Onlangs organiseerden vertegenwoordigers van de regering Obama een persconferentie over de bezorgdheid over de reikwijdte van de Patriot Act, waarmee in 2003 de bevoegdheden van Amerikaanse rechtshandhavers om data van derde partijen te onderscheppen zijn uitgebreid. Europese cloudaanbieders hadden olie op het vuur gegooid door hun diensten onderscheidend te noemen, omdat bedrijfsgegevens uit handen blijft van de Amerikaanse overheid. Zo beschreven twee Zwitserse providers hun clouddienst als 'een veilige haven, buiten het bereik van de Amerikaanse Patriot Act'.

Angst na 9/11

Inmiddels is het een populair onderwerp tijdens onderhandelingen. “Ik kan me geen pitch voorstellen met een van deze Europese cloudaanbieders waarbij de Patriot Act niet ter sprake komt', zegt Alex Lakatos van Mayer Brown in Washington, D.C. De vrees voor de wetgeving in de VS werd vorig jaar nog eens verhoogd door een directeur van Microsoft in Engeland.

Deze kon niet garanderen dat de data op de servers van zijn bedrijf, zelfs die buiten de VS, veilig was voor de Amerikaanse overheid. Volgens Lakatos is de angst voor de Patriot Act deels gevoed als marketingstrategie van Europese cloudaanbieders in de strijd met Amerikaanse concurrenten, maar 'een ander deel heeft te maken met de algemene bezorgdheid van Europeanen over de Patriot Act'.

Hoewel de door 9/11 tot stand gekomen wetgeving op verschillende manieren is misbruikt, meent Lakatos dat die angst niet altijd terecht is. Buiten het bereik blijven van de Patriot Act is echter moeilijker dan de marketing van die Europese aanbieders suggereert. "Je moet jezelf afsluiten en ervoor zorgen dat noch je eigen organisatie, noch je cloudaanbieder iets met de VS van doen hebben", legt Lakatos uit, "anders val je onder Amerikaanse jurisdictie." Slechts weinig grote IT-klanten of cloudaanbieders zullen daaraan kunnen voldoen. De idee achter cloud computing is juist dat data overal ter wereld kan worden bewaard en zonder grenzen kan worden verplaatst.

Een Europees bedrijf met aanwezigheid in de VS valt onder Amerikaanse wetgeving, zegt Lakatos, maar ook een Europese klant met data op Europese cloudservers van een bedrijf met operaties in de VS kan te maken krijgen met de Patriot Act. "Als een Europese organisatie niets doet in de VS en de Europese cloudaanbieder evenmin, dan kan data mogelijkerwijs buiten het bereik van de Patriot Act vallen", zegt Lakatos. "Maar zelfs dan kan diezelfde data toegankelijk zijn voor de Amerikaanse overheid via een mlat-verzoek (mutual legal assistance treaty)." Volgens Lakatos lost het niets op om Amerikaanse cloudaanbieders te mijden: "Het is veel ingewikkelder."

Werken met cloudaanbieders

Wat is dan de oplossing voor een Europese cloud-klant, of een Amerikaanse klant die niet wil dat zijn provider data aan de overheid verstrekt als gevolg van de Patriot Act? Cloud- en andere aanbieders gaan verschillend om met het beschermen van hun klantgegevens tegen nieuwsgierige overheden. "Voor de cloudaanbieders zou het eenvoudiger zijn om de overheid alles te geven wat deze verlangt", meent Lakatos.

Ten eerste moet je uitvinden waar je je precies zorgen over moet maken. Veel Europese cloud-klanten die om advies vroegen aan Lakatos zijn zelf niet bezorgd dat de Amerikaanse overheid hun zakenpartners kent, maar hun klanten zijn dat wel. In dat geval kun je het beste duidelijk maken aan je klanten wat de risico's zijn en wat jij en je cloudaanbieder eraan doen om die te vermijden. "Communicatie is hierbij van belang", zegt Lakatos. "Welke beloften kan ik doen en welke verzekeringen kan ik mijn klanten geven?"

Anderen kunnen zich terecht zorgen maken over informatie die de overheid kan achterhalen en de zakelijke gevolgen daarvan. Zij moeten vaststellen welke specifieke informatie waardevol is en hoe groot zij de kans achten dat de Amerikaanse overheid er een terrorismeonderzoek naar zal doen. Je kunt overwegen om bepaalde data niet in de cloud te zetten. Als je de data in eigen huis houdt, vallen bedrijven met aanwezigheid in de VS nog steeds onder de Patriot Act. Alleen moet de federale recherche dan toegang krijgen via jou en niet via je cloudaanbieder.

Ten tweede loont het de moeite uit te zoeken hoe de Patriot Act is toe te passen op data in de cloud. De wetgeving heeft enkele recherchebevoegdheden uitgebreid die al bestonden binnen de Amerikaanse rechtshandhaving. Om toegang te krijgen tot data in de cloud wordt gebruikgemaakt van de Foreign Intelligence Surveillance Act (FISA) Orders en National Security Letters, weet Lakatos. Langs beide wegen kan de cloudaanbieder worden verboden zijn klanten in te lichten over het dataverzoek van de overheid. In een pdf geeft Lakatos een uitgebreide analyse van de soorten data die de overheid via deze wetgeving wil achterhalen.

Clausule is het proberen waad

Ten derde kun je in het contract met je cloudaanbieder een clausule laten opnemen hoe deze moet reageren op zulke verzoeken van de overheid. Cloudaanbieders doen dat niet graag, maar het is het proberen waard. "Als je een sterke positie hebt, kun je ze bijvoorbeeld laten beloven dat je wordt ingelicht over dataverzoeken of dat zij uit eigen initiatief niet meer data geven dan verplicht is", zegt Lakatos. "Als de overheid om data komt vragen, kan een cloudaanbieder in sommige gevallen onderhandelen of wijzen op overtreding van de wetgeving."

Ten slotte adviseert Lakatos realistisch te blijven over de wettelijke risico's van je data in de cloud. "Klanten zouden even bezorgd moeten zijn over de traditionele manieren waarop de overheid aan zijn data komt. Het is misschien wel waarschijnlijker dat je een dagvaarding of opsporingsbevel te zien krijgt. Klanten van clouddiensten vergeten dikwijls dat een groot deel van die onderzoeken plaatsvindt in hun eigen land. Ook al hebben zij zich dus weten af te sluiten van de VS, dan nog kan hun eigen land bezorgd zijn over terrorisme en even doortastend zijn bij het zoeken naar informatie tussen jouw data.'