Redactie InformatieProfessional

Onderwijsinstellingen moeten zicht krijgen op de voorwaarden waaronder Nederlandse en Amerikaanse justitiemedewerkers en veiligheidsdiensten toegang hebben tot persoonlijke gegevens.

Instellingen en gebruikers gaan massaal over op de cloud, en daardoor vermindert de controle en het overzicht over de toegang tot onze gegevens door overheden. Dit heeft belangrijke consequenties voor de privacy en andere fundamentele belangen bij de vertrouwelijkheid van informatie. Niemand heeft goed zicht op de Amerikaanse wetgeving zoals de Patriot Act die de Verenigde Staten de mogelijkheid van toegang geeft tot gegevens in de cloud. De Amerikaanse Grondwet en de specifieke wetten beschermen buitenlanders in mindere mate dan Amerikanen. Cloudgegevens van niet-Amerikanen in het buitenland kunnen daarom sneller en makkelijker worden opgevraagd dan van Amerikanen, en dat zonder juridische waarborgen als transparantie over het aantal opvragingen en rechtsbescherming van het individu. Daarnaast wordt het maatschappelijke debat gedomineerd door hardnekkige misvattingen en een te grote focus op de Patriot Act. Er is sprake van een veel groter geheel aan wetgeving. Voor opvraging door Amerikaanse autoriteiten maakt het niet uit op welke plek in de wereld cloudgegevens zijn opgeslagen. Het hoeft ook geen Amerikaanse cloudprovider te zijn. Als een Nederlandse cloudaanbieder structureel zaken doet in de VS, dan geeft VS wet- en regelgeving in beginsel al de mogelijkheid voor VS autoriteiten om gegevens op te vragen vanuit Nederland. Voor afnemers van clouddiensten zullen zulke relaties in de praktijk moeilijk te achterhalen zijn en door overnames in de sector kan de situatie opeens veranderen.

Het Instituut voor Informatierecht (IViR) heeft onafhankelijk onderzoek gedaan naar de toegang van overheden tot data die zich in de cloud bevinden. Het onderzoek is uitgevoerd op verzoek van SURF, de ICT samenwerkingsorganisatie voor hoger onderwijs en onderzoek. Belangrijkste aanleiding voor het onderzoek zijn veelgestelde vragen over de Amerikaanse Patriot Act.

De voornaamst conclusie van het onderzoek is dat het voor hogeronderwijsinstellingen in Nederland zaak is zicht te krijgen en te houden op de condities waaronder justitie en veiligheidsdiensten toegang hebben tot data en de daarmee samenhangende risico’s. Er moet daarbij verder worden gekeken dan de Patriot Act, die symbool staat voor meer wet- en regelgeving van de VS over overheidstoegang tot (cloud)data. Het volledige rapport (pdf), inclusief de managementsamenvatting, is hier te downloaden.

De huidige wetgeving in zowel de Verenigde Staten als in Nederland zorgt ervoor dat bevoegde instanties de mogelijkheid hebben om gegevens van kennisinstellingen op te vragen. Het maakt daarbij in principe niet uit of die gegevens in het eigen datacenter of in de cloud staan. Wanneer de gegevens in een cloud staan bij een leverancier die onder Amerikaanse jurisdictie valt, kunnen de gegevens direct vanuit de VS bij de betreffende onderneming/instelling opgevraagd worden. Is dat niet het geval dan kan een verzoek tot inzage worden gedaan via de Nederlandse justitie of veiligheidsdiensten. Het is juridisch gezien niet mogelijk om tegen te houden dat bepaalde data worden opgevraagd door de overheid als deze een relatie legt met staatsveiligheid of strafvordering.

Wilma Mossink, juridisch adviseur van SURF, zegt in een persbericht: “Dat overheden toegang tot gegevens kunnen krijgen is niet nieuw. De overgang naar cloud computing roept wel vragen op over de veranderende context en de consequenties hiervan. Het is volgens het IViR te verwachten dat het opvragen van gegevens uit de cloud door overheden alleen maar zal toenemen gezien de hoeveelheid gegevens die daarin worden ondergebracht. Hoe vaak dat nu gebeurt, is moeilijk na te gaan. Het is daarom niet aan te geven hoe groot het risico daadwerkelijk is. Toch is het belangrijk dat instellingen zich bewust zijn van dit risico bij het onderbrengen van data in de cloud."

Joris van Hoboken, onderzoeker van het IViR, voegt hieraan toe: “De actuele kwestie rond de Patriot Act is nauwelijks grondig onderzocht. Hierdoor zijn in het maatschappelijke debat over cloud computing flink wat onjuistheden geslopen. Het maakt bijvoorbeeld in beginsel niet uit of cloudgegevens in de VS of ergens anders in de wereld zijn opgeslagen. Als een Nederlandse cloudaanbieder structureel zaken doet in de VS, dan geeft VS wet- en regelgeving al de mogelijkheid voor VS autoriteiten om gegevens op te vragen vanuit Nederland. Voor afnemers van clouddiensten zullen zulke relaties in de praktijk moeilijk te achterhalen zijn en door overnames in de sector kan de situatie opeens veranderen.”