Hosten in Europa: steeds relevanter?
Tegenwoordig heb je duizenden providers over de hele wereld om uit te kiezen voor het hosten van jouw website of applicatie. Voor velen zal de keuze afhangen van praktische voordelen zoals de openingstijden van supportteams, de taal van het controlepaneel of de diversiteit aan betaalmogelijkheden. Daarnaast speelt privacy een steeds grotere rol in de afweging, vooral als het gaat om hosten in Europa of de Verenigde Staten. In dit artikel kijken we waarom dit laatste punt zo belangrijk is en wat de laatste ontwikkelingen zijn.
Privacy in Europa en de Verenigde Staten
In Europa heeft de privacywetgeving een hoge vlucht genomen sinds de komst van de General Data Protection Regulation (GDPR), in Nederland de Algemene Verordening Gegevensbescherming (AVG) genoemd. Met een mooie set aan beginselen wordt de privacy van Europese burgers zo op vele vlakken beschermd. Rechten waar Europeanen zich op kunnen beroepen zijn bijvoorbeeld het recht op inzage, op verwijdering en op overdraagbaarheid van persoonsgegevens.
In de Verenigde Staten is het een wereld van verschil wat privacy betreft. Daar is privacy (nog) geen fundamenteel recht zoals in Europa, maar meer verankerd in het consumentenrecht. Een belangrijke reden waarom er nog steeds geen overkoepelende privacywet bestaat die vergelijkbaar is met de GDPR. In plaats daarvan hanteren de Verenigde Staten een sectorgebaseerde aanpak waar de focus meer ligt op het handelen van de overheid en de bescherming van staatsbelangen. Kijk maar eens naar de volgende niet-limitatieve opsomming van wetten om een beter beeld te krijgen.
Privacy Act van 1974: regelt dataverwerking door overheidsinstanties. In tegenstelling tot wat velen denken, ziet dit dus niet op dataverwerking door particuliere bedrijven.
Health Insurance Portability and Accountability Act (1996): regelt de verwerking van gezondheidsgegevens.
Children's Online Privacy Protection Act (1998): regelt de online privacy van kinderen onder de 13 jaar. Ook wel de eerste privacywet voor het internet genoemd.
Gramm-Leach-Bliley Act (1999): regelt de dataverwerking van financiële dienstverleners zoals banken en verzekeraars.
Fair Credit Reporting Act (1970): regelt de dataverwerking van kredietmaatschappijen. Ook wel de eerste privacywet genoemd.
Federal Trade Commission Act (1914): beschermt consumenten tegen oneerlijke en misleidende praktijken, zoals het veranderen van een privacyverklaring zonder kennisgeving of het zelf niet voldoen aan je eigen verklaring.
Momenteel zijn er drie staten die eigen privacywetgeving in werking hebben, waarvan de California Consumer Privacy Act de meest bekende is. Deze wet is echter niet zo ruim als de GDPR; zo ontbreekt bijvoorbeeld de eis van expliciete toestemming om data te verwerken en is er geen recht op verbetering van gegevens. Andere staten zijn ook van plan om soortgelijke wetten te introduceren, maar dat verloopt niet helemaal volgens planning.
Het hanteren van zoveel regels die zien op verschillende sectoren kan zeker zijn voordelen hebben tegenover de one-size-fits-all-aanpak van de GDPR. Er ontstaat bijvoorbeeld de mogelijkheid om voor bepaalde (niche)markten de regels te verscherpen, of juist te versoepelen.
