Hoe soeverein kun je zijn?
De discussie over digitale soevereiniteit woedt al jaren, maar zelden werd de fragiliteit ervan zo duidelijk blootgelegd als in de recente zaak tegen OVHcloud. Een Canadese rechtbank dwong de Franse cloudprovider om klantgegevens te overhandigen die fysiek in Frankrijk zijn opgeslagen. De kwestie, beschreven door The Register, legt een fundamentele spanning bloot: hoe soeverein kun je werkelijk zijn wanneer een cloudleverancier wereldwijd opereert?
In april 2024 vaardigde de Royal Canadian Mounted Police (RCMP) een bevel uit om abonnee- en accountgegevens te verkrijgen die gelinkt zijn aan vier IP-adressen. De gegevens stonden op OVH-servers in Frankrijk, het Verenigd Koninkrijk en Australië. Normaal gesproken zouden Canada en Frankrijk hiervoor gebruik moeten maken van bestaande internationale rechtshulpverdragen (MLAT-procedures), maar in dit geval koos de RCMP voor een andere route. Via de Canadese dochteronderneming van OVH eiste de politie directe openbaarmaking, buiten de gebruikelijke diplomatieke kanalen om.
Onmogelijke positie
Daarmee werd OVH in een vrijwel onmogelijke positie gebracht. De Franse wet verbiedt het zomaar verstrekken van gegevens aan buitenlandse autoriteiten zonder MLAT-procedure. De mogelijke sancties zijn pittig: boetes tot 90.000 euro en zelfs gevangenisstraffen. Aan de andere kant dreigde de Canadese rechtbank met vervolging wegens minachting als OVH niet zou voldoen.
In september oordeelde de rechter dat het bevel niet werd ingetrokken. De nationale veiligheidsbelangen van Canada wogen volgens haar zwaarder dan de juridische positie van OVH in Frankrijk. Dat leidde tot een escalatie: OVH vroeg rechterlijke toetsing aan, waarbij het bedrijf stelt dat het “gedwongen wordt te kiezen tussen strafrechtelijke risico’s in Canada en Frankrijk”.
De OVH-zaak maakt duidelijk dat ook Europese aanbieders kwetsbaar zijn wanneer zij internationale dochterondernemingen hebben.
Amerikaanse CloudAct
Niet voor niets nemen in Nederland, dat digitaal sterk afhankelijk is Amerikaanse techbedrijven, de zorgen over de Amerikaanse Cloud Act toe. Via deze wetgeving kunnen Amerikaanse autoriteiten toegang vragen tot data die wordt gehost door Amerikaanse bedrijven, ongeacht waar ter wereld die data is opgeslagen. Ondertussen stijgt de populariteit van Europese cloudproviders die stellen dat de digitale informatie die zij bewaren beschermd is.
Kwetsbaarheid
De OVH-zaak maakt echter duidelijk dat ook Europese aanbieders kwetsbaar zijn wanneer zij internationale dochterondernemingen hebben. Als buitenlandse rechtbanken data kunnen opeisen enkel omdat een bedrijf elders een commerciële aanwezigheid heeft, dan wordt de locatie van data vrijwel irrelevant. Het ondergraaft het belangrijkste verkoopargument van Europese aanbieders: dat gegevens veilig zijn binnen de EU-jurisdictie.
Mark Boost, CEO van cloudprovider Civo, verwoordde het tegenover The Register scherp: 'Als deze Canadese benadering standhoudt, staat het hele concept van datasoevereiniteit op losse schroeven.' Volgens hem moeten klanten zich dan niet alleen afvragen waar hun data staan, maar vooral wie uiteindelijk de juridische zeggenschap heeft over de infrastructuur.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.