Amerikaanse clouddiensten vormen de ruggengraat van de meeste Europese organisaties. Welke prijs betalen bedrijven straks voor hun afhankelijkheid van Amerikaanse techreuzen als het EU-U.S. Data Privacy Framework (DPF) wordt gecancelled?

 

Of je nu gebruik maakt van een cloudomgeving, een CRM-pakket of een routeringsoplossing: wie zakendoet met Amerikaanse softwarebedrijven moet er rekening mee houden dat data kunnen worden opgevraagd door de Amerikaanse overheid. In ruil daarvoor heeft de EU ‘garanties’ dat de Amerikaanse overheid de privacy van Europese burgers serieus neemt. De Amerikaanse regering wil echter van die regeling af en heeft daartoe de eerste stappen gezet. De Europese Commissie heeft aangekondigd op 19 maart 2025 met een officiële reactie te komen op de maatregelen van Trump.

Gegevensuitwisseling met de VS, hoe zat het ook alweer?

Hoe zat het ook alweer met Safe Harbour, Privacy Shield en het Data Privacy Framework? Die laatste regeling dateert van 10 juli 2023. Met het ‘EU-U.S. Data Privacy Framework’ (DPF) kunnen persoonsgegevens vrij worden doorgegeven vanuit de EU naar Amerikaanse bedrijven. Die worden geacht een passend niveau van privacybescherming te bieden.

De twee voorgaande regelingen tussen de EU en de VS, Safe Harbour en Privacy Shield, werden door de Oostenrijkse privacy-activist Max Schrems aangevochten en vernietigd door het Europese Hof van Justitie. In 2015 gebeurde dat met het Safe Harbour verdrag en in 2020 met het Privacy Shield. In beide gevallen waren er onvoldoende juridische waarborgen om te voorkomen dat Amerikaanse inlichtingendiensten buitensporige toegang hadden tot gegevens van Europese burgers.

Overheid: in drie maanden tijd van vertrouwen naar wantrouwen

Bedrijven konden tussentijds wel gebruik maken van alternatieve regelingen zoals ‘standard contractual clauses’ (SCCs). In 2023 werd de derde variant aangenomen door de Europese Commissie: het huidige EU-U.S. Data Privacy Framework. In datzelfde jaar besloot de Nederlandse overheid dat de Microsoft Cloud veilig was. Meer recent, eind vorig jaar, concludeerde de AP optimistisch dat het DPF goed leek te werken. Maar in luttele maanden tijd is de overheid 180 graden gedraaid: “De Nederlandse overheid erkent dat het eigen gebruik van clouddiensten ondoordacht en vol risico’s is.”

Overigens zijn de regelingen voor gegevensuitwisseling zoals het DPF niet zaligmakend. Amerikaanse cloudproviders vallen onder de Foreign Intelligence Surveillance Act (FISA 702) en de CLOUD Act. Dit betekent dat Amerikaanse inlichtingendiensten toegang kunnen vragen tot data die door Amerikaanse bedrijven wordt beheerd, ook als de data fysiek in Europa is opgeslagen. Dit geldt ook als bedrijven gebruik maken van een speciaal ‘EU-datacenter’ van bijvoorbeeld AWS of Azure.

Een bom onder het DPF

Ook de meest recente regeling, het DPF, staat nu opnieuw ter discussie. Alleen is het deze keer niet Schrems, maar zijn het de VS zelf die een bom leggen onder dit verdrag. Trump heeft de Civil Liberties Oversight Board (CLOB), de toezichthouder op het DPF, teruggebracht van vijf leden naar slechts één lid (een Republikein). Met deze samenstelling wordt effectief toezicht op de regeling onmogelijk gemaakt, want de toezichthouder kan geen onafhankelijke beslissingen meer nemen. De EU heeft nog niet gereageerd op deze Amerikaanse ingrepen, wat leidt tot kritiek van experts.

Juist het gebrek aan onafhankelijk toezicht en goede bezwaar- of beroepsmogelijkheden op Amerikaanse inlichtingendiensten speelde een belangrijke rol bij de tweede zaak die werd aangespannen door Schrems. Die leidde zoals gezegd in 2020 tot het vervallen van de Privacy Shield-regeling.

Hoe serieus is Trump? – Eerdere regeringen hebben zogenaamde ‘onafhankelijke regelgevende agentschappen’ toegestaan om te werken met minimaal presidentieel toezicht”, staat in een Executive Order (EO) van 18 februari. In plaats daarvan zal de Trump-administratie zorgen voor presidentieel toezicht en controle op de hele uitvoerende macht, aldus de EO. “Alle uitvoerende departementen en agentschappen, inclusief de zogenaamde onafhankelijke agentschappen, moeten alle voorgestelde en definitieve belangrijke regelgevende acties ter beoordeling voorleggen aan het Office of Information and Regulatory Affairs (OIRA) binnen het Executive Office of the President voordat ze worden gepubliceerd”, luidt het EO.

Wie trekt de stekker eruit?

Het is de vraag wie het eerste de genadeklap uitdeelt: de EU die het DPF ongeldig verklaart wegens het gebrek aan toezicht of Trump die zijn handen aftrekt van het DPF omdat hij klaar is met de regeling. Dat laatste zou goed aansluiten op Project 2025, de politieke agenda die de afgelopen jaren is opgesteld en die nu als leidraad voor de Trump-regering lijkt te dienen. Project 2025 bevat expliciete aanbevelingen om internationale overeenkomsten zoals het DPF grondig te herzien of zelfs te beëindigen, zodat Amerikaanse inlichtingendiensten minder beperkingen ondervinden. Zo staat er onder meer in dat een aankomende president “moet vragen om een onmiddellijke studie” van de DPF en “de verwachtingen van Europa moet resetten”. Project 2025 roept een nieuwe president bovendien op om onmiddellijk “alle bepalingen op te schorten die het verzamelen van inlichtingen onnodig belemmeren”.

(Geen) rechtmatige grondslag voor gegevensdoorgifte

Als de VS hun steun aan de DPF-regeling intrekken, verliezen bedrijven die afhankelijk zijn van het DPF hun rechtmatige grondslag voor gegevensdoorgifte. Voor bedrijven betekent het wegvallen van het DPF mogelijk onmiddellijke complianceproblemen, hoge kosten voor migratie naar Europese cloudomgevingen en een verhoogd risico op boetes door toezichthouders. Toezichthouders (zoals de Autoriteit Persoonsgegevens in Nederland of de CNIL in Frankrijk) kunnen bedrijven dan sancties opleggen als doorgifte zonder waarborgen plaatsvindt. Ze kunnen bedrijven ook dwingen te stoppen met het gebruik van Amerikaanse cloudproviders.

Wat kunnen bedrijven doen?

Bedrijven zullen dan nieuwe maatregelen moeten nemen; het meest voor de hand liggend is het afsluiten van Standard Contractual Clauses (SCC’s) waarin ze bijvoorbeeld vastleggen dat ze encryptie of pseudonimisering toepassen. Een andere oplossing is het opstellen van zogenaamde Binding Corporate Rules (BCR’s), iets wat vooral voor multinationals relevant is. Het afsluiten van SCC’s en het opstellen van BCR’s is tijdrovend, kostbaar en vergt gespecialiseerde juridische kennis, waardoor vooral kleinere organisaties onder druk komen te staan.

Bedrijven kunnen dan in elk geval inventariseren welke persoonsgegevens naar de VS worden verzonden, welke cloudproviders, SaaS-oplossingen en andere services in de VS worden gebruikt en welke Amerikaanse bedrijven onder het DPF vallen. Als dienstverleners hun activiteiten uitvoeren met het DPF als basis, is er een alternatief nodig. Dan kunnen bedrijven bepalen welke aanvullende maatregelen nodig zijn, zoals end-to-end encryptie (voorkomt leesbaarheid door derden), pseudonimisering (vermindert identificeerbaarheid) en/of kiezen voor zuiver Europese datacenters (voorkomt Amerikaanse jurisdictie). Op dat vlak ontwikkelt de markt zich geleidelijk: denk aan spelers zoals OVHcloud, Scaleway, Deutsche Telekom Cloud en Nextcloud.

Toegang tot clouddiensten als pressiemiddel

Het wegvallen van het DPF zal hyperscalers Google, Meta, Microsoft en Amazon mogelijk dwingen om data van Europese gebruikers te verwerken in Europese clouds, Maar nog waarschijnlijker is het dat bedrijven hun data gaan migreren naar private clouds van ‘zuiver Europese’ datacenters die onafhankelijk van de Amerikaanse hyperscalers opereren. Deze lokale spelers worden vooral interessant als de EU na 19 maart komt met strengere wetgeving die bedrijven dwingt data volledig binnen de EU te verwerken.

Het wegvallen van de (basis onder de) regelingen rondom gegevensuitwisseling is niet het enige actuele vraagstuk rondom de Europese afhankelijkheid van Amerikaanse clouddiensten. Naast het opeisen van gegevens speelt ook mee dat de regering Trump de toegang van Europese klanten tot diensten van hyperscalers kan beperken. Bijvoorbeeld om economische of politieke druk uit te oefenen. Of, wat waarschijnlijker is, om cloudcapaciteit beschikbaar te houden als er een succesvolle aanval vanuit China komt waardoor de Amerikaanse cloud wordt platgelegd.

Een aantal kennispartners van Ziptone heeft Ziptone laten weten dat ze nadenken over alternatieven voor hun klanten – onder meer door een eerder artikel over de afhankelijkheid van Amerikaanse CCaaS-platformen.

Bizarre situatie

Dan nog dit. Bert Hubert, ondernemer, softwareontwikkelaar en parttime technisch adviseur van de Nederlandse Kiesraad, zei het als volgt tegen The Register: “We hebben nu de bizarre situatie dat iedereen met enig verstand kan zien dat Amerika niet langer een betrouwbare partner is, en dat de hele grootschalige Amerikaanse zakenwereld buigt voor de dictatoriale wil van Trump, maar we doen nog steeds alles wat we kunnen om hele regeringen en de meeste van onze eigen bedrijven naar hun clouds over te brengen.” De Nederlandse overheid is inmiddels bijgedraaid.

(Ziptone/Erik Bouwer)