De ICT-jurist krijgt heel veel kwesties voorgelegd die te maken hebben met de vooruitgang der techniek. Een voorbeeld van die voortdurende ontwikkeling op het technische vlak is Cloud Computing. In dit artikel zal ik vanuit privacyrechtelijk oogpunt dit fenomeen uiteenzetten en daarbij de knelpunten beschouwen. Om daarvan een goed beeld te kunnen geven vanuit privacyrechtelijk perspectief moeten we eerst stilstaan bij de vraag wat Cloud Computing inhoudt. Hierna kunnen we verder kijken naar eventuele pijnpunten die daarbij kunnen voorkomen, die een goede bescherming van de persoonlijke levenssfeer noodzakelijk maken.
Cloud Computing is een term die steeds meer voorkomt in onze huidige maatschappij, maar wat betekent hij nu eigenlijk? Cloud Computing betreft een manier van werken waarbij de software en de data niet meer op de eigen computer staan, doch worden opgeslagen op verschillende externe servers. De gebruiker krijgt een virtuele omgeving, die hij zelf volledig naar wens kan inrichten. De term Cloud Computing wordt zowel gebruikt voor de levering van bepaalde applicaties via het internet, als voor de middelen die nodig zijn om deze levering mogelijk te maken.
Bij Cloud Computing staat de cloud centraal. Cloud is de Engelse term voor wolk. Men heeft voor deze term gekozen, omdat digitale clouds een soort wolken zijn met eenvoudig te gebruiken en gemakkelijk toegankelijke, gevirtualiseerde bronnen. De samenstelling verschilt per wolk, maar ook per moment. Voorts is de term cloud een metafoor die impliceert dat de gegevens ‘ergens in de lucht hangen’. Hoewel een gebruiker altijd toegang heeft tot de betreffende gegevens, is niet altijd transparant waar precies die gegevens zijn opgeslagen. Wel kan een gebruiker op elk moment zijn applicaties of de grootte van zijn opslagruimte aanpassen. Voorbeelden van bronnen zijn hardware, ontwikkelingsplatforms en/of softwarediensten.
Hiermee komen we bij mogelijke privacyproblemen die Cloud Computing met zich meebrengt. Doordat vaak onduidelijk is waar de gegevens zich bevinden, kan er sprake zijn van een in de Wet bescherming persoonsgegevens verboden doorgifte naar een zogenaamd ‘derde land’. Zoals in één van mijn voorgaande artikel over de Wet bescherming persoonsgegevens al is vermeld, is die wet gebaseerd op een Europese richtlijn. Dit betekent dat met derde landen wordt gedoeld op landen die zich buiten de invloedssfeer van deze richtlijn bevinden en dit zijn alle landen buiten de Europese Unie. Doorgifte naar zo’n derde land is alleen toegestaan als men er aan persoonsgegevens eenzelfde soort bescherming toekent als in de richtlijn wordt omschreven. De Europese Commissie heeft een lijst met landen opgesteld waarvoor dit het geval is. Ingeval van doorgifte naar een ander land kan dit alleen met een vergunning van de minister van Justitie, of onder bepaalde voorwaarden in concernverband. Het voert te ver om daar in dit artikel verder op in te gaan.
De vraag die centraal moet staan als er met persoonsgegevens in de cloud wordt gewerkt, is dan ook of er sprake is van doorgifte naar een derde land zonder dat er sprake is van één van de uitzonderingen die hierboven worden genoemd. Van doorgifte naar zo’n land is zeker sprake wanneer de gegevens worden doorgegeven aan een persoon die zich in dat land bevindt. Als dit ook het geval is bij het plaatsen van gegevens op een server in een dergelijk land, is het mogelijk dat de doorgifte wettelijk verboden is. Aangezien de wetgeving hierop geen antwoord geeft, zal de rechtspraak hier uitsluitsel over moeten gaan geven.
Naast het probleem van doorgifte naar een onbedoeld land is ook de beveiliging mogelijkerwijs problematisch. In geval van Cloud Computing verliest de organisatie of de particulier die voor de verwerking verantwoordelijk is de fysieke controle over de gegevens. De gegevens bevinden zich niet meer in een omgeving die hij volledig kan controleren, terwijl hij wel verantwoordelijk is en blijft voor de gegevensverwerking en de beveiliging daarvan. Hij is dan ook volledig afhankelijk van de beveiligingsmaatregelen die de Cloud Computingdiensverlener neemt, met als gevolg dat deze specifieke maatregelen goed in het contract moeten worden vastgelegd. Hierbij moet niet uit het oog worden verloren dat de Wet bescherming persoonsgegevens de benodigde beveiligheidsmaatregelen afhankelijk stelt van de privacygevoeligheid van de gegevens. (Lees voor meer informatie hierover het artikel over de Wet bescherming persoonsgegevens.)
Een laatste punt dat hier het vermelden waard is, betreft het feit dat veel Cloud Computingbedrijven in Amerikaanse handen zijn of veel zaken doen met Amerikaanse bedrijven. Dit is van belang omdat de VS sinds 11 september 2001 verschillende antiterreurwetten heeft aangenomen. Door de toepasselijkheid van die wetten (de Patriot Act 1 en 2) heeft de Amerikaanse overheid de mogelijkheid om die persoonsgegevens te doorzoeken die zich op het grondgebied van de VS bevinden, of die opgeslagen zijn op buitenlandse servers van bedrijven die eigendom zijn van Amerikanen of van bedrijven die veel zaken doen met Amerikanen. Dit houdt in dat samenwerken met een van die bedrijven een extra privacyrisico met zich meebrengt. Het gegeven dat de Amerikaanse overheid toegang heeft tot de gegevens van dit bedrijf zou voor Europeanen een extra reden tot zorg moeten zijn. Als er persoonsgegevens in een dergelijke cloud worden opgeslagen, is hierbij dan ook een extra belangenafweging onoverkomelijk.
Lees ook de andere artikelen van mr. Sophia Sipkens.