Zwitserse waakhond: opslag persoonsgegevens bij grote internationale spelers is ontoelaatbaar
SaaS-oplossingen van buitenlandse hyperscalers zijn ontoelaatbaar voor de opslag van Zwitserse persoonsgegevens, oordeelt de Zwitserse privacytoezichthouder Privatim. Ook indien deze partijen data binnen Zwitserse landsgrenzen opslaan, biedt dit volgens de waakhond onvoldoende bescherming tegen de Amerikaanse wetgeving.
Een belangrijk knelpunt is volgens Privatim het ontbreken van echte end-to-end-versleuteling bij veel SaaS-oplossingen, waardoor aanbieders alsnog toegang kunnen verkrijgen tot onversleutelde gegevens. Daarnaast bieden wereldwijd opererende bedrijven onvoldoende transparantie over hun werkwijze, wat het voor overheden onmogelijk maakt om na te gaan of afspraken over databescherming daadwerkelijk worden nageleefd. Dit geldt niet alleen voor technische beveiligingsmaatregelen en wijzigingsbeheer, maar ook voor het toezicht op medewerkers en onderaannemers, die vaak deel uitmaken van complexe ketens van externe dienstverleners. Bovendien behouden leveranciers zich het recht voor om contractvoorwaarden eenzijdig aan te passen, wat de controle voor overheden verder bemoeilijkt.
De regie verliezen
Een ander probleem is het verlies van regie dat gepaard gaat met het gebruik van dergelijke clouddiensten. Overheidsinstanties kunnen de kans op schendingen van grondrechten niet zelf beïnvloeden en zijn afhankelijk van de maatregelen die aanbieders treffen – of nalaten. Het enige wat instanties kunnen doen, is de impact van mogelijke datalekken beperken door de meest gevoelige gegevens binnen eigen systemen te houden.
Daarnaast bestaat er juridische onzekerheid over de vraag of gegevens die onder een geheimhoudingsplicht vallen überhaupt in externe clouddiensten mogen worden opgeslagen. Niet elke derde partij voldoet automatisch aan de eisen die gelden voor het omgaan met vertrouwelijke informatie, zelfs als strafrechtelijke bepalingen over ambts- en beroepsgeheim formeel ook voor hen gelden.
CLOUD Act
Een extra complicerende factor vormt de Amerikaanse CLOUD Act (2018), die Amerikaanse aanbieders kan dwingen om klantgegevens – zelfs als deze zijn opgeslagen in Zwitserse datacenters – af te staan aan Amerikaanse autoriteiten, zonder dat internationale rechtshulpprocedures worden gevolgd. Volgens privatim is het gebruik van internationale SaaS-diensten voor gevoelige overheidsgegevens alleen verantwoord als de instantie zelf de data versleutelt en de cloudaanbieder geen toegang heeft tot de cryptografische sleutels. Zonder deze voorwaarde blijven de risico’s op inbreuken op privacy en grondrechten te groot.
Meer informatie is hier te vinden.
Meer over data
Over Wouter Hoeffnagel
