Het dreigement van de Amerikaanse chatapp Signal om Europa te verlaten voert Proton al uit in Zwitserland. Strengere surveillancewetgeving zet privacy-bedrijven onder druk en mogelijk ook hun gebruikers.

Het dreigement van Signal om de EU te verlaten als die de wet aanneemt om verplicht backdoors voor overheden te plaatsen, moet serieus genomen worden. Dat laat Proton zien, de Zwitserse aanbieder van privacygerichte online-diensten. Het bedrijf is nog wel in Zwitserland gevestigd, maar wil vanwege vergelijkbare ontwikkelingen zijn activiteiten in andere landen onderbrengen. De Zwitserse regels worden strenger dan in de EU of de VS, door het verplicht registreren en met de overheid delen van metadata, zoals ip-adressen en mailontvangers, in realtime en zónder gerechtelijk bevel.

Strengere wet kost veel geld

‘Proton zal zich nooit onderwerpen aan een verordening die de Zwitserse wetgeving strenger maakt dan die van de Europese Unie,’ zei ceo Andy Yen eerder tegen de Tribune de Genève. ‘Hoe kunnen we geloofwaardig blijven als we moeten meewerken aan overheidsspionage die zelfs verder gaat dan wat Amerikaanse wetten vereisen?’

Proton heeft nog iets meer dan tweehonderd mensen in dienst in Zwitserland. De kwestie speelt al een tijdje. In 2021 wist het bedrijf er nog een rechtszaak over te winnen, maar verplaatste het, vanwege het risico onder de nieuwe wetgeving te vallen, toen al de meeste computerservers van Zwitserse naar Duitse en Noorse datacenters. Nu de Zwitserse overheid alsnog verder lijkt te willen met een nieuwe wet heeft Yen al aangekondigd investeringen in Zwitserland te bevriezen en in plaats daarvan honderd miljoen Zwitserse frank te pompen in datacenters in Duitsland en Noorwegen.

Wordt de EU ook te streng?

Nu dreigt strengere wetgeving in de EU ook voor problemen te zorgen, bijvoorbeeld voor bedrijven uit landen buiten de Europese Economische Ruimte (EER). ‘Datasoevereiniteit is al jarenlang een belangrijk onderwerp,’ legt Stephan Mulders uit. Hij is advocaat bij Blenheim en gespecialiseerd in het privacyrecht. ‘De AVG stelt in principe twee eisen qua data-overdracht. De eerste is dat je een transfer-mechanisme moet hebben, dat wil zeggen dat er sprake moet zijn van een zogeheten adequaatheidsbesluit, of een SCC (een Standard Contractual Clauses, een modelcontract, n.v.d.r.), en als je dat laatste hebt moet je ook aanvullende maatregelen nemen om eenzelfde beveiligingsniveau te bereiken als in de EU. Verder moet je passende maatregelen nemen om de persoonsgegevens te beveiligen.’

‘Momenteel is er een adequaatheidsbesluit voor de VS, dat is recent nog bevestigd door het Hof van Justitie. Echter, als de VS aanvullende surveillance- en inzageverplichtingen opleggen, dan kan dat adequaatheidsbesluit onder druk komen te staan’, vervolgt Mulders. ‘Los daarvan moet je als verwerkingsverantwoordelijke een inschatting maken van de beveiligingsrisico’s voor jouw data. Als je op basis daarvan tot de conclusie komt dat bijvoorbeeld de Amerikaanse overheid de gegevens op de Amazon-cloud kan inzien, dan moet je maatregelen nemen om die risico’s te verminderen. Een van die maatregelen is dat je de data volledig versleuteld, en zo op de cloud opslaat. Dan kán Amazon er niet meer bij en de Amerikaanse overheid dus ook niet meer. Datzelfde geldt voor de E2E encryptie van Proton. Dan kan Proton er zelf ook niet meer bij.’

‘Voor zover bekend is er in de VS en de EU tot op nu toe geen verplichting om een backdoor in te bouwen in encryptie, al is de EU nu wel bezig met een zeer controversiële wet om zo’n backdoor te verplichten om kinderporno te bestrijden,’ waarover Signal zich momenteel dus zo druk maakt.

Kanarie in de privacy-kolenmijn

‘Ik denk dat het vertrek van Proton de kanarie in de kolenmijn is. Het laat zien dat je bij een keuze voor buitenlandse cloud- of saasdiensten constant op je hoede moet zijn voor veranderingen in buitenlandse wetgeving.

Deze versturen we 3-4x per jaar.