Een overduidelijk nadeel is natuurlijk de jungle aan wetgeving die ontstaat waar ondernemers zich doorheen moeten worstelen. Daarnaast missen veel van deze wetten nog steeds fundamentele begrippen als een meldplicht bij datalekken. En tot slot mist er een overkoepelend vangnet voor sectoren waarvoor (nog) geen wetgeving is opgesteld. Dit is bijvoorbeeld het geval voor privacy op het internet. Aangezien hiervoor vrijwel niets geregeld is, is het ook niet gek dat zoveel Amerikaanse bedrijven aan de haal gaan met je gegevens en er een leuk zakcentje mee verdienen. En zolang ze geen (valse) beloften doen over privacy, een van de redenen dat de FTC (met weinig succes) Facebook op het matje kon roepen, hebben internetbedrijven op veel gebieden vrij spel.
Naar aanleiding hiervan zijn er steeds meer geluiden om een algemene privacywet aan te nemen die geldt voor heel de Verenigde Staten. Deze krijgen vorm in de Consumer Online Privacy Rights Act, Mind Your Own Business Act en enkele andere voorstellen. Het is maar de vraag of en wanneer een van deze voorstellen het tot wet haalt.
Naast de versplinterde privacywetgeving speelt de macht van de overheid en het gebrek aan controle een grote rol in het privacyverhaal van de Verenigde Staten. De boodschap wordt de laatste jaren alleen maar duidelijker: niets, ook niet privacy, brengt de staat in gevaar. De middelen om dit snel waar te maken zijn er in overvloed:
Verschillende wetten omtrent cybersecurity die het mogelijk maken om data uit te wisselen met particuliere bedrijven naar aanleiding van cyberaanvallen.
Five Eyes: een alliantie van inlichtingendiensten gebaseerd op het UKUSA-akkoord waarvan de Verenigde Staten samen met andere landen deel uitmaken. Hiernaast bestaan ook de Nine Eyes en Fourteen Eyes, lichtere vormen van het oorspronkelijke concept waar ook Nederland deel van uitmaakt.
De Patriot Act, Freedom Act en Foreign Intelligence Surveillance Act: verschillende anti-terrorismebestrijdingswetten die de overheid verregaande bevoegdheden geven om persoonsgegevens te verzamelen.
Andere maatregelen gericht op de nationale veiligheid, waaronder de Electronic Communications Privacy Act; dan wel niet ter vervanging van (tijdelijk of nog te verlopen) secties van de drie bovenstaande wetten.
EARN IT: een wet in de maak die online kindermisbruik moet tegengaan, maar via een ruime interpretatie encryptie in gevaar kan brengen. Er is zelfs nog een wet in de planning die verder dreigt te gaan wat betreft de beperkingen van encryptie.
CLOUD Act: geeft autoriteiten de mogelijkheid om gegevens bij Amerikaanse techbedrijven op te vorderen, ongeacht of de gegevens zich in de Verenigde Staten bevinden.
Safe Harbor, Privacy Shield en SCCs
In Europa is bepaald dat doorgifte van gegevens naar landen daarbuiten alleen mag als deze landen een passend beschermingsniveau bieden. De hiervoor besproken wetten brengen met zich mee dat de Verenigde Staten niet voldoen aan het beschermingsniveau dat Europa eist.
Deze tekortkoming werd opgevangen door al in 2000 het Safe Harbor-verdrag te sluiten met de Verenigde Staten. Dit verdrag maakte het mogelijk om alsnog zaken te doen met Amerikaanse bedrijven die zich hierbij aansloten. Na de onthullingen van Edward Snowden werd dit verdrag in 2015 echter ongeldig verklaard omdat het onvoldoende garanties biedt dat de Europese privacywetgeving gehandhaafd wordt.
In plaats hiervan kwam in 2016 het EU-US Privacy Shield. Alhoewel dit verdrag strenger was, is het in juli 2020 alsnog ongeldig verklaard door het Europees Hof. Een grote rol speelde het feit dat EU-burgers geen afdwingbare rechten hebben tegenover de rechter als er inbreuk wordt gemaakt op hun privacy door Amerikaanse autoriteiten. Met de ongeldigheid van het verdrag is het vanaf nu officieel verboden om gegevens te versturen naar Amerikaanse bedrijven die zijn aangesloten bij het EU-US Privacy Shield.
