Graaien Amerikaanse inlichtingendiensten in onze data? Zijn medische gegevens in het Elektronisch Patiëntendossier niet veilig voor de Amerikaanse overheid? Als dat zo is, valt er iets tegen uit te richten en wat dan? De Patriot Act bezorgt Amerikaanse bedrijven in Nederland in ieder geval veel werk, vooral om misverstanden erover uit de wereld te helpen, zo bleek tijdens het iBestuur seminar 'Patriot Act: Much ado about nothing?' Een verslag.
Een middag praten over een dreiging, waarvan je niet weet of die er eigenlijk wel is, het heeft iets onwerkelijks. Toch had zich op 21 maart een zaal in Den Haag gevuld voor het iBestuur seminar ‘Patriot Act: much ado about nothing?’ Graaien Amerikaanse inlichtingendiensten in onze data? Zijn medische gegevens in het Elektronisch Patiëntendossier niet veilig voor de Amerikaanse overheid? Als dat zo is, valt er iets tegen uit te richten en wat dan?
Ruud Leether, legal counsel bij het ministerie van Veiligheid en Justitie, zette uiteen wat de Patriot Act inhoudt. De USA PATRIOT Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism) werd enkele weken na de aanslagen in New York en Washington van 11 september 2001 ingediend. Dat was erg snel, wat niet alleen duidt op een zekere mate van paniek, maar wellicht ook verraadt dat er al iets klaarlag. Vóór de aanslagen waren er al wetten met vergelijkbare strekking, zoals sinds 1978 de Foreign Intelligence Surveillance Act (FISA). Nu werden de regels verder aangescherpt.
De Patriotwet is een kaderwet, gericht op de bescherming van Amerikaanse belangen door het bestrijden van terrorisme en spionage, en heeft exterritoriale werking. Dit laatste betekent dat de wet ook buiten het grondgebied van de VS rechtskracht heeft. De PA verschaft de Amerikaanse overheid de bevoegdheid gegevens op te vragen, die zij nodig acht om zich te kunnen weren tegen terrorisme en spionage.
Je kunt met de wet te maken krijgen als je onder Amerikaanse jurisdictie valt en dat is al gauw. Er moet sprake zijn van ‘continuous and systematic contacts’ met Amerika. Die heb je als je bedrijf gevestigd is in de VS, maar ook als het daar een dochter of slechts een kantoor heeft, en zelfs ‘sufficient minimum contacts’ met Amerika volstaan. Het extraterritorialiteitsbeginsel impliceert dat het niet uitmaakt waar gegevens zijn opgeslagen. En om een bevel tot informatieverstrekking te krijgen is het voldoende dat je bij die gegevens kunt, ook als het andermans gegevens zijn die jij beheert.
Redelijke verdenking
Was vóór nine-eleven onder FISA nog een redelijke verdenking vereist, waarna specifieke gegevens konden worden opgevorderd, met de Patriot Act van 2001 en nog meer met de FISA Amendment Act van 2008 werden de eisen soepeler. Een redelijke verdenking is niet meer nodig, noch enige gerichtheid op specifieke personen of dito gegevensinhoud. De nieuwe wetten zetten de deur open voor ‘datagraaien’, wat de laatste tijd tot steeds meer discussie leidt. Volgens Leether is alles erop gericht zo veel mogelijk data te verzamelen om er door middel van datamining relevante dreigingen uit te distilleren. Het onderwerp wordt dikwijls in verband gebracht met cloudcomputing, maar de effecten beperken zich niet tot dit fenomeen. Het heeft de aandacht ervoor wel geïntensiveerd.
Maakt de Amerikaanse overheid veel gebruik van de zelfverschafte bevoegdheden met potentieel een mondiale impact? In 2010 werd 20.000 maal een gegevensverstrekkingsbevel afgegeven door middel van een National Security Letter (NSL), waarbij het niet om inhoudelijke, maar om ‘envelopgegevens’ gaat (naam, adres, woonplaats). In de periode 2005 tot en met 2010 zouden dat er volgens de American Civil Liberties Union zelfs meer dan 200.000 zijn geweest. Door een speciaal hof gesanctioneerde onderzoeken op basis van FISA gebeuren door middel van een ‘FISA Court’s Order’, waarvan er in 2010 97 zijn verstrekt.
Zaten er Nederlandse organisaties onder Amerikaanse jurisdictie bij de ontvangers? Dat weten we niet. De vorderingen gaan doorgaans vergezeld van een ‘gag order’ (absoluut spreekverbod). Een omstreden maatregel, want een gegevensbeheerder gaat al in de fout als hij zich tegen de vordering wil verweren en daartoe een advocaat inschakelt, om van het inlichten van de opdrachtgever maar niet te spreken.
