Wanneer een Nederlands bedrijf dat vertrouwelijke communicatie faciliteert in Amerikaanse handen komt, kan wetgeving zoals de CLOUD Act en FISA van toepassing worden. Dit vergroot het risico dat gevoelige data indirect toegankelijk wordt voor statelijke actoren. In antwoord op Kamervragen van Barbara Kathmann (GroenLinks-PvdA) erkennen de minister van Justitie en Veiligheid en de staatssecretaris voor Digitalisering dat dit niet wenselijk is, maar dat volledige uitsluiting niet mogelijk is.
Moet de overheid Amerikaanse overnames van IT-bedrijven voorkomen?
De overnames van Zivver en Solvinity hebben het politieke en maatschappelijke debat over digitale autonomie en nationale veiligheid flink aangewakkerd. Hoe voorkomen we dat cruciale IT-diensten onder buitenlandse zeggenschap komen? Is aanvullende wetgeving nodig? Of hebben we hier te maken met paniekerige reacties en moeten we vertrouwen houden in onze eigen wetgeving.
Eigen verantwoordelijkheid voorop
Het kabinet benadrukt dat overheidsorganisaties zelf verantwoordelijk zijn voor het maken van een risicoanalyse bij het gebruik van clouddiensten. Bij grensoverschrijdende verwerkingen moeten ze hiervoor een Data Protection Impact Assessment (DPIA) uitvoeren. Ook moeten ze passende beveiligingsmaatregelen nemen en hun risicoanalyses bij wijzigingen, zoals een overname, actualiseren. Als er risico’s zijn door statelijke actoren, moet advies ingewonnen worden door statelijke actoren. Het feit dat Zivver en straks Solvinity onder Amerikaans eigenaarschap vallen, maakt het wel wenselijk om risico’s opnieuw te beoordelen, schrijven de bewindspersonen.
‘De overheid moet werken met de inschattingen van de afnemers van de diensten van Zivver en Solvinity over het daadwerkelijke risico’
Debat langs twee lijnen
Volgens onafhankelijk expert Michiel Steltman maakt het antwoord van de bewindspersonen duidelijk dat het debat over de overnames langs twee compleet verschillende lijnen loopt. ‘Kathmann verwoordt de aannames van onder andere IT-consultant Bert Hubert en journalist Erik Smit van Follow The Money: zodra een Amerikaanse partij zeggenschap krijgt over een Nederlands bedrijf, komt impliciet Donald Trump aan de knoppen te zitten van onze infrastructuur. Hij krijgt daarmee directe toegang tot onze data, omdat Amerikaanse bedrijven en hun dochters in de praktijk naar Amerikaanse wetgeving en orders uit Washington zullen luisteren. Managers en system administrators van hun Nederlandse deelnemingen kunnen dan gedwongen worden die orders uit te voeren, ook als ze daarmee contractbreuk plegen en Nederlandse wetten overtreden.’
Uit de antwoorden op de Kamervragen blijkt dat de overheid niet zo heel veel met die aanname kan, want de overheid moet zich baseren op de wet en op de bekende feiten. Steltman: ‘De overheid moet dus werken met de inschattingen van de afnemers van de diensten van Zivver en Solvinity over het daadwerkelijke risico op zulke wetsovertredingen. Ik begrijp de antwoorden wel.’
Angst voor risico’s
Voor alle duidelijkheid: transfers van data naar landen waar de AVG niet goed wordt geborgd, of afnemen van diensten waar de beschikbaarheid onvoldoende is geborgd in governance, is in Nederland niet toegestaan. Zolang de overheid dus zaken doet met bedrijven die onder Nederlands en Europees recht opereren, is er juridisch in feite niets aan de hand, zegt Steltman. ‘Het debat gaat om de vraag of Zivver of Solvinity onder druk van Trump toch uitvoering zal geven aan buitenlandse wetgeving. En daarmee de wet hier zouden overtreden. En daar zie je dat inschattingen compleet verschillen. De overheid zegt: in theorie zou het kunnen, maar ik heb geen enkele aanwijzing dat genoemde partijen daadwerkelijk gevolg zullen geven aan opdrachten en oekazes van de Amerikaanse overheid. Anderen zeggen: dan ben je naïef, met een beetje Amerikaanse druk werkt iedereen mee en dat risico moet je niet willen lopen.’
Afdwingbaarheid
Tech-expert Ronald Scherpenisse maakte eerder een uitgebreide analyse van het verkoopproces van Solvinity. Volgens hem wordt met de antwoorden op Kamervragen over deze overname een ‘facade van vertrouwen’ gewekt. ‘Erkend wordt dat Solvinity via Microsoft Azure gebruikmaakt van Amerikaanse PaaS-producten, en dat er theoretisch risico’s bestaan onder de CLOUD Act en FISA. Tegelijk wordt benadrukt dat die risico’s “laag zijn” en dat bestaande afspraken “nader zullen worden ingevuld”.’ Dat zijn volgens Scherpenisse formuleringen die weinig zeggen over de werkelijke afdwingbaarheid van contractuele garanties wanneer de eigenaar buiten de Europese rechtsorde valt. ‘De overname van Solvinity door een Amerikaanse partij brengt het bedrijf onder de reikwijdte van extraterritoriale wetgeving.’