Wat rest is een ander instrument, de zogenaamde Standard Contractual Clausule: een modelovereenkomst opgesteld door de Europese Commissie. Deze overeenkomst kan door twee partijen worden ondertekend om te waarborgen dat persoonsgegevens in veilige handen blijven. Het Europees Hof heeft in haar uitspraak van juli bepaald dat zulke overeenkomsten in beginsel geldig blijven. Een kanttekening die hierbij gemaakt moet worden, is dat de twee partijen er dan wel zeker van moeten zijn dat het land waar gegevens heen gaan wel ‘GDPR-proof’ is. Zoals hierboven besproken, is dat voor de Verenigde Staten niet het geval.
Juridische spagaat
En wat als je dan zaken doet met een Amerikaans bedrijf dat haar servers in Europa heeft staan? Data blijft dan immers binnen de grenzen. Ook dit blijkt lastig sinds de komst van de CLOUD Act. Amerikaanse inlichtingendiensten krijgen hiermee vrij spel om te kijken op servers van Amerikaanse bedrijven, waar dan ook ter wereld. De bekende Microsoftzaak was aanleiding voor het zo snel mogelijk opstellen van deze wet en sinds de inwerkingtreding ligt het op ramkoers met artikel 48 van de GDPR. Amerikaanse bedrijven met servers in Europa komen zo heel makkelijk terecht in een catch22-situatie: of de gegevens afgeven aan de Verenigde Staten en een boete van Europa krijgen, of dat niet doen en een boete uit eigen land. Dit dilemma wekt natuurlijk geen vertrouwen voor Europese burgers.
En nu?
Er geldt geen uitstelperiode wat betreft de ongeldigheid van het Privacy Shield. Het Europees Comité voor gegevensbescherming roept dan ook iedereen op om datatransfers via deze weg te stoppen. Datatransfers naar de Verenigde Staten via een Standard Contractual Clausule lijken vooralsnog geen goed alternatief te bieden zonder aanvullende maatregelen (al dan niet met behulp van encryptie). Wat die maatregelen dan precies moeten zijn, is nog niet helemaal duidelijk. Het Europees Comité voor gegevensbescherming zegt hier later op terug te komen.
Overigens betekent het voorstaande niet dat er helemaal geen datatransfers naar de Verenigde Staten mogen plaatsvinden. Op grond van artikel 49 van de GDPR zijn er uitzonderingen mogelijk als het onder andere gaat om je eigen gegevens, expliciete toestemming van een betrokkene of de uitvoering van een overeenkomst zolang het incidenteel en noodzakelijk is. Denk bijvoorbeeld aan een hotelboeking in New York. In de praktijk zullen deze uitzonderingen voornamelijk bruikbaar zijn in privésferen vanwege de vele eisen die eraan vastzitten. Een beroep op deze uitzonderingen voor de gebruikers van je website of applicatie wordt echter een lastige klus.
Hosten in Europa
Zoals je merkt, zijn we aanbeland in een interessante situatie in privacyland. Hosten bij een Amerikaanse partij zal de komende tijd niet meer zo makkelijk gaan en duidelijke alternatieven ontbreken. Europa is inmiddels het gesprek aangegaan met de Verenigde Staten voor een nieuwe of verbeterde versie van het Privacy Shield. Maar ook als er deze derde variant de eindstreep haalt, moet jij je afvragen of het niet makkelijker is om gewoonweg bij een Europese partij te hosten.
Met ons kantoor in Leiden, datacenters in Amsterdam en Delft en Nederlandse supporters staat TransIP in ieder geval voor je klaar. Zo hoef jij je alleen nog maar zorgen te maken over het nog beter maken van je website of applicatie! Neem een kijkje op onze pagina’s voor BladeVPS of webhosting en ervaar zelf het gemak. Alvast succes met je project!
Webhosting bekijken
Bedankt voor het toelichten!