Eurocommissaris Viviane Reding heeft gedreigd om de Safe Harbor status van Amerikaanse online dienstverleners in te trekken, vanwege hun rol in het afluisterschandaal rond de NSA. Analyses hebben uitgewezen dat Safe Harbor niet veilig is. Dit is een goede ontwikkeling. Opschorting van Safe Harbor kan een geweldige stimulans zijn voor de bescherming van de privacy en voor de Europese cloudindustrie.
De Safe Harbor-regeling maakt het voor Amerikaanse bedrijven mogelijk om privacygevoelige Europese data op te slaan. Door zich te committeren aan zeven privacy principes, krijgen zij toestemming van de EU om hun diensten in Europa aan te bieden en de gegevens buiten de EU op te slaan.
Maar als bedrijven gegevens uit de EU toegankelijk maken voor NSA-afluisterprogramma's zoals Prism voldoen ze niet aan drie van deze zeven eisen binnen het Safe Harbor-akkoord. Het gaat hier om de verplichte notificatie (Notice) over het verzamelen van informatie; het vragen van toestemming (Choice) om informatie te verzamelen en het principe van geen overdracht naar derde partijen (Transfers to Third Parties). Dat mag alleen als deze derde partijen zich ook aan Safe Harbor hebben verbonden - en dat heeft de NSA niet. Dit gebrek wordt alleen maar ernstiger als je bedenkt dat wij als Europese burgers geen enkele mogelijkheid hebben om inbreuken op onze privacy voor een Amerikaans gerechtshof aan te vechten.
Als bedrijven niet voldoen aan Safe Harbor, moet de Europese Commissie de consequentie trekken en die status intrekken. En dat betekent dat privacygevoelige data van Europese bodem simpelweg niet langer door bijvoorbeeld Microsoft en Google mag worden opgeslagen. Omdat de Europeanen nog op uitleg over de spionagepraktijk zitten te wachten is de situatie op dit moment nog onduidelijk, maar Europa heeft een machtig wapen in handen tegen de Amerikaanse datagraaierij.
Er is een zeer grote kans dat Amerikaanse bedrijven ook tegen de zomer van 2014 - de door de Europese commissie opgelegde tijdslimiet - niet aan de Safe Harbor-principes zullen kunnen
voldoen. Alhoewel nu ook grote Amerikaanse bedrijven hun economische belang aan het verdedigen zijn, door tegen de overmatige overheidsspionage te protesteren, is de verwachting dat de NSA en de Amerikaanse regering hun beleid niet gaan aanpassen. Integendeel, het is waarschijnlijker dat additionele clouddiensten zoals Twitter en het veel gebruikte Amazon Web Services gedwongen zullen worden toe te treden tot Prism of op een andere manier gegevens moeten gaan leveren aan de NSA. En zolang programma's als Prism bestaan, is voldoen aan Safe Harbor onmogelijk voor Amerikaanse bedrijven.
Amerika heeft hiermee een eigen doelpunt gescoord. Door toe te staan dat de NSA Amerikaanse bedrijven volstrekt onbetrouwbaar maakt voor niet-Amerikaanse gebruikers, geeft ze andere landen de kans en de noodzaak om de eigen cloudindustrie serieus te ontwikkelen. Nu al zien we duidelijk dat de omzetten in Amerika teruglopen, ten gunste van leveranciers in onder meer de EU.
Bovendien zijn politieke en bestuurlijke instituties in heel Europa nu gedwongen tot actie over te gaan en te kiezen voor betekenisvolle en strenge bescherming van de privacy van gebruikers van clouddiensten. Daarvan kan vervolgens een aantrekkelijk internationaal verkoopargument worden gemaakt om te kiezen voor Europese aanbieders. Bovendien moeten Europese uitgaven aan ict worden omgebogen naar leveranciers die niet vatbaar zijn voor de datagraaierij van de NSA, wat de omzetten binnen de EU vergroot. De eerste stap daarvoor is het opschorten van Safe Harbor.
Dit artikel is tot stand gekomen in samenwerking met Judith Sargentini, Europarlementariër voor Groenlinks. Sargentini schreef een rapport over de Europese cloudstrategie voor de Justitiecommissie van het Europees Parlement.
