Scheiding klantdata steeds belangrijker en complexer

Wat we in ieder geval van de AVG/GDPR hebben geleerd is dat de eigenaar van klantdata er alles aan moet doen die goed te beschermen. De vraag wat klantdata is kunnen we allemaal beantwoorden. De vraag of alle klantdata op de zelfde wijze moet worden beschermd is iets waar we tot nu toe te makkelijk over heen stappen.

Waarschijnlijk hebben de meeste bedrijven als uitgangspunt dat ze klantdata, waaronder in dit geval wordt verstaan persoonsgegevens als NAWTE, als een homogene massa beschouwen als het gaat om de bescherming ervan. Als je alles gelijk behandelt en daarvoor een strenge norm hanteert heb je de minste kans iets fout te doen. Het is ook stukken makkelijker slechts een policy aan te houden, want het scheelt tijd en kosten.

Er is echter een externe factor die in Nederland nog amper naar voren is gekomen. Terwijl wij hier druk bezig waren met de AVG/GDPR hebben de Amerikanen overhaast de CLOUD wet (Clarifying Lawful Overseas Use of Data Act) doorgevoerd. Die moest een einde maken aan de strijd tussen Microsoft Cloud in Ierland en de Amerikaanse justitie. Dat is die case waarbij justitie data van een Amerikaanse burger wil hebben, maar die data staat in een cloud in een Iers datacenter. Microsoft heeft altijd volgehouden dat alleen de Ieren een verzoek tot opvragen van die data zouden mogen doen. Dat is een lange strijd geworden, maar uiteindelijk hebben alle Amerikaanse cloud aanbieders ingestemd met de CLOUD wet. Die bepaalt dat ze zullen meewerken data van Amerikaanse burgers te overhandigen aan de Amerikaanse justitie als daar een aanvraag voor wordt gedaan. Dat die clouds in Ierland, Middenmeer, Delfshaven of Frankfurt zijn ondergebracht is dan niet meer van belang. De Europese politiediensten, rechters, privacytoezichthouders worden effectief buitengesloten van de keten Amerikaanse clouds – Amerikaanse burgers – Amerikaanse justitie.

Dat een-tweetje (de wet is mede tot stand gekomen op verzoek van de cloud aanbieders) heeft best wat consequenties voor wie zijn data in een Amerikaanse cloud heeft staan. Stel je bent een internationale organisatie met klanten uit de hele wereld en kantoren in zowel de EU als de VS. Dan moet je voor de klantdata van EU ingezetenen die je hebt op grond van de AVG/GDPR zorgen voor maximale zekerheid. Voor de data die je hebt van Amerikanen geldt sinds de CLOUD wet dat de cloud aanbieder die moet overdragen als de Amerikaanse justitie daarom vraagt. Hoe dat in de praktijk zal uitvallen is op dit moment nog onbekend. Normaal zouden de twee handelsblokken daarover gaan onderhandelen, maar zoals bekend is de sfeer tussen de twee op dit moment niet zo goed.

Maar ook als er wel onderhandelingen zouden komen is er nu al een ding zeker: er is sprake van conflicterende wetgeving voor cloud aanbieders en gebruikers van Amerikaanse cloud diensten. Er is maar een manier waarop de gebruikers aan deze tegengestelde eisen te kunnen voldoen en dat is het strikt segmenteren van de klantdata.

En dat is weer makkelijker gezegd dan gedaan. Wie weet leidt het namelijk tot de conclusie dat delen van de klantbestanden, of gewoon alles, beter niet meer in een Amerikaanse cloud gestopt kunnen worden omdat het managen van die segmentatie te complex en duur is. Daarmee is ook duidelijk waarom er zo weinig door de cloud aanbieders wordt gecommuniceerd over de CLOUD wet, het is namelijk het zoveelste bommetje onder de business.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.