Rijksbrede beweging e brief deed nogal wat stof opwaaien. Want wat gebeurt er met gevoelige gegevens als we deze in handen geven van cloudproviders? Zetten we onze privacy en binnenlandse veiligheid niet op het spel? Hoe voorstelbaar deze zorgen ook zijn, wij denken dat ook in de publieke cloud onze data veilig kunnen zijn. Veiliger zelfs dan in de bestaande, on-premises situatie. D De voornaamste cloudaanbieders zijn Amerikaans: Microsoft (Azure), Amazon (Amazon Web Services) en Google.1 Europese spelers zijn er wel, maar hun oplossingen zijn minder volwassen en daarmee (nog) geen volwaardig alternatief. Het is daarmee mogelijk dat een Amerikaanse partij komt bovendrijven bij aanbestedingen van de Rijksoverheid. En daar ligt de crux van veel van de zorgen: op het moment dat het Rijk kiest voor zo’n Amerikaanse publieke cloud, staan we toe dat onze data worden opgeslagen binnen bereik van Amerikaanse wetgeving waarmee gegevens kunnen worden opgevraagd (US CLOUD Act). Daarmee, zo is de vrees, zijn we de controle kwijt. De Autoriteit Persoonsgegevens liet in een reactie weten dat de privacyrisico’s die (public) cloudoplossingen met zich meebrengen nadrukkelijker moeten worden onderkend en gemitigeerd. Bescherming en bevoegdheid Bij doorgifte in de EU - en daarmee in Nederland - zorgt de AVG voor juridische bescherming. Doorgifte van gegevens mag alleen onder strikte voorwaarden en doorgifte naar derde landen mag alleen op basis van voldoende waarborgen. De AVG stelt: ‘Een doorgifte van persoonsge70 In haar Kamerbrief ‘Rijksbreed Cloudbeleid’ nam staatssecretaris Van Huffelen een volgende stap in het cloudbeleid dat sinds 2011 gold. Toenmalig minister Donner vond dat de publieke cloud te veel risico’s met zich meebracht; in 2022, ziet Van Huffelen in de publieke cloud vooral kansen. Haar brief stelt dan ook: ‘Onder het nieuwe beleid mogen overheidsdiensten, met enkele uitzonderingen, onder voorwaarden publieke clouddiensten gebruiken.’ gevens aan een derde land of een internationale organisatie kan plaatsvinden wanneer de Commissie heeft besloten dat het derde land, een gebied of één of meerdere nader bepaalde sectoren in dat derde land, of de internationale organisatie in kwestie een passend beschermingsniveau waarborgt’. Binnen Nederland en binnen Europa is daarmee de bescherming qua regelgeving geborgd. Tussen de EU en de Verenigde Staten geldt die bescherming als er een adequaatheids besluit bestaat. Met het nieuwe EU-US Data Privacy Framework zal hieraan worden voldaan. Tot die tijd kan gebruik gemaakt worden van modelcontractbepalingen of bindende bedrijfsvoorschriften op basis van de executive order die president Biden onlangs heeft ondertekend. De Amerikaanse overheid heeft de bevoegdheid om gegevens op te vragen bij Amerikaanse entiteiten. Ook als het daarbij gaat om niet-Amerikaanse data, en ook als die data buiten Amerika staan opgeslagen. Ook in Nederland bestaat een dergelijke juridische bevoegdheid, maar dan uitsluitend als het gaat om persoonsdata van Nederlanders. De Amerikaanse wetgeving is ruimer (extraterritoriale werking); alle data van Amerikaanse bedrijven kunnen in theorie lijdend voorwerp zijn van onderzoek, ook data die niet gerelateerd zijn aan inwoners van de VS. Grootste voordeel Laten we het een en ander in perspectief plaatsen: een organisatie als Microsoft krijgt vorderingen van de Amerikaanse overheid. Microsoft vecht die vorderingen stuk voor stuk aan en wordt meestal in het gelijk gesteld. Microsoft heeft ook nog nooit gegevens verstrekt Als er al een kans bestaat op inbreuk, dan geldt dat ook voor Europese cloud providers die betrekking hebben op de (EU of NL) publieke sector. Ook ons eigen National Cyber Security Centre stelt vast dat er wellicht een theoretische kans bestaat dat de Amerikaanse overheid inzage krijgt in onze data, maar dat die kans in de praktijk bijzonder klein is.2 Het is in theorie bovendien mogelijk dat ook Europese bedrijven en Europese data vallen onder
71 Online Touch Home