Het dreigement van de Amerikaanse chatapp Signal om Europa te verlaten voert Proton al uit in Zwitserland. Strengere surveillancewetgeving zet privacy-bedrijven onder druk en mogelijk ook hun gebruikers.
Het dreigement van Signal om de EU te verlaten als die de wet aanneemt om verplicht backdoors voor overheden te plaatsen, moet serieus genomen worden. Dat laat Proton zien, de Zwitserse aanbieder van privacygerichte online-diensten. Het bedrijf is nog wel in Zwitserland gevestigd, maar wil vanwege vergelijkbare ontwikkelingen zijn activiteiten in andere landen onderbrengen. De Zwitserse regels worden strenger dan in de EU of de VS, door het verplicht registreren en met de overheid delen van metadata, zoals ip-adressen en mailontvangers, in realtime en zónder gerechtelijk bevel.
Strengere wet kost veel geld
‘Proton zal zich nooit onderwerpen aan een verordening die de Zwitserse wetgeving strenger maakt dan die van de Europese Unie,’ zei ceo Andy Yen eerder tegen de Tribune de Genève. ‘Hoe kunnen we geloofwaardig blijven als we moeten meewerken aan overheidsspionage die zelfs verder gaat dan wat Amerikaanse wetten vereisen?’
Proton heeft nog iets meer dan tweehonderd mensen in dienst in Zwitserland. De kwestie speelt al een tijdje. In 2021 wist het bedrijf er nog een rechtszaak over te winnen, maar verplaatste het, vanwege het risico onder de nieuwe wetgeving te vallen, toen al de meeste computerservers van Zwitserse naar Duitse en Noorse datacenters. Nu de Zwitserse overheid alsnog verder lijkt te willen met een nieuwe wet heeft Yen al aangekondigd investeringen in Zwitserland te bevriezen en in plaats daarvan honderd miljoen Zwitserse frank te pompen in datacenters in Duitsland en Noorwegen.
Wordt de EU ook te streng?
Nu dreigt strengere wetgeving in de EU ook voor problemen te zorgen, bijvoorbeeld voor bedrijven uit landen buiten de Europese Economische Ruimte (EER). ‘Datasoevereiniteit is al jarenlang een belangrijk onderwerp,’ legt Stephan Mulders uit. Hij is advocaat bij Blenheim en gespecialiseerd in het privacyrecht. ‘De AVG stelt in principe twee eisen qua data-overdracht. De eerste is dat je een transfer-mechanisme moet hebben, dat wil zeggen dat er sprake moet zijn van een zogeheten adequaatheidsbesluit, of een SCC (een Standard Contractual Clauses, een modelcontract, n.v.d.r.), en als je dat laatste hebt moet je ook aanvullende maatregelen nemen om eenzelfde beveiligingsniveau te bereiken als in de EU. Verder moet je passende maatregelen nemen om de persoonsgegevens te beveiligen.’
‘Momenteel is er een adequaatheidsbesluit voor de VS, dat is recent nog bevestigd door het Hof van Justitie. Echter, als de VS aanvullende surveillance- en inzageverplichtingen opleggen, dan kan dat adequaatheidsbesluit onder druk komen te staan’, vervolgt Mulders. ‘Los daarvan moet je als verwerkingsverantwoordelijke een inschatting maken van de beveiligingsrisico’s voor jouw data. Als je op basis daarvan tot de conclusie komt dat bijvoorbeeld de Amerikaanse overheid de gegevens op de Amazon-cloud kan inzien, dan moet je maatregelen nemen om die risico’s te verminderen. Een van die maatregelen is dat je de data volledig versleuteld, en zo op de cloud opslaat. Dan kán Amazon er niet meer bij en de Amerikaanse overheid dus ook niet meer. Datzelfde geldt voor de E2E encryptie van Proton. Dan kan Proton er zelf ook niet meer bij.’
‘Voor zover bekend is er in de VS en de EU tot op nu toe geen verplichting om een backdoor in te bouwen in encryptie, al is de EU nu wel bezig met een zeer controversiële wet om zo’n backdoor te verplichten om kinderporno te bestrijden,’ waarover Signal zich momenteel dus zo druk maakt.
Kanarie in de privacy-kolenmijn
‘Ik denk dat het vertrek van Proton de kanarie in de kolenmijn is. Het laat zien dat je bij een keuze voor buitenlandse cloud- of saasdiensten constant op je hoede moet zijn voor veranderingen in buitenlandse wetgeving. Het is daarom verstandig om als organisatie een goed beeld te hebben van je behoeftes én de risico’s die je loopt en op basis daarvan je keuze maakt.’ Hij wijst erop dat Proton natuurlijk een organisatie is met privacydiensten en vertrouwelijkheid als kernwaarde. Daarom is het logisch dat dit bedrijf extra voorzichtig is en zo’n rigoureuze beslissing neemt als de wetgeving verandert. ‘Ik kan mij voorstellen dat bij minder gevoelige data een andere keuze gemaakt wordt.’ Daar denkt de Belastingdienst duidelijk anders over, want die heeft net besloten juist wél in zee te gaan met een Amerikaan.
‘Let wel, ook Europa beweegt steeds meer richting online-surveillance’, zegt Mulders. ‘Bijvoorbeeld de aankomende chat-control-wetgeving en de nieuwe versie van de Dataretentierichtlijn. Echter, het Hof van Justitie is zeer kritisch op massasurveillance en heeft de EU ook regelmatig teruggefloten. Voor zover die nieuwe wetten er komen, weet je in ieder geval dat ze aan Europees recht voldoen en je uit hoofde daarvan dus niet aansprakelijk gesteld wordt.’
Waarom noemt men het “privacy wetgeving”? Het is eerder “opsporingswetgeving” of “anti-privacy wetgeving.”
titel “Strengere privacy-wetgeving jaagt juist privacy-bedrijven weg” is inderdaad misleidend.
Inhoud spreekt ook over: Strengere surveillancewetgeving, overheidsspionage, online-surveillance, massasurveillance
De titel dekt niet de content doordat deze om meerdere onderwerpen gaat in de strijd om de privacy. Kanarie in de kolenmijn is in dat geval de klokkenluider Edward Snowden die het balletje aan het rollen bracht. Toen deze in 2013 de omvang van de Amerikaanse en Britse massasurveillance onthulde (NSA, GCHQ, PRISM, XKeyscore, enz.) leek het namelijk even alsof er een wereldwijde bewustwording zou ontstaan over privacy, staatsmacht en zoiets als digitale autonomie. Maar in de praktijk gebeurde er opvallend weinig structureels want in die periode stond datamobiliteit centraal doordat dit als de motor voor innovatie gezien werd.
De politiek reageerde dus vooral juridisch-symbolisch want overheden en bedrijven hadden baat bij de soepele datastromen van de cloud. En veiligheidsdiensten profiteerden daarvan dus kregen we de papieren tijgers van eerst Safe Harbor, toen een Privacy Shield en als laatste een adequaatheidsbesluit. Verschuiving naar datasoevereiniteit kwam feitelijk pas toen het besef groeide dat afhankelijkheid van buitenlandse cloudproviders en hun jurisdicties niet alleen een privacy risico vormt maar ook een strategisch risico. Van datamobiliteit naar dataportabilteit waarbij het nog onzeker is of je de schijven kunt poetsten.
Inderdaad gokt de Belastingdienst met data van belastingbetaler want juridische eigendom van de datadrager geeft meer zekerheden dan crypto erase. Encryptie is vaak makkelijker gezegd dan gedaan door het sleutelbeheer als het om het delen van informatie gaat want het versterkt misschien de privacy maar het remt zeker ook de innovatie. Vertrouwelijkheid als kernwaarde is hierdoor nogal lastig want heimelijkheid maakt verdacht. Zeker als het om de massa-surveillance gaat want kinderporno bestrijden of een belastingfraudeur gaat om de morele waarden waarin je het recht op privacy afhankelijk maakt van het gedrag.
Interessant is de opmerking over buitenlandse wetgeving want GDPR kent ondanks een Europese homogeniteit lokale verschillen terwijl de meeste MKB bedrijven niet de juridische capaciteit hebben om impact hiervan te beoordelen. En deze hebben ze zeker niet als het om Amerikaanse dienstverleners gaat waardoor het voordeel van schaal een nadeel is.