We vinden het namelijk een heel belangrijk thema. Overheden, maar ook bedrijven, kunnen hun ogen niet sluiten voor de veiligheid en onafhankelijkheid van onze data.
Digitaal onafhankelijk zijn houdt volgens ons in dat je niet afhankelijk bent van Amerikaanse big-tech. Er zijn steeds meer mogelijkheden om je data binnen Europa veilig te stellen. Europese public-cloud-leveranciers melden zich, zoals het Franse OVH, de Duitse bedrijven Hetzner en Lidl en het Nederlandse Leaseweb.
Maar volgens ons is er een beter alternatief: de Europese (of liever nog: Nederlandse) private cloud. In de private cloud hou je veel meer controle over je data. Organisaties zijn soms terughoudend omdat het idee bestaat dat de private cloud veel duurder is, maar de werkelijkheid is vaak anders. In de publieke cloud komen er vrijwel altijd onverwachte kosten bij, terwijl dat in de private cloud niet zo is. Daar zijn de kosten beheersbaar en voorspelbaar.
Er is geen enkele reden om tegen de stap naar de private cloud op te zien. Wij kunnen je namelijk stap voor stap bij de hand nemen. We hebben de kennis en de ervaring om je te helpen op een soepele manier over te stappen.
Bronnen:
