Overheidsinstanties mogen onder strikte voorwaarden gebruik gaan maken van commerciële clouddiensten, schreef staatssecretaris van Huffelen onlangs aan de Tweede Kamer. Maar mag dat ook van de Europese privacytoezichthouder European Data Protection Board (EDPB)? Experts waarschuwen voor rechtszaken en het in gevaar brengen van de digitale soevereiniteit.
Er is een risico dat autoriteiten van non-EU landen cloudleveranciers dwingen om gegevens te ontsleutelen. | Beeld: Shutterstock
Grondlegger van diverse internetprotocollen Dirk-Willem van Gulik en hoogleraar ICT & Recht Frederik Zuiderveen Borgesius van de Radboud Universiteit waarschuwen tegenover AG Connect voor juridische risico’s.
Privacy issues
Sinds de nietig verklaring van het Privacy Shield tussen Europa en de Verenigde Staten (de zgn. Schrems II-uitspraak van het Europese Hof) mogen bedrijven niet langer gegevens van Europese burgers uitwisselen met de VS. De bescherming van gegevens is daar volgens het Hof van een lager niveau is. Een vervanger voor dit ‘privacyshield’ ligt nog op de tekentafel.
De EDPB onderzoekt momenteel het cloudgebruik door de publieke sector.
“Ook de ‘standard contractual clausules’ waarmee bedrijven gegevensoverdracht alsnog mogelijk maakten, zijn door het Europees Hof van tafel geveegd”, zegt Van Gulik. Hij verwijst naar de Amerikaanse wetgeving die het de overheid toestaat om gegevens van Europeanen op te vragen bij commerciële cloudaanbieders. “Het gaat daarom juridisch vastlopen, want het gebruik van Amerikaanse cloudaanbieders is in conflict met de Schrems II-uitspraak.”
Er is volgens de experts een kans dat de Europese privacytoezichthouder European Data Protection Board (EDPB) besluit dat de publieke sector persoonsgegevens niet in de cloud van non-EU cloudleveranciers mag verwerken. Dit vanwege het risico op toegang door buitenlandse opsporings- en inlichtingendiensten. De EDPB onderzoekt momenteel het cloudgebruik door de publieke sector. Naar verwachting worden eind dit jaar de resultaten hiervan gepubliceerd.
Toegang tot data
Data bij cloudaanbieders buiten Europa kan goed genoeg beschermd kan zijn, bijvoorbeeld met versleuteling waarbij gebruikers dan de encryptiesleutels onder eigen beheer hebben, zo stelt Zuiderveen Borgesius. “Vrijwel alle cloudleveranciers bieden verder de mogelijkheid om alle inhoudelijke gegevens exclusief op het grondgebied van de EU te verwerken, maar dat helpt niet tegen de lange arm van de Amerikaanse opsporingsdiensten. Die kunnen met de Cloud Act alsnog toegang eisen tot gegevens in de EU.”
“Zolang de gegevens niet ‘onkraakbaar’ versleuteld zijn met een eigen sleutel of onherleidbaar anoniem zijn, blijft er een risico bestaan dat inlichtingendiensten van non-EU landen toegang krijgen tot leesbare data van de Nederlandse overheid,” aldus de hoogleraar ICT & Recht. Hij vindt de brief van Van Huffelen hierover te weinig duidelijkheid geven. “Als overheden gegevens versleutelen met sleutels van de cloudleverancier is er een risico dat autoriteiten van non-EU landen die cloudleveranciers dwingen om de gegevens te ontsleutelen.”
Digitale soevereiniteit
Met het toestaan van commerciële cloudaanbieders bij de overheid gaat Nederland aan digitale soevereiniteit inleveren, vreest Van Gulik. “Als je als land zijnde geen controle hebt over dit soort fundamentele zaken, dan valt je basis weg en dat kan verdomd vervelend worden in bepaalde situaties. We zien dit nu bij de gasvoorraad die niet in beheer is van ons eigen land, maar bij een zekere Russische meneer. Het is zaak dat we onze soevereiniteit op digitaal gebied dus behouden.”
Dirk-Willem van Gulik is Founder van van de Apache Software Foundation, een non-profit organisatie die ondersteuning biedt bij open source softwareprojecten, hij was o.a. betrokken bij de ontwikkeling van de corona app.
Frederik Zuiderveen Borgesius is Hoogleraar Digital Security aan de Radboud Universiteit Nijmegen, zijn onderzoek richt zich op privacy, databescherming en (online) discriminatie.