Weblog

door Lennard onder GeneralBusiness / Legal | 0 comments

Nationale clouds geen antwoord op datagraaien US

Buitenlandse overheden blijken vaak onverwacht toegang tot cloud data te hebben. Er is vorige week vrijdag een belangwekkende studie uitgekomen van het Instituut voor Informatierecht (IViR) in opdracht van SURF, de ICT-organisatie voor het hoger onderwijs en onderzoek.

De studie gaat over de impact die de USA Patriot Act en andere gerelateerde Amerikaanse wetgeving hebben op privacy in de cloud. Het was kennelijk vrij taai om helemaal goed te lezen want in zowel de kamervragen van de SP als in sommige berichten in de pers leek het alsof alle cloud-oplossingen gegevens zouden moeten afstaan aan de Amerikaanse overheid. Dit is zeker niet het geval.

De verwarring kan echter gemakkelijk zijn veroorzaakt door enkele onverwachte sprongen in de management summary en in de conclusie van het onderzoek. Deze secties suggereerden het vormen van een nationale cloud voor onderwijs- en onderzoeksinstellingen. Wij nemen nu zelf even een sprong door aan te nemen dat SURF, de sponsor van het onderzoek, zichzelf een erg geschikte partij zou vinden om een dergelijk project op te zetten. CloudVPS is van mening dat elke vorm van (semi-)overheids cloud een enorm slecht idee zou zijn voor de toekomst van een Europese cloud industrie.

Wij zullen in dit artikel eerst het probleem uitleggen en vervolgens de gedetailleerde juridische analyse van de IViR samenvatten. Wij vullen dit aan met onze eigen analyse en conclusie.

The US versus the rest

Er bestaan grote verschillen tussen de VS en Europa voor wat betreft de benadering tot privacy. Europa lijkt privacy als een universeel recht te zien terwijl daar in de Verenigde Staten veel minder sprake van is. Dit is zeker het geval als het daarmee lastiger wordt interessante buitenlandse partijen in de gaten te houden.

Sinds het begin van de War on Terror is dit verschil nog duidelijker geworden. In noodtempo is hierna de Patriot Act gepasseerd, een serie wetsveranderingen die de Amerikaanse overheid brede rechten geeft data over voornamelijk buitenlandse personen en entiteiten op te vragen. De US is nu bezig enorme informatieverwerkingsfaciliteiten op te zetten om de enorme hoeveelheden data in de cloud te gaan analyseren. Het gaat hierbij niet om gericht onderzoek maar het zoeken naar patronen in data waar de Amerikaanse regering bij kan komen.

Juridische analyse: Privacy geen recht voor niet-Amerikanen

De verschillen tussen Amerika en Europa met betrekking tot privacy blijken al uit de grondwet. Het 4th Amendment van de Amerikaanse grondwet is niet erg breed aangezien het niet expliciet betrekking heeft op derde partijen die data voor iemand bewaren. Het levert verder ook geen enkele bescherming op voor buitenlanders, iets dat in Europa wel in bijvoorbeeld het Handvest van de grondrechten van de Europese Unie is opgenomen.

Nadere regelingen met betrekking tot privacy worden verder ingevuld in specifieke wetten. De Patriot Act van 2001 is de meest bekende wet als het gaat om het opvragen van informatie door de Amerikaanse overheid. De belangrijkste wetten wat dit betreft zijn echter de Foreign Intelligence Surveillance Act uit 1978 (FISA) en de FISA Amendment Act uit 2008. Deze laatste maakt het mogelijk voor de Amerikaanse veiligheidsdiensten om zonder tussenkomst van welke functionaris dan ook data van buitenlanders te verzamelen en te analyseren.

Verder is de informatie die kan worden opgevraagd heel erg breed. Onder de FISA kan data bijvoorbeeld massaal worden opgevraagd om vervolgens geanalyseerd te worden en het is de verwachting van vooraanstaande rechtswetenschappers dat dit ook daadwerkelijk gebeurt. De recente ontwikkelingen op dit vlak zijn ook nadelig voor privacy: De recentelijk voorgestelde Cyber Intelligence Sharing en Protection Act (CISPA) zou nog meer informatie-overdracht tussen de Amerikaanse overheid en het bedrijfsleven over het internetverkeer van privépersonen mogelijk maken.

Een laatste complicerende factor is dat de Amerikaanse overheid heel snel geneigd is aan te nemen dat haar wetten universeel geldig zijn. Dit probleem wordt verergerd doordat de privacybeschermingen die ze hebben alleen beschikbaar zijn voor staatsburgers. In de Amerikaanse rechtspraak heeft zich het principe ontwikkeld dat als een bedrijf eenmaal activiteiten heeft in de Verenigde Staten het wordt geacht zich, over de hele wereld, aan de Amerikaanse regels te houden. Dit betekent dat als een bedrijf actief is in de VS, het opgevraagde gegevens moet afstaan, waar die zich ook ter wereld bevinden.

Safe harbor?

Om voor de bovenstaande problemen een oplossing te leveren zijn na overleg tussen de VS en de EU de Safe Harbor Privacy Principles in het leven geroepen. Het idee was dat als Amerikaanse partijen zich aan bepaalde regels zouden houden, het onderbrengen van Europese data bij deze partijen veilig zou kunnen.

Zoals een interessant artikel in Webwereld in 2010 al uitlegde houdt slechts een klein percentage van de – zichzelf regulerende – bedrijven zich enigszins aan de regels. Verder werkt de bedoelde bescherming niet eens: De Amerikaanse overheid kan alsnog data vorderen onder de Patriot Act.

Samenwerking tussen de VS en Nederland

Als uw data is ondergebracht bij een partij zonder vestiging in de Verenigde Staten, is er ook nog een andere weg waardoor de Amerikaanse overheid  bij uw data kan. Dit kan zij dan namelijk door een verzoek om rechtshulp bij de Nederlandse overheid in te dienen. Hier geldt dan wel de Nederlandse procedure voor waarbij een Nederlandse officier van justitie toestemming geeft en bij coördineert. Een voordeel hierbij is dat het verzoek gericht moet zijn en dat het dus zeer moeilijk zou zijn om via deze procedure massaal data te gaan analyseren. Het zou echter wel nuttig zijn om wat meer inzicht te krijgen in het aantal (gehonoreerde) verzoeken dat de verschillende landen via deze procedure indienen.

Een groeiend probleem

Het aantal cloud-diensten blijft toenemen en deze zijn vaak Amerikaans, of hebben in ieder geval Amerikaanse activiteiten. Intussen wordt steeds meer data naar de cloud verplaatst en worden de analysemogelijkheden die toegepast kunnen worden steeds sterker. Het is dan ook wachten op het eerste schandaal waarbij overduidelijk blijkt dat Amerkaanse overheid onverwacht toegang bleek te hebben tot gevoelige data.

Wat te doen volgens IViR...weer een Nationale Cloud

In de sectie over risico's neemt het Instituut voor Informatierecht opeens enkele verbazingwekkende stellingen in. Zo zegt de IViR dat cloud-providers niet vertrouwd kunnen worden als ze gevraagd wordt of ze activiteiten in de Verenigde Staten hebben of samenwerken met een Amerikaanse inlichtingendienst. Vervolgens vermeldt zij dat de klant ook niet zeker kan zijn wat er gebeurt in het geval van bijvoorbeeld een overname.

Dit is een verbazingwekkende wending in een verder goed doordacht document omdat de IViR het begrip 'overeenkomst onder de Nederlandse wet' lijkt te vergeten. CloudVPS heeft bijvoorbeeld de volgende tekst in haar algemene voorwaarden:

"9.5 De enige overheid die gegevens kan vorderen die op de CloudVPS infrastructuur zijn opgeslagen is de Nederlandse overheid. CloudVPS stelt nadrukkelijk in dit opzicht geen enkele verplichting te hebben ten opzichte van enige andere overheid."

CloudVPS zou dus de Algemene Voorwaarden moet veranderen om onder de huidige wetgeving een vestiging in de Verenigde Staten (of wat voor buitenland dan ook) te kunnen beginnen. Alle klanten die het hiermee niet mee eens zijn zouden compensatie geboden moeten worden zodat ze weg zouden kunnen migreren.

Het bovenstaande betekent overigens niet dat een buitenlandse overheid niet, via een verzoek om rechtshulp, data van één van onze klanten zou kunnen verkrijgen. Volgens de Nederlandse wet moet ook dit verzoek echter altijd via de Nederlandse overheid en via Nederlandse procedures verlopen.

Later in de aanbevelingen stelt de IVIR dat een 'nationale cloud voor onderwijs- en onderzoekssector' een antwoord op het probleem zou zijn. Voorstellen voor door (semi-)overheid opgezette Nationale- of Rijksclouds komen regelmatig terug in dit soort onderzoeken. Wij vermoeden dat deze grote vereiste investeringen in een snel veranderende technische omgeving logischerwijs in enorm inefficiente projecten zullen resulteren. Dit terwijl de jurisiche situatie van een dergelijke cloud in het geval van data opvraging door een Amerikaanse overheidsdienst gelijk is aan die van een cloud provider zonder aanwezigheid in de Verenigde Staten.

Een ander groot bezwaar tegen 'overheids- en semi-overheidsclouds is dat Europese cloud providers op achterstand worden gezet omdat ze aan de (semi-) overheidsmarkt belangrijke diensten niet meer kunnen leveren. Dit zou een enorm nadeel ten opzichte van de internationale concurrentie betekenen, net op het moment dat een Europese cloud sector zich zou moeten vormen.

Echte bescherming

Een echte oplossing zou zijn te erkennen dat Europese bedrijven die gevoelige informatie voor Europeanen willen bewaren de keuze moeten maken niet in de Verenigde Staten actief te zijn. De overheid zou hier een leidende rol in kunnen spelen door overheid en semi-overheid niet meer toe te staan gevoelige data bij bedrijven op te slaan die niet kunnen garanderen niet onder Amerikaanse wetgeving te vallen. Deze discussie zou zo snel en zo open mogelijk gevoerd moeten worden zodat aanbieders en klanten duidelijkheid hebben over de mening van de overheid bij deze belangrijke vraag.

Update: deze post / dit onderwerp is ondertussen op verschillende andere tech blogs opgenomen.

ICT Blog
IT-executive
TechNieuws
ISPAM
ISP Today

Comments (0)

Laat een reactie achter

Commenting is not available in this channel entry.
VPS Bestellen
VPS Bestellen