Nieuwe gedragscode cloudproviders: geen AVG-feestje

Vlak voor de derde verjaardag van de AVG hebben de Europese privacytoezichthouders (EDPB) twee gedragscodes voor cloudproviders goedgekeurd, zie opinies 16/2021 en 17/2021.  De CISPE gedragscode (voor cloud infrastructuur providers) en de EU Cloud Code (voor alle soorten cloudproviders) zouden in theorie een enorme privacy-boost kunnen opleveren. Maar helaas hebben de afspraken weinig om het lijf. De gedragscode biedt geen oplossing voor de grote privacy-risico's voor de Europese klanten van de (vooral) Amerikaanse cloudproviders, als het gaat om doelbinding, transparantie, grondslag en dataminimalisatie. De gedragscode lijkt daarmee een beetje op de belofte van de voedingsindustrie om het suiker en zoutgehalte in kant-en-klaar voedsel te verlagen. Dat heeft de afgelopen vijf jaar vooral voor afleiding gezorgd van de wetgever, en tot heel weinig werkelijke afname van de toegevoegde suikers en zouten.

Gedragscodes en privacytoezicht

Bij het invullen van het privacytoezicht kan een gedragscode helpen. Het idee is dat organisaties in een branche samen afspreken hoe zij de open normen uit de Algemene Verordening Gegevensbescherming toepassen. Maar alleen de wetsartikelen overschrijven is niet goed genoeg. Een gedragscode moet transparantie bevorderen en rechtszekerheid, en vertrouwen geven aan huidige en toekomstige klanten van de diensten. Een gedragscode moet daarom specifieke uitleg geven en keuzes maken, juist als er meningsverschillen zijn. En de branche of sector moet effectief toezicht regelen op naleving van de gedragscode door de aangesloten organisaties. Daarmee is de AVG gedragscode opgetuigd als één van de bouwstenen van het toezicht, naast de toezichthouder, de FG's en betrokkenen die klachten kunnen indienen bij organisaties, en rechtszaken kunnen voeren om schadevergoeding.

9 jaar gewerkt aan gedragscode

Er is bijna 9 jaar gewerkt aan een duidelijke set spelregels voor cloudproviders. In 2012 beloofde de Europese Commissie dat er in 2013 een gedragscode klaar zou zijn, die het potentieel van cloud computing in Europa zou ontketenen (Unleashing the Potential of Cloud Computing in Europe ). Het ging wat minder vlot dan gehoopt. In 2015 velden de dataprotectie toezichthouders een eerste vernietigend oordeel over de beoogde algemene gedragscode, in 2018 stuurden ze een brief met nieuwe 'aanbevelingen'. Ze benadrukten dat er geen verwarring mocht zijn over de rol van de cloudprovider: als verwerker of als verantwoordelijke. Bovendien ontbrak in de gedragscode ten onrechte een invulling van het begrip persoonsgegevens en van anonimisering. In 2018 zagen de toezichthouders nog steeds geen toegevoegde waarde in de code. De cloudproviders focusten teveel op uitleg over de dingen waar ze niet verantwoordelijk voor waren, en gaven te weinig invulling aan hun plichten. De toezichthouders merkten op dat de gedragscode weliswaar expliciet de accountgegevens uitsloot (de logingegevens die klanten aan cloudproviders moeten verstrekken), maar dat onduidelijk was waar de gedragscode wel over ging, omdat het begrip 'customer data' onduidelijk was.

Algemene cloudprovider gedragscode gaat niet over de metadata

De nieuwe goedgekeurde versie van de EU Cloud Code lost deze problemen niet op. De gedragscode gaat alleen over de verwerking van Customer Personal Data. En dat zijn: any personal data in relation to data subjects that the Customer entrusts to the CSP as part of the provision of the Cloud Services. Met andere woorden: de gedragscode gaat alleen over de bestanden die klanten bewust uploaden naar de computers van de cloudprovider, maar bevat geen regels over de omgang met de metadata. De metadata zijn de zeer gedetailleerde persoonsgegevens die cloudproviders verzamelen over het individuele gebruik van hun diensten. Elke keer dat je een tekstbestand of e-mail opent, wijzigt, opslaat en verstuurt, registreert de cloudprovider dat in logboeken. Bij Privacy Company hebben we veel uitgebreid onderzoek gedaan naar deze datastromen, bijvoorbeeld in de openbare DPIA-rapporten over Microsoft en Google. Uit die onderzoeken blijkt dat cloudproviders op deze manier grootschalig persoonsgegevens verzamelen, zonder daar klanten goed over te informeren of keuzes in te bieden. Bovendien willen ze graag zelf de doelen bepalen van de​ verwerking van metadata.

