Hoe veilig zijn onze data bij cloudleveranciers als Microsoft, Amazon en Google?
Wij adviseren en begeleiden diverse gemeenten bij hun gang naar de cloud. In een cloudarchitectuur speelt Microsoft met haar diensten Office365 en Azure vaak een grote rol. Maar is het voor lokale overheden veilig om deze clouddiensten af te nemen? Is de privacy van burgers, bedrijven en de overheden zelf voldoende gewaarborgd?
De Patriot Act
Vaak werd de Patriot Act aangehaald om aan te geven dat data bij buitenlandse clouddiensten niet veilig zijn. Het idee is dat de Amerikaanse overheid Amerikaanse providers kan verplichten inzage te geven in de data die bij hun Europese datacenters staan. Dat schrikt af. De vraag is echter of het beveiligingsrisico van diensten als Azure en Office365 daarmee hoger of lager ligt dan wanneer gemeenten bijvoorbeeld data lokaal in haar eigen serverruimte hebben staan. Wij denken lager.
UPDATE: Lees onze blog van 20 juli 2020: Wat betekent het ongeldig verklaren van het ‘privacy shield’ voor gemeenten?
De strijd om juridische zeggenschap
Maar de juridische ontwikkelingen staan niet stil. De VS heeft recentelijk de US CLOUD Act aangenomen, in Europa wordt binnenkort de AVG (GPDR) van kracht. Daarmee liggen de VS en Europa op ramkoers als het gaat om de juridische zeggenschap over data bij Amerikaanse providers in Europese datacenters. Hieronder een kort overzicht van deze strijd.
Microsoft en de Patriot Act
Microsoft heeft herhaaldelijk aangegeven hoe zij omgaat met verzoeken van de Amerikaanse overheid om inzicht in data. In het kort:
- Dit soort verzoeken van de Amerikaanse overheid heeft vooral betrekking op particulieren (hotmail en live.com gebruikers), zelden op zakelijke accounts.
- Microsoft ontving wereldwijd enkele tientallen verzoeken gericht op zakelijke accounts. Daarvan werd tweederde gehonoreerd. Als dit mogelijk was informeerde Microsoft de betreffende klanten vooraf.
- Microsoft heeft – tot op heden met succes – geargumenteerd dat digitale huiszoekingsbevelen volgens de Stored Communications Act uit 1986 niet reiken tot in het buitenland.
- Microsoft voldoet aan de Baseline Informatiebeveiliging Rijksdienst (BIR). De Baseline Informatiebeveiliging Gemeenten (BIG) komt voor een groot deel overeen met de BIR.
- Daarnaast heeft Microsoft verklaard zich te conformeren aan de EU Safe Harbour Framework. Dit framework definieert spelregels over de transfer van data van EU-burgers naar landen buiten de EU (overeenkomst tussen EU en de VS).
Safe Harbour onderuit
De bekende Oostenrijkse privacy-activist Maximillian Schrems spande bij het Europese Hof van Justitie een rechtszaak aan over Safe Harbour. In oktober 2015 verklaarde de rechter Safe Harbour met onmiddellijke ingang ongeldig. Daarmee viel deze wettelijke basis voor data-transfers tussen EU en de VS weg. Wat restte waren wat andere wettelijke regelingen zoals de EU Standard Contractual Clauses en de Binding Corporate Rules.
EU-US Privacy Shield
Als opvolger van het Safe Harbour Framework werd het EU-US Privacy Shield programma opgezet waaraan Amerikaanse bedrijven (waaronder Microsoft) kunnen deelnemen. Door deelname hieraan gaat de EU ervan uit dat het betreffende bedrijf adequate maatregelen heeft genomen om de data van EU-burgers te beschermen. Eigenlijk kunnen we het Privacy Shield zien als tussenoplossing tot aan het moment waarop de GDPR (AVG) in werking moet treden.
Wat zegt de AVG over het gebruik van beeldmateriaal?
Microsoft versus de Amerikaans overheid
Ondertussen wilde Microsoft haar internationale klanten meer zekerheid geven over gegevensbescherming. Het bedrijf spande daarom in 2016 een rechtszaak aan tegen de Amerikaanse overheid. Vraag was of Microsoft verplicht kon worden autoriteiten inzage te geven in e-mails die in Ierland (waar – naast het MS-datacenter in ons land – ook ‘onze’ Office365/Azure-data staan) waren opgeslagen. De Amerikaanse overheid was van mening dat deze data vallen onder de Stored Communications Act van 1986. Microsoft bestreed dat.
