Europese privacywaakhond European Data Protection Supervisor (EDPS) start een onderzoek om uit te vinden of organisaties de persoonlijke gegevens van burgers goed beschermen wanneer ze gebruik maken van AWS of Azure-clouddiensten.
Het onderzoek is een reactie op de Schrems II regelgeving die vorige zomer werd ingevoerd. De regel levert een aantal obstakels op om persoonlijke gegevens tussen de VS (waar Amazon en Microsoft zijn gevestigd) en de EU te verplaatsen.
Vorige zomer bepaalde het Hof van Justitie van de EU dat nationale wetten in de VS niet in lijn zijn met de verplichtingen omtrent databescherming volgens de GDPR. Daarom zijn er bijkomende maatregelen nodig om persoonlijke gegevens van EU burgers veilig te verwerken in de VS.
Volgens de Clarifying Lawful Overseas Use of Data Act is de Amerikaanse overheid bevoegd om toegang te krijgen tot de informatie die binnenlandse bedrijven op hun servers bewaren, zelfs als de data zich elders bevinden. Hierdoor kan de Amerikaanse overheid meekijken met data van een Europese organisatie die gebruik maakt van een Amerikaanse cloudprovider. Schrems II gaat deze praktijken tegen.
Om te voorkomen dat de Amerikaanse overheid kan meekijken met de data van Europese bedrijven, moeten organisaties voor elke dataoverdracht gebruik maken van privacybeschermende contracten, genaamd Standard Contractual Clauses (SCC).
In sommige gevallen zijn deze contracten alsnog niet voldoende om data goed te beschermen. Het EDPS wil specifiek naar deze gevallen gaan kijken. Het EDPS richt zich met name op de zogenaamde Cloud II contracten tussen de EU en Microsoft of Amazon voor het gebruik van hun clouddiensten.
EDPS zorgde al voor de nodige verandering
Al in 2018 publiceerde het EDPS richtlijnen waarin de waakhond verklaarde dat Europese organisaties de verantwoordelijkheid hebben om de bescherming van persoonlijke data in de cloud te waarborgen. Dat maakte de nodige impact. Zo bevestigde het European Data Protection Board de nieuwe EU Cloud Code of Conduct als standaard om te zorgen dat clouddiensten voldoen aan de GDPR. Microsoft Azure en Google Cloud hebben verklaard deze gedragsregels na te leven.
Sinds de Schrems II regelgeving is doorgevoerd, hebben clouddiensten hun beleid veranderd om te voldoen aan de GDPR. Zowel Microsoft als Amazon geven aan dat ze verzoeken vanuit de overheid om toegang te krijgen tot data waar mogelijk tegen zullen houden. Daarbij belooft Microsoft dat tegen 2022 alle data van Europese gebruikers binnen de EU wordt opgeslagen. Zo hoeven persoonlijke data niet meer naar de VS verzonden te worden.
Politiek aspect van het onderzoek
Volgens het EDPS gaat het niet enkel om het naleven van de regels, maar is er ook een politiek aspect. De EU streeft er steeds meer naar om digitaal onafhankelijk te worden, vooral op het gebied van data-infrastructuur en clouddiensten.
De meerderheid van de Europese cloud-markt wordt gecontroleerd door niet-Europese giganten. Meer dan de helft van de Europese organisaties maakt gebruik van AWS, Microsoft Azure, IBM Cloud en Google Cloud.
In een poging om terug controle te krijgen over de digitale infrastructuur, werkt de EU momenteel aan een Europees cloud-initiatief genaamd GAIA-X. Het project wordt gebouwd op basis van de Europese principes voor databescherming en transparantie.