Het gebruik van clouddiensten van Amerikaanse bedrijven is niet AVG-proof, zo concludeert de toezichthoudende aanbestedingskamer in een Duitse deelstaat. Daarom mogen deze techbedrijven gepasseerd worden bij aanbestedingen en mag hun aanbod bij inschrijving genegeerd worden. Deze Duitse uitspraak toont aan hoe wankel de gegevensoverdracht tussen Europa en Amerika momenteel is. De grote vraag is of en wanneer er drastische maatregelen genomen worden…..
Amerikaanse cloudproviders uitgesloten bij Duitse aanbestedingen?
De openbare aanbestedingskamer van de deelstaat Baden-Württemberg heeft geconcludeerd dat het gebruik van de clouddienst van een Amerikaanse partij die meedeed aan een aanbestedingsprocedure in strijd is met de Europese privacywetgeving.
In deze zaak had een in de EU gevestigde dochteronderneming van een Amerikaanse aanbieder van server- en clouddiensten deelgenomen aan een aanbestedingsprocedure. Hoewel de servers die werden gebruikt om diensten te verlenen zich binnen de EU bevonden, vond de Kamer voor Overheidsopdrachten dat dit een inbreuk is op de AVG.
Als gevolg van deze inbreuk moet een overeenkomstige inschrijving worden uitgesloten van de aanbestedingsprocedure, aldus de Kamer voor Overheidsopdrachten.
Let op!
Deze uitspraak gaat specifiek in op een Amerikaanse partij die diensten aanbiedt via een dochteronderneming in Europa. Problematisch, want dat is dé oplossing die veel Amerikaanse techgiganten hebben gekozen om op Europees grondgebied hun diensten aan te kunnen blijven bieden ondanks de strenge privacywetgeving.
Volgens de Kamer volstaat de loutere mogelijkheid van toegang tot persoonsgegevens door de Amerikaanse moedermaatschappij om een doorgifte naar de VS te impliceren. Of zo'n datastroom daadwerkelijk plaatsvindt, is dus niet relevant. Alleen al de mogelijkheid is voldoende.
Het besluit is nog niet definitief, er is inmiddels hoger beroep aangetekend.
Als dit besluit wordt gehandhaafd, dan worden grote cloudproviders zoals Microsoft, Amazon en Google uitgesloten van toekomstige samenwerking met de Duitse autoriteiten.
Uiteraard heeft deze uitspraak dan ook een storm van protest ontketend.
Het gebruik van Europese entiteiten door Amerikaanse partijen
Ook in Nederland wordt nagedacht over de wijze waarop we gegevens kunnen blijven uitwisselen met Amerika.
Zo verscheen deze maand op de website van het Nationaal Cyber Security Centrum een memo over de reikwijdte van de Amerikaanse Clarifying Lawful Overseas Use of Data (CLOUD) Act. Deze wet verschaft Amerikaanse inlichtingendiensten toegang tot Europese persoonsgegevens die verwerkt worden door Amerikaanse partijen.
De Nederlandse overheid heeft bij een internationale advocatenfirma advies hierover opgevraagd. Hoe zorgen Europese cloud providers en partijen (Europese entiteiten) dat ze niet geraakt worden door deze CLOUD Act?
Uit de memo blijkt het volgende:
Europese entiteiten kunnen binnen het bereik van de CLOUD Act vallen, ook als ze buiten de Verenigde Staten zijn gevestigd.
Om ervoor te zorgen dat deze entiteiten volledig buiten de reikwijdte van de CLOUD Act vallen moeten ze persoonsgegevens verwerken met behulp van een niet-Amerikaanse entiteit, die ofwel:
geen zakelijke relatie heeft met een bedrijf dat aanwezig is in de VS (zoals een Amerikaanse dochteronderneming) en die onvoldoende contacten heeft met de VS om Amerikaanse jurisdictie te laten gelden over de EU-entiteit/niet-Amerikaanse entiteit (dit omvat ook het niet verkopen van producten of diensten aan klanten in de VS); of;
als het wel een zakelijke relatie heeft met een bedrijf gevestigd in de VS, dan mag dit bedrijf de gegevens die zijn opgeslagen in de EU niet bezitten, opslaan of controleren.
Sowieso wordt in de memo gesteld dat een Europese entiteit absoluut geen Amerikaanse moedermaatschappij mag hebben, omdat deze in het ‘bezit’ is van de data. Daarnaast wordt geadviseerd om geen Amerikaanse staatsburgers in dienst te nemen die toegang hebben tot relevante data.
Als het advies in deze memo opgevolgd wordt, heeft dit uiteraard grote impact op het gebruik van Amerikaanse clouddiensten.
Onzekere toekomst voor data-uitwisseling met de VS
Sinds de nietigverklaring van het Privacy Shield in 2020 worden vaker rechtszaken gevoerd en voorstellen gedaan om de gegevensuitwisseling met Amerikaanse partijen aan banden te leggen of zelfs te verbieden.
Vorige maand berichtten we nog over een conceptbesluit van de Ierse privacytoezichthouder, die ervoor kan zorgen dat Facebook en Instagram binnenkort niet meer toegankelijk zijn voor Europeanen. De toezichthouder wil namelijk de overdracht van data van Europa naar de VS door moederbedrijf Meta blokkeren.
Ook een Duitse uitspraak over het oneigenlijk gebruik van Mailchimp trok veel aandacht. Een privacytoezichthouder in Beieren verklaarde vorig jaar het gebruik van MailChimp door een Duits bedrijf onrechtmatig.
Hoewel er steeds meer van dit soort uitspraken en besluiten in het nieuws komen, zijn er tot op heden geen drastische stappen gezet om data-uitwisseling met Amerika daadwerkelijk stop te zetten.
De vraag is ook in hoeverre een verbod op het gebruik van Amerikaanse (cloud)diensten reëel is. Wij zijn als samenleving immers in grote mate afhankelijk van Amerikaanse techgiganten als Google en Microsoft.
Wij houden u in ieder geval op de hoogte van de ontwikkelingen.
Zeker weten dat u niks mist?
Meldt u zich dan aan voor onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.