Microsoft wint
Microsoft werd door een lokale rechter in het gelijk gesteld. Die uitspraak werd door voorvechters van privacy gezien als een belangrijke overwinning op de autoriteiten. Zeker nadat het Amerikaanse Hof van Beroep in Manhattan in januari 2017 besloot de gerechtelijke uitspraak niet te herroepen (de stemmen van de rechters staakten bij 4 tegen 4). Groen licht dus voor Nederlandse overheden en bedrijven om gebruik te maken van Amerikaanse clouddiensten vanaf datacenters in de EU. Maar het verhaal gaat verder.
US CLOUD Act
Het besluit van het Amerikaanse Hof van Beroep is door de Amerikaanse overheid voorgelegd aan het Supreme Court in de VS. Maar dezelfde overheid heeft de uitspraak van het Supreme Court niet afgewacht. De in maart 2018 aangenomen CLOUD Act (Clarifying Lawful Overseas Use of Data Act) is namelijk specifiek opgesteld om deze heikele juridische kwestie te tackelen. De CLOUD Act bevat de verplichting voor Amerikaanse providers om data van betrokkenen (personen met een Amerikaanse nationaliteit) af te staan, waar ook ter wereld gelokaliseerd. Hiervoor is wel een gerechtelijke beslissing nodig.
Vernietiging of wijziging uitspraak
De CLOUD Act biedt bedrijven als Microsoft overigens nog wel de mogelijkheid om een beroep te doen op vernietiging (‘Quash’) of wijziging (‘Modify’) van de gerechtelijke uitspraak. Maar dat kan alleen als twee omstandigheden van toepassing zijn:
- Het moet gaan om een persoon (dus niet bedrijf) die de Amerikaanse nationaliteit niet heeft en die bovendien niet in Amerika woont.
- Het openbaar maken van de data moet in strijd zijn met de wetgeving van een zogenoemde ‘Qualifying Foreign Government’.
Amerikaans recht
Een ‘Qualifying Foreign Government’ is in dit geval een buitenlandse overheid waarmee Amerika een ‘Executive Agreement’ heeft gesloten. De EU, maar ook haar lidstaten, hebben (nog) geen Executive Agreement met Amerika. Dat betekent dat Amerikaanse providers die geconfronteerd worden met een beslissing dat zij data die zich in de EU bevinden moeten overhandigen aan de VS-overheid, geen mogelijkheid hebben om die beslissing aan te vechten. Zij zullen daaraan, onder Amerikaans recht, dus moeten voldoen.
De AVG
Tegelijkertijd handelt een provider die vanwege zo’n beslissing data overhandigt in strijd met de AVG. Zo’n bedrijf riskeert een zeer hoge boete. Artikel 48 AVG bepaalt namelijk dat afgifte van data die zich binnen de EU bevinden, op last van een (buitenlandse) rechtelijke uitspraak of besluit van een administratieve autoriteit, alleen is toegestaan indien die uitspraak of dat besluit is gebaseerd op een verdrag. En die verdragen zijn er momenteel dus niet tussen de EU en VS.
Hoe nu verder?
Vast staat dat de CLOUD Act op dit moment voor veel verwarring en onzekerheid zorgt. We gaan ervan uit dat er een oplossing komt voor deze netelige kwestie. De wederzijdse economische belangen van de VS en EU zijn namelijk groot. Zeker ook voor bedrijven als Microsoft, Amazon en Google. Een degelijke (voor lokale overheden per definitie hybride) cloudstrategie behoort te voorzien in een exitstrategie per dienst of leverancier. Komt er geen oplossing? Dan zouden dergelijke exitstrategieën zomaar eens uitgevoerd kunnen worden.
UPDATE: Lees onze blog van 20 juli 2020: Wat betekent het ongeldig verklaren van het ‘privacy shield’ voor gemeenten?
Meer weten over data en cloudleveranciers?
Stel je vraag aan Wim. Of laat een bericht achter in de chat.
