NSA-generaal Keith Alexander probeert volgens Politico al enkele maanden Congresleden in de VS te bewegen om een wetsvoorstel te ontwerpen waarmee bedrijven die de NSA helpen worden gevrijwaard van civiele rechtszaken. Ook als de vorderingen van de NSA legaal zijn, kan het een bedrijf bij het uitlekken dat gegevens worden gedeeld worden aangeklaagd door bijvoorbeeld zijn klanten.

Bescherming informatiedeling

Het gaat de NSA-chef voornamelijk om bescherming van providers als de overheid ingrijpt op kritieke infrastructuren bij een cyberaanval. Dat is nu mogelijk door een pakket maatregelen van president Obama. Maar Alexander pleit voor een zo breed mogelijke wet die bedrijven beschermt wanneer ze informatie delen met de NSA.

De maatregel is dan ook niet alleen bedoeld om bijvoorbeeld providers of cloudaanbieders te beschermen als ze netwerktoegang verlenen tijdens een crisis, maar ook wanneer ze informatie delen. “Om cybersecurity te verbeteren is het essentieel om de privésector te beschermen tegen frivole rechtszaken vanwege het delen van gegevens of het gebruik van zekere cybersecuritymaatregelen”, zegt de Republikeinse senator Saxby Chambliss van de Senaatscommissie voor inlichtingendiensten tegenover Politico.

Gevoelige kwestie door PRISM

NSA-generaal Alexander vraagt deze Senaatscommissie om bescherming voor ondernemingen die gedwongen worden om toegang te geven. “Als de overheid een bedrijf vraagt om iets te doen om de netwerken te beschermen – of iets anders – en er wordt een fout gemaakt die onze schuld is, dan zouden ze daar aansprakelijkheidsbescherming voor moeten hebben.”

Zo’n vrijwaringsvoorstel moet bedrijven motiveren mee te werken aan het versterken van de Amerikaanse internetveiligheid. Alexander wil dat het voorstel in brede bewoordingen wordt opgesteld, zodat de wet voortvarend kan worden ingezet. En juist dat aspect ligt momenteel gevoelig, nu de breed opgezette Protect America Act tot afluisterprogramma PRISM heeft geleid.

Privacyaantasting lastig te bewijzen

Juridisch tech-blog Techdirt wijst er overigens op dat het nog niet zo gemakkelijk is voor mensen om een bedrijf aan te klagen voor het delen van privacygevoelige informatie. Zij moeten aan de rechtbank kunnen aantonen dat ze een benadeelde partij zijn door te bewijzen dat hún data is gedeeld.

Als deze klagers rond krijgen dat hun privacy is aangetast – bijvoorbeeld als blijkt dat gegevens zijn verzameld van álle klanten of als een specifieke dataset van NSA-servers laat zien dat zij slachtoffer zijn geworden – moeten ze vervolgens nog langs de verdediging raken dat de informatie is verzameld in het kader van nationale veiligheid en dat daarom de grondwet niet van toepassing is.