zondag 16 oktober 2016

EU-US Privacy shield: een veilige oplossing voor de cloudopslag van geodata?

Ongeveer een jaar geleden legden de EU-juristen een bom onder de Safe Harbor regeling. Dat was de afspraak tussen de VS en Europa waarmee Amerikaanse bedrijven plechtig konden beloven alle Europese normen ten aanzien van privacy bij de opslag van data keurig na te volgen. De -onder het mom van terrorismebestrijding- grijpbare arm van de Amerikaanse overheid hing als te grote schaduw boven de overzeese opslag om het waarborgen van onze Europese privacy geloofwaardig te laten zijn.

Om Amerikaanse clouddiensten toch een kans te geven de EU-markt te bedienen is sinds 12 juli jl. de opvolger van de Safe Harbor, de EU-US Privacy Shield . Strenger dan zijn voorganger, met een onder meer soort van ombudsman waar je overtredingen kunt melden. Dat roept gelijk herinneringen op aan VARA-coryfee Frits Bom...

Ik had het even gemist, maar als excuus kan ik aanvoeren dat ik op dat moment in Engeland was, waar men per referendum de EU de rug had toegekeerd. Bovendien bevind ik me in goed gezelschap, ICT-jurist Arnoud Engelfriet blogde er pas ook zeer onlangs over. En in GIS-land ben heb ik er nog helemaal niets over gehoord, de enige hit op "privacy shield" + GIS  brengt me bij het bedrijf "General Information Services". Heb ik dan toch een scoop?

Want voor de opslag van onze van geodata is de wet- en regelgeving voor "opslag overzee" wel degelijk relevant. Geonovum bracht daar begin 2015 een zeer lezenswaardig boekwerkje over uit. Sindsdien is het ook bij Geonovum wat stil geworden rond dit thema. Jammer, want met het steeds verder ontwikkelen van het stelsel van basisregistraties, met linked data en allerlei andere datakoppelingen is steeds meer locatiegebonden data met een of twee datakoppelingen zodanig specifiek herleidbaar tot individuen dat het valt onder de definitie van persoonsgegevens: gegevens die direct of indirect herleidbaar zijn tot een natuurlijk persoon.Hieronder vallen ook gegevens ‘die
mede bepalend zijn voor de wijze waarop de betrokken persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld’;

Waar dan wel naar toe met je data?

Het simpelste is om het binnen de hekken van de EU op te slaan; daarmee voldoe je per definitie aan in de EU geldende wet- & regelgeving. Verder houdt Brussel ook een lijst bij van landen buiten de EU die ook voldoen aan onze eisen t.a.v zorgvuldige omgang met data: naast de 3 EEA landen (Noorwegen, IJsland en Liechtenstein) van Argentiniƫ tot Zwitserland.

Tot slot: ook broncode in een versiebeheersysteem als Git (waarin bijdragen immers worden gelabeld met naam en e-mailadres) vallen naar mijn idee onder persoonsgegevens, en zouden dus niet op servers in Amerika (Github!) gehost moeten worden. Dus maar eens even op zoek naar een Github look-a-like binnen de veilige grenzen van de EU.