Strengere privacy-wetgeving jaagt juist privacy-bedrijven weg

no privacy
06 oktober 2025 - 07:154 minuten leestijdAchtergrondGovernance & PrivacyAPBlenheimEuropese UnieProtonSignal
Bouko de Groot
Bouko de Groot
bouko@computable.nl

Het dreigement van de Amerikaanse chatapp Signal om Europa te verlaten voert Proton al uit in Zwitserland. Strengere surveillancewetgeving zet privacy-bedrijven onder druk en mogelijk ook hun gebruikers.

Het dreigement van Signal om de EU te verlaten als die de wet aanneemt om verplicht backdoors voor overheden te plaatsen, moet serieus genomen worden. Dat laat Proton zien, de Zwitserse aanbieder van privacygerichte online-diensten. Het bedrijf is nog wel in Zwitserland gevestigd, maar wil vanwege vergelijkbare ontwikkelingen zijn activiteiten in andere landen onderbrengen. De Zwitserse regels worden strenger dan in de EU of de VS, door het verplicht registreren en met de overheid delen van metadata, zoals ip-adressen en mailontvangers, in realtime en zónder gerechtelijk bevel.

Strengere wet kost veel geld

‘Proton zal zich nooit onderwerpen aan een verordening die de Zwitserse wetgeving strenger maakt dan die van de Europese Unie,’ zei ceo Andy Yen eerder tegen de Tribune de Genève. ‘Hoe kunnen we geloofwaardig blijven als we moeten meewerken aan overheidsspionage die zelfs verder gaat dan wat Amerikaanse wetten vereisen?’

Proton heeft nog iets meer dan tweehonderd mensen in dienst in Zwitserland. De kwestie speelt al een tijdje. In 2021 wist het bedrijf er nog een rechtszaak over te winnen, maar verplaatste het, vanwege het risico onder de nieuwe wetgeving te vallen, toen al de meeste computerservers van Zwitserse naar Duitse en Noorse datacenters. Nu de Zwitserse overheid alsnog verder lijkt te willen met een nieuwe wet heeft Yen al aangekondigd investeringen in Zwitserland te bevriezen en in plaats daarvan honderd miljoen Zwitserse frank te pompen in datacenters in Duitsland en Noorwegen.

Wordt de EU ook te streng?

Nu dreigt strengere wetgeving in de EU ook voor problemen te zorgen, bijvoorbeeld voor bedrijven uit landen buiten de Europese Economische Ruimte (EER). ‘Datasoevereiniteit is al jarenlang een belangrijk onderwerp,’ legt Stephan Mulders uit. Hij is advocaat bij Blenheim en gespecialiseerd in het privacyrecht. ‘De AVG stelt in principe twee eisen qua data-overdracht. De eerste is dat je een transfer-mechanisme moet hebben, dat wil zeggen dat er sprake moet zijn van een zogeheten adequaatheidsbesluit, of een SCC (een Standard Contractual Clauses, een modelcontract, n.v.d.r.), en als je dat laatste hebt moet je ook aanvullende maatregelen nemen om eenzelfde beveiligingsniveau te bereiken als in de EU. Verder moet je passende maatregelen nemen om de persoonsgegevens te beveiligen.’

‘Momenteel is er een adequaatheidsbesluit voor de VS, dat is recent nog bevestigd door het Hof van Justitie. Echter, als de VS aanvullende surveillance- en inzageverplichtingen opleggen, dan kan dat adequaatheidsbesluit onder druk komen te staan’, vervolgt Mulders. ‘Los daarvan moet je als verwerkingsverantwoordelijke een inschatting maken van de beveiligingsrisico’s voor jouw data. Als je op basis daarvan tot de conclusie komt dat bijvoorbeeld de Amerikaanse overheid de gegevens op de Amazon-cloud kan inzien, dan moet je maatregelen nemen om die risico’s te verminderen. Een van die maatregelen is dat je de data volledig versleuteld, en zo op de cloud opslaat. Dan kán Amazon er niet meer bij en de Amerikaanse overheid dus ook niet meer. Datzelfde geldt voor de E2E encryptie van Proton. Dan kan Proton er zelf ook niet meer bij.’

‘Voor zover bekend is er in de VS en de EU tot op nu toe geen verplichting om een backdoor in te bouwen in encryptie, al is de EU nu wel bezig met een zeer controversiële wet om zo’n backdoor te verplichten om kinderporno te bestrijden,’ waarover Signal zich momenteel dus zo druk maakt.

Kanarie in de privacy-kolenmijn

‘Ik denk dat het vertrek van Proton de kanarie in de kolenmijn is. Het laat zien dat je bij een keuze voor buitenlandse cloud- of saasdiensten constant op je hoede moet zijn voor veranderingen in buitenlandse wetgeving. Het is daarom verstandig om als organisatie een goed beeld te hebben van je behoeftes én de risico’s die je loopt en op basis daarvan je keuze maakt.’ Hij wijst erop dat Proton natuurlijk een organisatie is met privacydiensten en vertrouwelijkheid als kernwaarde. Daarom is het logisch dat dit bedrijf extra voorzichtig is en zo’n rigoureuze beslissing neemt als de wetgeving verandert. ‘Ik kan mij voorstellen dat bij minder gevoelige data een andere keuze gemaakt wordt.’ Daar denkt de Belastingdienst duidelijk anders over, want die heeft net besloten juist wél in zee te gaan met een Amerikaan.

‘Let wel, ook Europa beweegt steeds meer richting online-surveillance’, zegt Mulders. ‘Bijvoorbeeld de aankomende chat-control-wetgeving en de nieuwe versie van de Dataretentierichtlijn. Echter, het Hof van Justitie is zeer kritisch op massasurveillance en heeft de EU ook regelmatig teruggefloten. Voor zover die nieuwe wetten er komen, weet je in ieder geval dat ze aan Europees recht voldoen en je uit hoofde daarvan dus niet aansprakelijk gesteld wordt.’

    Whitepapers

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Computable.nl

    Bouw de AI-organisatie niet op los zand

    Wat is de afweging tussen zelf bouwen of het benutten van cloud?

    Computable.nl

    Beveiliging en IT samen sterk tegen bedreigingen

    Deze paper geeft concrete strategieën en handvatten om IT en Security effectiever te integreren.

    Eén reactie op “Strengere privacy-wetgeving jaagt juist privacy-bedrijven weg”

    Geef een reactie

    Meer lezen

    Footer