Overheid moet duidelijkheid geven aan cloudsector

Buitenlandse overheden blijken vaak onverwacht toegang tot cloud data te hebben. Begin deze maand is een belangwekkende en al veel besproken studie uitgekomen van het Instituut voor Informatierecht (IViR) in opdracht van SURF, de ICT-organisatie voor het hoger onderwijs en onderzoek.

De studie gaat over de impact die de USA Patriot Act en andere gerelateerde Amerikaanse wetgeving heeft op de privacy in de cloud. De belangrijkste conclusie was dat als het bedrijf dat uw gegevens opslaat een aanwezigheid heeft in de Verenigde Staten, er altijd een risico is dat deze door een Amerikaanse overheidsdienst opgevraagd en geanalyseerd worden.

De door het IViR aangedragen oplossing, een Nationale Cloud voor onderwijs- en onderzoeksinstellingen lijkt het doel echter voorbij te schieten. Een cloud platform dat door de (semi-)overheid wordt onderhouden is bijna een garantie voor een enorm dure oplossing die de snelle ontwikkelingen op cloud gebied niet bij gaat kunnen houden. Deze suggestie lijkt voornamelijk interessant voor SURF, die voor het onderzoek hebben betaald.

De goed doordachte juridische analyse  in het onderzoek is het samenvatten echter meer dan waard.

Geen bescherming voor buitenlanders in grondwet
De verschillen tussen Amerika en Europa met betrekking tot privacy blijken al uit de grondwet van de Verenigde Staten. Voor ons is de belangrijkste privacy gerelateerde eigenschap van de Amerikaanse grondwet dat het geen enkele bescherming op levert voor buitenlanders. Dat is in Europa in bijvoorbeeld het Handvest van de grondrechten van de Europese Unie wel opgenomen.

Zeer weinig privacy restricties in specifieke wetten
Nadere regelingen met betrekking tot privacy worden in de Verenigde Staten verder ingevuld in specifieke wetten. Dit zijn met name de Patriot Act van 2001, de Foreign Intelligence Surveillance Act uit 1978 (FISA) en de FISA Amendment Act (FAA) uit 2008. Deze laatste maakt het mogelijk voor Amerikaanse veiligheidsdiensten om zonder tussenkomst van welke functionaris dan ook data van buitenlanders te verzamelen en te analyseren.

Massaal opvragen en analyseren van informatie mogelijk
Verder is de informatie die kan worden opgevraagd heel erg breed. Onder de FISA/FAA kan data bijvoorbeeld massaal worden opgevraagd om vervolgens geanalyseerd te worden en het is de verwachting van vooraanstaande rechtswetenschappers dat dit ook daadwerkelijk gebeurt.

Amerikaanse aanwezigheid van cloud betekent Amerikaanse regels
Een laatste complicerende factor is dat de Amerikaanse overheid heel snel geneigd is aan te nemen dat haar wetten universeel geldig zijn. In de praktijk betekent dit dat als een cloud bedrijf actief is in de VS, het opgevraagde gegevens moet afstaan, waar die zich ook ter wereld bevinden.

Safe harbor agreement tussen VS en EU is wassen neus
Om voor de bovenstaande problemen een oplossing te leveren zijn na overleg tussen de VS en de EU ini 2000 de Safe Harbor Privacy Principles in het leven geroepen. Het idee was dat als Amerikaanse partijen zich aan bepaalde regels zouden houden, het onderbrengen van Europese data bij deze partijen veilig zou kunnen. Slechts een klein percentage van de – zichzelf regulerende – bedrijven lijkt zich volgens verschillende onderzoeken echter enigszins aan de regels te houden. Verder werkt de bescherming niet: De Amerikaanse overheid kan alsnog data vorderen onder de Patriot Act.

Geen Amerikaanse aanwezigheid blijft privacy voordeel
Ook als een cloudbedrijf geen enkele aanwezigheid heeft in de VS dan zullen Amerikaanse overheidsdiensten nog altijd data kunnen opvragen door middel van een verzoek om rechtshulp aan justitie in Nederland. Hier zal dan echter in ieder geval de Nederlandse procedure voor gelden waarbij een Nederlandse officier van justitie toestemming geeft en coördineert. Een voordeel hierbij is dat het verzoek gericht moet zijn en dat het dus zeer moeilijk zou zijn om via deze procedure massaal data te gaan analyseren.

Een Oplossing
De enige veilige methodes lijken het in-house opslaan van belangrijke (semi-)overheidsdata of om deze data op te slaan in een cloud die geen enkele aanwezigheid in de Verenigde Staten heeft.

Het is echter niet nodig hier speciale clouds voor te gaan bouwen. Er zullen genoeg partijen zijn die een (potentiele) aanwezigheid in de Verenigde Staten willen opgeven om gevoelige Europese informatie te mogen opslaan. Het moet in dit geval wel contractueel zo worden afgesproken dat een toekomstige aanwezigheid ook juridisch onmogelijk wordt gemaakt.

Door er op te staan dat haar belangrijke gegevens niet bij partijen met Amerikaanse  activiteiten worden ondergebracht zou de overheid een nijpend privacy probleem oplossen en een duidelijk voorbeeld geven aan andere partijen met gevoelige data. De verschafte duidelijkheid zou ook een significante stimulans zijn voor de opgroeiende Europese cloud-industrie. Dit terwijl een aparte cloud voor de (semi-)overheid cruciale klanten uit de markt zou verwijderen.



Lennard Zwart
is managing director bij CloudVPS.