Advocatenkantoor GreenbergTraurig stelde op verzoek van het Strategisch leveranciersmanagement (SLM) van het Ministerie van Justitie en Veiligheid een juridisch memorandum op over de in oktober 2023 aangekondigde EU AWS Solution van Amazon Web Services: een cloudomgeving die volgens AWS volledig in Europa ontwikkeld, beheerd, gecontroleerd en beveiligd zou worden en onafhankelijk zou zijn van de wereldwijde AWS-cloud.
Soevereine cloudtechnologie helpt, maar juridisch gezien kan de VS nog steeds bij onze data
Kan het Witte Huis bij de gegevens van Nederlandse overheidsorganisaties als deze zijn opgeslagen in de soevereine cloud van van Amazon Web Services? De technologie verhindert dit niet, maar de kans is klein meent advocatenkantoor GreenbergTraurig. Stelt ons dit gerust?
Heeft het Witte huis daarmee nog toegang tot de data van Nederlandse overheden. Ja, is het antwoord van het advocatenkantoor, de juridische mogelijkheden voor de VS bestaan wel, maar de kans dat deze in de praktijk leiden tot toegang tot Nederlandse overheidsgegevens of het opschorten van de AWS-diensten wordt door GreenbergTraurig als klein beoordeeld; niet onmogelijk, maar onwaarschijnlijk.
Het ministerie legde het Amerikaanse advocatenkantoor, met onder andere een vestiging in Amsterdam, drie vragen voor. Onderstaan een samenvatting van de vragen en antwoorden:
1. Kan de VS op basis van Amerikaanse wetgeving toegang krijgen tot gegevens van Nederlandse overheidsorganisaties in de EU AWS-oplossing?
Antwoord: Ja, in theorie is dat mogelijk. Zelfs als gegevens in de EU worden opgeslagen en verwerkt door een in de EU gevestigde entiteit, kunnen ze nog steeds onderworpen zijn aan verzoeken om toegang tot gegevens door de VS vanwege de Amerikaanse jurisdictie. De contracterende EU-entiteiten (AWS EMEA SARL en AWS EU) hebben een Amerikaanse moedermaatschappij, waardoor Amerikaanse verzoeken om toegang technisch van toepassing kunnen zijn. De conclusie van GreenbergTraurig is echter dat het risico op daadwerkelijke toegang op grond van Amerikaanse wetgeving laag is.
2. Kan de EU AWS-oplossing worden geschorst of beëindigd door sancties, regelgeving of juridische maatregelen (VS of andere landen) die het gebruik door een overheidsorganisatie aantasten?
Antwoord: Ja, dat is theoretisch mogelijk vanuit Amerikaanse wetgeving, maar in de praktijk niet voorstelbaar, stelt het advocatenkantoor. Sancties van andere landen vormen praktisch geen risico. Hoewel Amerikaanse maatregelen in theorie tot opschorting of beëindiging kunnen leiden, achten ze de kans dat de VS sancties oplegt of diensten opschort jegens Nederland zeer onwaarschijnlijk. De mogelijkheid bestaat evenmin door maatregelen van andere landen.
3. Zijn er andere (formele of informele) middelen voor de VS om toegang te krijgen tot gegevens of AWS te dwingen diensten te schorsen/beëindigen (bijvoorbeeld via druk op overheidscontracten)?
Antwoord: Er zijn op dit moment geen bekende Executive Orders of soortgelijke instrumenten die dit mogelijk maken. Toekomstige EO’s blijven echter wel theoretisch mogelijk. Maar ook dit acht het advocatenkantoor onwaarschijnlijk. Informele druk (politieke of economisch) om AWS tot opschorting te bewegen kan bestaan, maar de kans dat dit gebeurt en succes heeft wordt als laag ingeschat.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Mag je van een Amerikaans advocatenkantoor in deze tijd verwachten dat ze vrijelijk zo'n advies geven over een juridisch vraagstuk tussen VS en EU?
Het is slechts een juridisch advies.
Wat dus ontbreekt is een deugdelijke risico-analyse.
Want de mogelijkheid is er, maar de 'waarschijnlijkheid' wordt gering geacht. Onduidelijk is op basis waarvan, het document is niet raadpleegbaar.
De 'impact' is echter groot, evenals de 'proximity' (horizon).
Op basis van recente ervaringen met de huidige president van de VS kan gesteld worden dat zowel 'waarschijnlijkheid', als 'impact' en 'proximity' groot zijn.
Het is daarmee een hoog prioriteit risico.
Aansluitend kan gesteld worden dat mitigerende maatregelen grotendeels ontbreken, dan wel gebagatelliseerd worden.
De 'risk appetite', dan wel bewuste onkunde, bij het ministerie is kennelijk groot.
Het beeld van 'weaponised incompetence' dringt zich op.