Wat betekent het afschieten van Safe Harbor voor het onderwijs?

Safe harborKun je als onderwijsinstelling nog wel gebruik maken van Office 365 of Google apps nu het Europese Hof heeft gesteld dat het Safe Harbor verdrag onvoldoende is om de privacy van Europese burgers te beschermen. Ja, stelt Eurocommissaris Timmermans in een eerste reactie. Nee, stelt de databeschermingsautoriteit in de Duitse deelstaat Sleeswijk-Holstein.

Safe Harbor

Safe Harbor is in het leven geroepen om Amerikaanse bedrijven de mogelijkheid te bieden te voldoen aan de “Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens”. In dat kader kunnen Amerikaanse bedrijven zich laten certificeren. Het Europese Hof heeft nu gesteld dat – aangezien er nauwelijks of geen toezicht is op naleving van Safe Harbor door die bedrijven – met de Safe Harbor regeling feitelijk niet voldaan wordt aan de Richtlijn. Met als meest extreme consequentie dat organisaties die persoonsgegevens opslaan bij Amerikaanse cloudproviders in strijd met Europese regelgeving handelen.

Oplossing ligt niet voor het oprapen

Dat zou nog al iets zijn. Immers: 80% van de huidige cloudopslagservices wordt geboden door Amerikaanse bedrijven. Vandaar dat hard wordt gezocht naar oplossingen. Safe Harbor 2.0 is al in voorbereiding, maar voor zover ik begrijp komt het concept nog niet tegemoet aan het belangrijkste bezwaar van het Europese Hof. Te weten dat een Europees burger niet naar de rechter kan stappen wanneer hij/zij vindt dat zijn/haar privacyrechten zijn geschonden. Microsoft heeft afgelopen week een klemmend beroep op de Amerikaanse overheid gedaan om zich te conformeren aan de Europese privacywetgeving. Toevallig of niet is in Amerika deze week door de Senaat echter de cyberwet CISA aangenomen. CISA zorgt ervoor dat er meer ‘dreigingsinformatie’ wordt gedeeld tussen Amerikaanse bedrijven en overheid. Hetgeen volgens sommigen een politiek eufemisme is dat een ongebreideld datasleepnet mogelijk maakt.

Hoe nu verder?

Voorlopig wordt in Nederland de soep nog niet zo heet gegeten als in Sleeswijk Holstein. Formeel is het nu zo dat  het CBP een standpunt moet innemen en moet aangeven wat de uitspraak van het Europese hof betekent voor Nederlandse bedrijven en overheidsinstellingen. Zolang dit standpunt er niet is, is er feitelijk niets aan de hand. Sommigen stellen dat het allemaal zo’n vaart niet zal lopen en dat het Europese hof met een achterhoede gevecht bezig is. Maar wat als et CBP de lijn van de Duitse deelstaat Sleeswijk Holstein kiest. Dan zijn de rapen gaar.

Hoewel het mij in deze discussie nog steeds niet duidelijk is of het in dat geval helemaal niet meer mogelijk is om data bij een Amerikaanse cloudprovider onder te brengen, of dat alleen nog niet-privacygevoelige gegevens daar mogen worden ondergebracht. Om een voorbeeld te noemen: vallen ontwikkeld lesmateriaal, beleidsdocumenten en werkstukken van leerlingen ook onder de Europese richtlijn?

Wie het weet mag het zeggen!

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *