12 januari 2011
Ondanks eerdere beloften biedt Google geen garanties dat privacy- en bedrijfsgevoelige data binnen Europa blijven. Google weigert aan de wens van veel organisaties tegemoet te komen om privacy- en bedrijfsgevoelige data binnen de grenzen van de EU op te slaan. Concurrenten als Microsoft en Amazon bieden wel zo’n Europese ‘cloud’, waarmee data van burgers en bedrijven gegarandeerd binnen de EEG blijven. Een dergelijke afbakening van datacentra is steeds urgenter in het licht van recente datavorderingen door de Amerikaanse justitie in het kader van Wikileaks. Twitter slaat zijn gegevens in de VS op, dus vallen ze onder het Amerikaanse recht. Datzelfde geldt voor Google. En ondanks meerdere beloften biedt de firma nog altijd geen Europese data-opslag aan. De huidige Europese databescherming zit Google in de weg. De regels voor grensoverschrijdend dataverkeer vormen ‘een knellend jasje’ voor Google, stelde Jeroen Schouten, hoofdjurist van Google Benelux onlangs op een congres over IT-recht. Klanten die per se hun data ergens wel of niet willen, zijn bij Google aan het verkeerde adres, zo maakt Schouten duidelijk.
‘Google ziet het heel simpel. We bieden geen villa die je zelf kan inrichten, maar een standaard ingericht appartement in onze flat. Daarmee heb je alle voordelen van de ‘cloud’ tegen bodemprijzen. Onze menukaart is beperkt, maar je kunt toch weg? Dan moet je verder niet zeiken’, aldus Schouten. Aanwezigen reageren geschokt. ‘De arrogantie die Microsoft had heeft Google feilloos overgenomen’, fulmineert een jurist. ‘Ik ben geschokt dat een bedrijf zo zijn bestaande en potentiële klanten schoffeert. Google is doof voor wensen uit de markt en paternalistisch’. Eerder sloeg Google nog een heel andere toon aan. Afgelopen februari gaf Erik de Muinck Keizer, hoofd Google Enterprise Benelux, aan dat het bedrijf ‘waarschijnlijk in 2010’ data desgewenst in Europa kan gaan opslaan. In september was dat ‘binnenkort’ geworden, maar recenter houdt Google zich juist steeds meer op de vlakte. Terwijl Google toezeggingen voor een Europese ‘cloud’ steeds verder afzwakt, wil het concern ondertussen in Brussel juist méér speelruimte regelen, in weerwil van Eurocommissaris Kroes, die uit het oogpunt van privacy dit problematisch vindt. Amerikaanse ‘cloud’ providers zoals Google, Amazon en Microsoft pleiten voor een soort datavrijhaven, gevrijwaard van de huidige juridisch-geografische beperkingen en overheden. Een soort Mare Liberum voor data, waar geen enkel land jurisdictie heeft. Vooral Google voert een intensieve lobby om de nieuwe Europese Richtlijn voor Databescherming te wijzigen. Momenteel wordt er een consultatieronde over de nieuwe Rijchtlijn gehouden. Tegelijkertijd probeert Google zoveel mogelijk klanten te winnen die er geen probleem mee hebben dat hun data zich overal en nergens bevindt. De strategie daarbij is duidelijk. Google overtuigt een paar gezichtsbepalende bedrijven of onderwijsinstellingen die als reclame dienen voor de rest. Volgens Google is het hameren op datalocatie vooral een nostalgische emotie. ‘Onze boodschap is: het lost echt geen problemen op. Wat willen ze er mee bereiken? We zien dat er universiteiten voor Google kiezen, zonder dat ze eisen dat hun data in Europa blijft. Die scheppen een precedent en dan kunnen anderen zich afvragen hoe belangrijk deze kwestie nu eigenlijk is. Er zitten twee kanten aan de medaille. We zouden het kunnen doen, maar wellicht is het over een jaar minder belangrijk en is al de helft van de universiteiten gemigreerd’, aldus Samantha Peter, business development for education bij Google. ‘Universiteiten moeten zich niet afvragen, waar staat mijn data, maar welke maatregelen zijn er om data te beschermen en de wettelijke voorwaarden rond datahosting. Al het andere is een emotionele kwestie. Het is geen technische kwestie, het is geen juridische kwestie. Ik begrijp het wel. Het is vergelijkbaar met je geld onder het matras bewaren of het op de bank zetten. Maar het gaat om de technische en juridische afwegingen. Veel mensen vallen echter toch terug op die emotie, zonder de echte argumenten af te wegen. Maar we gaan het gesprek aan en gaan graag in op hun zorgen’. Google-medewerkers benadrukken dat een geografische beperking zoals een Europese ‘cloud’ indruist tegen de principes van Google’s cloudtechnologie. Google heeft naar schatting wereldwijd minstens 20 datacenters en verdeelt de terabytes aan digitale data en de netwerkbelasting automatisch en dynamisch over deze datacenters, waardoor data ‘overal en nergens’ tegelijk staat. Google kan echter desgewenst de datalocaties wel degelijk afbakenen. Sinds juli vorig jaar biedt Google Amerikaanse overheden wel de garantie dat hun data binnen de VS blijven. Maar in de VS is Europese data ook veilig, sust Google. Het bedrijf voldoet immers aan de zogenaamde Safe Harbor principes. ‘De kern is dat we voldoen aan en gecertificeerd zijn met de Safe Harbor, dat betekent dat onze databescherming voldoet aan alle regels van de Europese Richtlijn en de Nederlandse databeschermingswetten’, benadrukt Samantha Peter. Safe Harbor bestaat uit een zevental principes die enigszins overeenkomen met de Europese dataprotectie, maar met bijvoorbeeld het verschil dat de Amerikaanse overheid via de Patriot Act toch data zou kunnen vorderen. Daarnaast wordt er fraude gepleegd met de regels. Voor enkele Nederlandse onderwijsinstellingen is deze kwestie doorslaggevend geweest bij hun keuze tegen Google Apps en voor Live@edu, de clouddienst van rivaal Microsoft. Anders dan Google beweert, is de eis om data binnen Europa te houden heel logisch en rationeel, vindt IT-advocaat Theo Bosboom. ‘Als bedrijven aan mij vragen: is dit een issue? Dan zeg ik: ja. Als er aanbieders zijn die garanderen dat de data wél binnen de Europese Unie blijven, dan is dat juridisch gezien zonder meer de beste keuze’. De gebruikersvoorwaarden van Google bieden volgens Bosboom ‘onvoldoende zekerheden’. ‘Het betekent toch dat je niet weet waar je data zich bevinden en welk recht daarop van toepassing is. En dus ook niet wat lokale overheden daar allemaal mee willen en kunnen. Dan voldoe je dus eigenlijk niet aan de Nederlandse privacywet, heel simpel. De databescherming is zeker niet geborgd omdat Google die Safe Harbor principes onderschrijft. Google doet er verstandig aan om wel een Europese ‘cloud’ aan te bieden’.