Het gevaar dat buitenlandse overheid- en opsporingsinstanties de handen kunnen leggen op data van onderwijs- en onderzoekinstellingen die in de cloud is opgeslagen, is reëel. Juridisch gezien kan niets worden ondernomen om dergelijk gegraai tegen te gaan. Ook contractuele afspraken met cloudleveranciers zijn in deze slechts papieren tijgers. De academische sector moet duidelijke risicoanalyses maken en waar mogelijk technische belemmeringen inbouwen, zoals versleuteling.

Dat schrijft het Instituut voor Informatierecht in een nieuw en omvattend rapport in opdracht van onderwijs-ICT-instantie SURF waarin onder meer de rol van de Amerikaanse Patriot Act wordt belicht bij het gebruik van cloudcomputing. Een van de conclusies is dat er geen schuilplaats is voor de Amerikanen, ook als er wordt gekozen voor opslag buiten de Verenigde Staten en het uitsluiten van Amerikaanse aanbieders.

Amerikanen hebben 'ruime mogelijkheden'

“Ten aanzien van buitenlandse (lees Nederlandse) gebruikers in de cloud bestaan ruime mogelijkheden voor de Amerikaanse overheid om gegevens op te vragen", zo stelt het rapport. “De in 2008 ingevoerde specifieke bepaling voor het opvragen van gegevens van niet-Amerikaanse personen buiten de VS springt het meest in het oog door de ruime mogelijkheden die het biedt en masse gegevens op te vragen. Ook in het kader van strafrechtelijk onderzoek bestaan bevoegdheden in de VS voor het opvragen van gegevens bij cloud providers."

Nederlandse juridische bescherming is er niet. Europese en Nederlandse privacyregels (zoals de Wbp) kunnen uiteindelijk de uitoefening van deze bevoegdheden door de Amerikaanse overheid niet in de weg kunnen staan, schrijft het IvIR. “Hetzelfde geldt voor contractuele afspraken. Waar deze in andere gevallen uitkomst bieden ten aanzien van het juridisch inkaderen van risico's, is het niet mogelijk de mogelijkheid van bevragingen door justitie of veiligheidsdiensten juridisch in te perken."

Aantal bevragingen niet te tellen

De onderzoekers hebben een poging gedaan het aantal bevragingen van overheden bij cloudleveranciers in kaart te brengen, maar dat is een doodlopende weg. “Er is weinig tot geen transparantie over het gebruik van de betreffende bevoegdheden en er zal vaak een geheimhoudingsverplichting gelden voor betreffende cloud aanbieders, ook richting de direct betrokkenen. Dit leidt er toe dat het erg lastig is het daadwerkelijke risico in te schatten dat gegevens daadwerkelijk worden opgevraagd."

Wel denkt IvIR dat de mogelijkheden om die data op te vragen, alleen maar meer worden benut. “Tegelijkertijd kan wel de verwachting uitgesproken worden dat bevragingen van cloud providers een steeds belangrijker wapen in het arsenaal van opsporings- en veiligheidsdiensten zullen zijn. Gezien het gebrek aan transparantie over gegevensvorderingen kan de ontwikkeling richting cloud computing tot een vermindering van autonomie leiden." Met dat laatste wordt bedoeld dat de onderwijs- of onderzoeksinstelling in feite geen eigenaar meer is van de data.

Nederlandse cloud geen ultieme oplossing

Het onderbrengen van data in een puur Nederlandse cloud is overigens geen ultieme oplossing hiervoor. De Amerikanen zijn dan nog steeds in staat via de Nederlandse opsporingsdiensten aan de data te komen. “Uit officiële rapportages van de CTIVD lijkt op te maken dat soms te makkelijk van deze mogelijkheid gebruik wordt gemaakt." De CTIVD staat voor de Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdiensten.

Het IvIR raadt instellingen dan ook aan eerst een risicoanalyse te maken waarbij de gegevens gerubriceerd worden in de onwenselijkheid dat die in andere handen komen. “Voor informatie en gegevens waarvoor het risico dat deze daadwerkelijk in handen komen van een Amerikaanse veiligheidsdienst zonder dat daarover enige transparantie bestaat te groot wordt geacht, zouden alternatieven ontwikkeld kunnen worden binnen de sector." Een nationale cloud is een van die alternatieven, maar ook kan worden gekeken naar technische beschermingsmaatregelen. Daarnaast kan worden besloten sommige data juist niet in de cloud op te nemen.

Data gefragmenteerd en decentraal opslaan

Data kan bijvoorbeeld decentraal en gefragmenteerd worden opgeslagen, waardoor gerichte opvraging wordt bemoeilijkt. Ook moet worden gekeken naar (de mate van) versleuteling. “Daarbij moet aangetekend worden dat versleutelingstechnieken voor veel daadwerkelijke gebruikers mogelijk tot te veel complexiteit zouden kunnen leiden." Verder vindt het IvIR dat er betere wet- en regelgeving moet komen. “Zo zou vrijwillige gegevensverstrekking - de basis voor willekeur en ondermijning van vertrouwen - niet moeten voorkomen. Een verdere versterking van een dergelijk verbod op regelgevend niveau kan daarbij een goed middel zijn."

CBP uitte eerder al kritiek

De conclusies van het IvIR komen nadat vorige maand ook het College Bescherming Persoonsgegevens al had gerapporteerd dat bedrijven en organisaties niet konden vertrouwen op de Safe Harbor-bepaling. Nederlandse bedrijven en organisaties die clouddiensten afnemen in Amerika zijn zelf eindverantwoordelijk voor de bescherming van persoonsgegevens, betoogde het CBP toen, naar aanleiding van vragen van SURF.

Safe Harbor is een cruciale regeling tussen de EU en VS. Alleen als Amerikaanse bedrijven Safe Harbor-gecertificeerd zijn mogen zij privégegevens van Europese consumenten verwerken en opslaan. Het gaat om zeven principes, waaronder 'ondubbelzinnige toestemming' van en een opt-out mogelijkheid voor betrokkenen, passende databeveiliging, duidelijk omschreven handhaving en correcte klachtafhandeling.

Maar het keurmerk, dat zou moeten worden gehandhaafd door het Amerikaanse ministerie van Handel, biedt allerminst een garantie. Er is in het verleden structureel misbruik van gemaakt en een kritisch rapport daarover werd achtergehouden.

EU vindt eigen privacyregels gelden

Overigens wordt binnen de Europese Unie al gesproken over de (on)wenselijkheid van het opvragen van data door (Amerikaanse) opsporingsinstanties. Daarbij vindt de Europese Commissie dat Europees recht moet gelden op Europese data, zelfs als dat in de Verenigde Staten is opgeslagen. Maar uit het rapport van de IvIRv lijkt dat dus een schijnzekerheid, net als beloften van Microsoft en Oracle dat zij hun klanten beschermen tegen de Patriot Act.

Update 14.24: Alinea's toegevoegd over de eerdere uitspraken van het CBP op vragen van SURF.