Gedacht wordt aan een meldingsplicht voor strategische digitale dienstverleners bij overnames
Steltman is er niet van overtuigd dat het recht van de sterkste zal gaan gelden. En dat security policies, contracten, certificeringen en onze eigen wetgeving er niet meer toe doen. ‘Digitale weerbaarheid betekent ook druk kunnen weerstaan als er toch een verzoek komt uit de VS. Het feit dat men een Amerikaanse baas als groter risico ziet dan dat personeel meewerkt aan wetsovertredingen, geeft te denken. De aanname dat er altijd naar elke baas wordt geluisterd, ongeacht de opdracht, zit dan wel gevaarlijk diep in ons systeem. In dat licht is de gesuggereerde oplossing dat we buiten schot blijven als we maar stoppen met zakendoen met bedrijven uit landen die eventueel druk op ons kunnen uitoefenen, tamelijk naïef. De pleitbezorgers van die aanpak zien over het hoofd dat zulk protectionisme het doodvonnis is voor onze open digitale economie.’
Scherpenisse is kritischer: ‘De casus-Solvinity laat zien dat de combinatie van juridische façades, gebrek aan marktkennis en politieke terughoudendheid leidt tot structurele afhankelijkheid. Niet omdat een bedrijf als Kyndryl per definitie onbetrouwbaar is, maar omdat de overheid zelf geen regie heeft over de condities waarin kernsystemen worden geëxploiteerd.’
Wetgeving voorhanden?
Is er wetgeving voorhanden om risicovolle overnames te voorkomen? De bewindspersonen noemen in hun antwoord de Wet veiligheidstoets investeringen, fusies en en overnames (Vifo), de Telecommunicatiewet, de aankomende Cyberbeveiligingswet (implementatie NIS2-richtlijn) en de Wet weerbaarheid kritieke entiteiten (implementatie CER-richtlijn). Maar de laatste twee reguleren niet de eigendomsstructuur van bedrijven, schrijven ze. Het kabinet is bereid te onderzoeken of het toepassingsbereik van Wet Vifo uitgebreid kan worden naar aanvullende sensitieve technologieën en vertrouwensdiensten, zoals beveiligde communicatieplatforms. Ook wordt gedacht aan een meldingsplicht voor strategische digitale dienstverleners bij overnames.
We zijn te veel afhankelijk van te weinig leveranciers; dat patroon moet doorbroken worden
Soevereiniteit versterken
Volgens Steltman geven de antwoorden gelukkig wel een handreiking naar wat dan wel moet gebeuren. ‘Het is onmiskenbaar waar dat de overheid zich veel te afhankelijk heeft gemaakt van veel te weinig leveranciers. De soevereiniteitsagenda van het ministerie van EZK, uitvoering van het rapport Wennink en de Nederlandse Digitaliseringsstrategie (NDS) moeten dat oude patroon ingrijpend doorbreken; daar is geen tijd te verliezen.’
Ook Scherpenisse noemt de voorgestelde soevereine overheidscloud in de NDS een stap in de goede richting. ‘Maar zolang aanbestedingen niet fundamenteel anders worden ingericht, met zicht op wie zeggenschap heeft, en onder welke jurisdictie, blijft de autonomie voornamelijk symbolisch.’
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Deze reactie is verwijderd
Zet waar 'VS' staat 'China' of 'Rusland' en je hebt /had de poppen aan het dansen.
Als je Chinese/Russische cloud- en IT-diensten uitsluit vanwege statelijke toegang, rechtsstatelijke tekorten en extraterritoriale wetgeving, dan is het juridisch inconsistent om Amerikaanse aanbieders wél als vanzelfsprekend veilig te beschouwen.
We zitten op een lastig moment in de tijd. Het zou legitiem zijn een zwaargewicht -evt van buiten de overheid- deze crisis op te laten pakken. En ons niet in slaap te laten sussen met de woorden 'dat het zo'n vaart niet loopt'. Het loopt wel zo'n vaart, dat blijkt al wel uit de daden van de US regering met Big tech vriendjes.
Het gaat hier niet over gebruik van Chinese, Russische of voor mijn part Noord Koreaanse clouds. gelukkig niet. Dan stal je je data en systemen buiten de eigen jurisdictie , heeft ons recht geen werking. Dat is evident onverstandig , verboden zelfs als je daarmee bijvoorbeelde AVG of NIS2 buiten spel zet, en het lijkt me sterk dat de overheid dat uberhaupt wel ergens doet.
Het gaat hier over de diensten van Nederlandse en Europese entiteiten met een Amerikaanse moeder of aandeelhouder. Waar exclusief ons recht geldt. En daar is onze wet en governance prima tegen bestand. Tenzij we aannemen dat elk bedrijf met een Amerikaanse moeder of met Amerikaanse managers zomaar een wetsovertreder wordt. En dat is een Xenofobe simplificatie die ik iig niet deel.
Citaat:
"De overname van it-dienstverlener Solvinity door Kyndryl kan wel degelijk leiden tot het weglekken van persoonsgegevens en andere kritieke overheidsinformatie naar Amerikaanse partijen. Solvinity, dat het platform voor DigiD levert, valt dan onder de reikwijdte van Amerikaanse wetgeving die autoriteiten in de VS toegang biedt tot de gegevens die door Solvinity in opdracht van de Staat worden verwerkt."