Europese wetgeving
Organisaties waaraan de verwerking van (bedrijfs-, persoons-) gegevens is uitbesteed, komen vanwege deze belasting van de relatie met hun opdrachtgever in een lastig parket, maar ook in aanvaring met de Europese wetgeving rond privacy. Vijf wetten en regelingen, zowel nationaal als Europees, leggen daarvoor uitgebreide voorschriften vast, waarbij een onderscheid wordt gemaakt tussen ‘verantwoordelijke’ voor de gegevensverwerking en ‘bewerker’. Dit conflict tussen twee rechtssystemen brengt de gegevensbeheerder in een spagaat, waarbij hij altijd in overtreding is, van de Amerikaanse wet dan wel van de Nederlands/Europese.
Voor wie meent dat Amerika met haar aanpak wel erg bizar opereert, kon Leether wel een verzachtende, althans verklarende omstandigheid aanvoeren. Amerika kijkt heel anders tegen privacy aan dan Europa. Anders dan hier is het niet in de (grond)wet geregeld, maar geeft het vierde amendement in de Bill of Rights er richting aan. Amerikanen zien leven zonder angst als hoogste grondrecht en iedereen die geen Amerikaans staatsburger is, als vreemdeling. In de VS bestaat wel respect voor privacy, maar als andere belangen meespelen krijgen die makkelijk een groter gewicht. Ondanks de onduidelijkheid over de impact van de Patriot Act in Nederland, vindt Leether dat we te maken hebben met ‘een serieus probleem’.
Hoe daarmee om te gaan als je ermee te maken krijgt? Eva Visser, partner bij Project Moore, een advocatenkantoor gespecialiseerd in IT-recht en privacy, krijgt die vraag van steeds meer cliënten. Waar conflicterende rechtsstelsels organisaties in de tang nemen, moet de politiek voor een oplossing zorgen, is haar standpunt. Alleen heeft ze in de in de maak zijnde nieuwe Europese privacyverordening, waarnaar in antwoord op bezorgde Kamervragen veelvuldig wordt verwezen, geen oplossing kunnen vinden. En ofschoon ook de mogelijkheden beperkt zijn om in contracten een barrière tegen datagraaien op te werpen, kun je weinig anders dan het daarin zoeken.
Risicoanalyse
Het begint met een risicoanalyse. Dat is wel lastig, want risico is kans maal gevolg. Het gevolg kun je inschatten door je af te vragen wat er gebeurt als je gegevens in de computers van de FBI terechtkomen. Maar de kans dat er Amerikaanse belangstelling voor is, weet je vanwege de ‘gag order’ niet. Toch adviseert Visser: bedenk of je überhaupt moet uitbesteden en zo ja, alle gegevens of een extra gevoelig deel daarvan niet. Als dan data de deur uit worden gedaan, kan ARBIT gelden als contractuele basis, al is de clausule dat de wederpartij opereert ‘in overeenstemming met de toepasselijke wet- en regelgeving’ dus een spagaatopgave gezien de twee botsende regimes. Daarom kan aanvullend een ‘procedure gegevensvordering in verband met de Patriot Act’ worden overeengekomen, waarin wordt vastgelegd hoe opdrachtnemer dient om te gaan met een verzoek of bevel uit Amerika.
Elementen van zo’n procedure: de leverancier toetst of een vraag om gegevens aan de wettelijke eisen voldoet en gaat altijd in bezwaar tegen het verzoek en het spreekverbod. Verder kan worden bepaald dat de leverancier nooit meer dan het hoogst noodzakelijke verstrekt en de opdrachtgever erover informeert zodra dit is toegestaan. Ook kan worden afgestemd hoe en door wie betrokkenen, van wie dus gegevens zijn verstrekt, dan worden geïnformeerd.
Het antwoord op de vraag ‘much ado about nothing?’ is voor Marcel Lasonder niet zozeer dat het niets om het lijf heeft, maar wel dat er veel gedoe over is. Hij is manager legal bij het Amerikaanse bedrijf Hewlett-Packard en constateerde dat wat hij in de onderhavige kwestie ook doet, hij in het uiterste geval in een Amerikaanse of in een Nederlandse cel belandt. Lasonder wilde de Privacy Act en de mogelijke effecten daarvan niet bagatelliseren, maar wat er werkelijk aan effect van uitgaat wel relativeren. 97 FISA Court’s Orders: wel ernstig, maar is het veel? 200.000 NSL’s in 5 jaar wereldwijd, de een vindt het veel, voor de ander valt het mee. Het hangt kortom van de perceptie af, die met betrekking tot het onderwerp privacy heel uiteenlopend kan zijn. Zelf had HP nog nooit een dataverzoek gehad, kon Lasonder verzekeren. Hij vindt dat ook niet zo gek, want er staan de Amerikanen eenvoudiger middelen ter beschikking, zoals internationale rechtshulpverdragen. Daarbij komt dat het afbreukrisico voor Amerikaanse bedrijven ‘extreem groot’ is als de wet misbruikt zou worden.