Onduidelijke rol van cloudproviders

De cloudproviders beschouwen zichzelf doorgaans als (zelfstandige) verantwoordelijke voor die metadata. Dat betekent in AVG-termen dat ze zelf de doelen mogen bepalen van de gegevensverwerking, terwijl een verwerker alleen instructies mag opvolgen van de opdrachtgever. Dat eerste doen de Amerikaanse Big Tech providers gretig, de gegevens over het gebruik van de diensten verwerken voor eigen commerciële doelen. Daarom is het zo belangrijk dat de gedragscode helder vastlegt wat een cloudprovider met de persoonsgegevens mag doen. Maar de nieuwe gedragscode vermijdt dat dilemma zorgvuldig: In the course of the Cloud Service Agreement and to the extent CSP is concerned as processor, CSP shall not process Customer Personal Data except on Customer’s Instructions unless required to do so by law, as specified in Article 28.3 GDPR. Dus als de cloudprovider zichzelf als verwerker beschouwt, voor de inhoudelijke gegevens die een klant onderbrengt op een cloud computer, dan zal de cloudprovider die gegevens verwerken voor de doelen van de klant. Geen woord wanneer de provider zichzelf mag kwalificeren als verantwoordelijke, en geen enkele duiding over de vele andere soorten diagnostische persoonsgegevens die een cloudprovider automatisch ter beschikking krijgt als een organisatie besluit om gebruik te maken van de diensten van de cloudprovider.

Geen zelfregulering bij ongelijke machtsverhoudingen

Ik vind deze gedragscode een akelig voorbeeld van het falen van zelfregulering. Zelfregulering werkt niet als de machtsverhoudingen ongelijk zijn. Net als bij de tabaks-, voedsel-, alcohol-, medicijnen- olie- en gasindustrie zijn de belangen in de ICT-wereld ongelijk en is er sprake van een beperkt aantal wereldwijd opererende marktpartijen. De enorme inkomsten van die dominante spelers staan tegenover moeilijk kwantificeerbare maatschappelijke schade, die bovendien vaak pas op de lange termijn optreedt. De lidstaten lijken meer oog te hebben voor de financieel-economische voordelen van werkgelegenheid door Big Tech dan voor het individuele nadeel voor klanten (zowel consumenten als werknemers die via hun werkgever gebruik maken van de clouddiensten). Terwijl het bij privacy om een grondrecht gaat, waar de overheid juist sterke waarborgen zou moeten bieden. De wereldwijd opererende cloudproviders hebben de wetgever inmiddels 9 jaar van zich af weten te houden, maar nu kan iedereen zelf beoordelen dat het resultaat een farce is, en dat de cloudproviders niet van plan zijn om hun verdienmodel om zeep te helpen.

Falend toezicht Ierland

Overheid, bedrijfsleven, universiteiten en ziekenhuizen zijn de afgelopen jaren massaal overgestapt naar publieke clouddiensten, terwijl er een schrijnend tekort aan toezicht is. Dat komt vooral door het uitblijven van actie door de Ierse Data Protectie Commissioner (DPC). De Ierse toezichthouder is binnen de EDPB bijna altijd aangewezen als lead DPA, dat wil zeggen, de toezichthouder die de conflicten met Big Tech moet beslechten namens alle andere toezichthouders, omdat die bedrijven hun Europese hoofdkantoor in Ierland hebben gevestigd. Het Europees Parlement heeft onlangs met grote meerderheid van stemmen een resolutie aangenomen dat de Europese Commissie Ierland in gebreke moet stellen voor de falende implementatie van de AVG, met name vanwege het tekort aan middelen voor de Ierse DPC. Maar hoe kan de overheid dan wel effectief optreden om onze grondrechten te beschermen?

Toezicht EDPS en inkopers overheden

Het is duidelijk dat het toezicht tekort schiet en dat de twee nieuwe gedragscodes geen bijdrage leveren aan het verlagen van de privacyrisico's van het gebruik van clouddiensten. Mijn hoop is gevestigd op handhaving door de EDPS, de toezichthouder op de Europese instellingen, en op aangescherpt inkoopbeleid van overheden en universiteiten. Ik ben benieuwd naar de resultaten van nieuw onderzoek dat is aangekondigd door de EDPS naar de AVG-compliance van Microsoft.

SLM Rijk geeft in Europa het goede voorbeeld door openbare DPIA rapporten te publiceren, en vervolgens langdurig te onderhandelen met de cloudproviders over aanscherping van de privacyvoorwaarden. Microsoft heeft inmiddels wereldwijd haar privacyvoorwaarden aangescherpt, in lijn met de onderhandelingsresultaten van het Rijk. De EDPS heeft met SLM Rijk het voortouw genomen om alle inkopers van clouddiensten van overheidsorganisaties te verenigen in de The Hague Forum for Cloud Contracting. Het zou prachtig zijn als dit overleg standaardcontracten produceert, die wèl transparant zijn over alle soorten persoonsgegevens, en die wèl tot rechtszekerheid leiden. De wetgevers in de EU kunnen dan helpen door het gebruik van deze standaardcontracten te verplichten voor alle publieke sector organisaties. De grote cloudproviders verzetten zich vaak tegen wijzigingen, omdat ze op één identieke manier hun wereldwijde diensten aanbieden. Maar dat nadeel kunnen we veranderen in een voordeel: als ze hun werkwijze moeten wijzigen om diensten te mogen leveren aan de publieke sector, is de kans heel groot dat ze de verbeterde voorwaarden aan iedereen wereldwijd aanbieden.

Gepubliceerd op
31/5/2021
AVG - DPIA - Mircrosoft AVG - AVG en gegevensbescherming - AVG gedragscode