Rechtmatigheid
Mocht uit Amerika niettemin toch een opvraging komen, dan reageert HP daar hetzelfde op als tegenover de Nederlandse officier van justitie, die op hoge toon gegevens kwam opeisen en ze in een half uur geleverd wilde zien, anders werd op de hele boel beslag gelegd. Die reactie houdt in dat allereerst wordt duidelijk gemaakt dat het bij HP zo niet werkt. Het bedrijf gaat in gesprek, toetst het verzoek dan wel bevel uitgebreid op zijn rechtmatigheid en bepaalt met de autoriteiten welke informatie voor het onderzoek in kwestie relevant is. Het strikt noodzakelijke is het maximum. HP zou het ook wel kunnen schudden als het data weggeeft in strijd met de Nederlandse wet. Wat het zo maar weggeven van data ook bemoeilijkt, is dat Lasonder bij zijn security department echt niet met zo’n opdracht hoeft aan te komen, want dan stuit hij op een interne firewall.
En dat het soms domweg onmogelijk is omdat data zijn versleuteld en HP de ontsluitingscode niet heeft. Contractueel minimaliseert HP risico’s onder meer door gegevensopslag buiten de Verenigde Staten, betrokkenheid van uitsluitend niet-Amerikanen in de staf en geen Amerikaans bedrijfsonderdeel als contractpartij.
Lasonder presenteerde zijn verhaal met een quasi nonchalante nuchterheid. De Patriot Act bezorgde hem best veel werk, maar dan vooral om misverstanden erover uit de wereld te helpen. En voor het overige: “Maak je afweging op redelijke gronden, de overtreding volgt toch.”
En hoe zit het nu met het patiëntendossier? Het Amerikaanse bedrijf CSC heeft het ‘Landelijk Schakelpunt’, de kern van de ‘infrastructuur voor zorgcommunicatie’, gebouwd en is er de beheerder van als opdrachtnemer van de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ). Minister Edith Schippers reageerde begin februari op zorgen van de Tweede Kamer: “VZVZ en CSC hebben vastgesteld dat in het lopende contract de naleving van de Nederlandse (privacy) wet- en regelgeving voldoende is geborgd, doordat dit als voorwaarde is gesteld. CSC heeft zich hiermee verplicht te voldoen aan onder andere de WBP bij het beheer van het landelijk Schakelpunt (LSP). Overtreding van de WBP wordt in het contract aangemerkt als wanprestatie en is reden voor ontbinding van het contract en schadeloosstelling.” Er moet worden voldaan aan ‘onder andere de WBP’, misschien biedt dat ruimte voor de spagaat, die het seminar indringend blootlegde, en contractontbinding kan pas na schending van de ‘gag order’. De communis opinio tijdens het seminar was dan ook dat de geruststelling van de minister op zijn minst aan gerede twijfel onderhevig is.
Iets wat dus allang door het IVIR is gerapporteerd: data is niet veilig bij een partij onder jurisdictie van de VS.
In maart en oktober 2012 heb ik daar al blogs aan gewijd:
Maart: http://www.centric.eu/NL/De…
en oktober: http://www.centric.eu/NL/De…
Ik ben erg benieuwd wat (lagere) overheden nu concreet doen met deze kennis. Leidt dat tot keuzes voor b.v. private cloud (in het verlengde van wat Donner in 2011 voorstelde)?
Of kijken we hoe ver we kunnen gaan en laten we het Europa oplossen?
Het is m.i. een illusie om van de politiek en/of juristen een oplossing te verwachten in deze kwestie. En dat is ook niet nodig, want er is een eenvoudige technische oplossing…
Versleutel (encrypt) alle data die je in de cloud plaatst; zorg daarbij dat je het sleutelbeheer niet in handen geeft van een Amerikaans bedrijf en maak gebruik van encryptiesoftware van een niet-Amerikaans bedrijf.
Een eenvoudige en structurele oplossing…
En vervolgens wensen wij onze Amerikaanse vrienden veel succes met het ontcijferen van vele terabytes aan versleutelde data…
De verwijzing van Leen Blom naar het IVIR rapport is te kort door de bocht. Zeker lopen opdrachtgevers risico’s bij opdrachtverstrekkingen aan opdrachtnemers die vallen binnen VS juridisdictie maar vergelijkbare risico’s kunnen er ook zijn bij opdrachtverstrekkingen aan andere dan leveranciers met Amerikaanse roots. Bovendien weet ook de Nederlandse overheid van wanten als het gaat om graaien in persoonlijke informatie achter de rug van betrokkenen om. Tenslotte weten we nauwelijks op welke schaal de Amerikaanse overheid gebruik maakt van bevoegdheden als opgenomen in de Patriot Act. Mogen we de legal van HP Nederland tijdens het seminar geloven dan zijn zij in dat kader nog nooit vanuit Amerika benaderd. Enige relativering is derhalve gepast en dat was dan ook de boodschap die aan de aanwezigen op het seminar is meegegeven. Wat niet weg neemt dat schadebeperkende maatregelen die relatief eenvoudig kunnen worden getroffen, serieus overwogen dienen te worden. Versleutelen van informatie waarbij het sleutelbeheer niet in Amerikaanse handen wordt gegeven, behoort daar zeker toe.