In juni werd Anton Carniaux, Director of Public and Legal Affairs van Microsoft Frankrijk, ondervraagd door een parlementaire commissie van de Franse Senaat. Het gesprek ging over de reikwijdte van de Amerikaanse CLOUD Act en de veiligheid van data van Europese burgers en bedrijven in de cloudomgevingen van de grote Amerikaanse hyperscalers. “Indien een bevel aan de juiste voorwaarden voldoet,” luidde de vraag, “is het bedrijf dan verplicht om data van een Europese klant aan de Amerikaanse overheid over te dragen?”
“Absolutely,” antwoordde Carniaux. Daarmee bevestigde hij wat juristen en experts al langer beweren.
De vervolgvraag luidde: “Kan Microsoft deze commissie onder ede garanderen dat gegevens van Franse burgers en bedrijven niet aan de Amerikaanse overheid worden overgedragen zonder expliciete toestemming van de Franse regering?”
“Nee,” antwoordde Carniaux. “Die garantie kunnen wij niet geven.”
Mark Boost, CEO van de Britse cloudprovider Civo, vatte het treffend samen: “Microsoft heeft openlijk toegegeven wat velen al lang weten: op grond van wetten zoals de CLOUD Act kunnen Amerikaanse autoriteiten toegang afdwingen tot gegevens die in het bezit zijn van Amerikaanse cloudproviders, ongeacht waar die gegevens zich fysiek bevinden. Servers in het Verenigd Koninkrijk of de EU maken daarbij geen verschil als de jurisdictie elders ligt. Ook lokale dochterondernemingen of ‘vertrouwde’ partnerschappen veranderen daar niets aan.”
Microsoft stelt terecht dat het risico op een dergelijk bevel door de Amerikaanse overheid niet groot is en dat er een procedure bestaat die in beginsel waarborgen biedt tegen misbruik. Het is niet zo dat de Amerikaanse overheid te pas en te onpas cloudproviders bevelen geeft om data te overhandigen, bijvoorbeeld om e-mails van de Nederlandse overheid te lezen of te achterhalen hoe ver Airbus is met het ontwikkelen van een nieuwe vliegtuiggeneratie. Er zijn wel degelijk beperkingen.
Maar ook dat vraagt om nuance. Persoonsgegevens van EU-burgers mogen bijvoorbeeld in de VS worden opgeslagen onder het Data Privacy Framework, het akkoord waarin Amerika waarborgen biedt voor de bescherming van de rechten van Europese personen. Een onafhankelijke commissie in de VS, de Privacy and Civil Liberties Oversight Board (PCLOB), toetst in principe of verzoeken tot inzage voldoen aan legitimiteit, transparantie en verantwoordingsplicht. Dit werkte goed, tot president Trump op 27 januari drie van de vijf commissieleden, waaronder de voorzitter, ontsloeg. Sindsdien heeft de PCLOB onvoldoende leden om rechtsgeldig besluiten te nemen. Er vindt daardoor feitelijk geen toetsing meer plaats van inzage verzoeken die de Amerikaanse overheid aan providers voorlegt.
We moeten hier niet paniekerig op reageren. Wat zijn de feiten?
Wat Microsoft in juni bevestigde, is dat het bedrijf geen “soevereine” cloud kan garanderen. Alle pogingen om data in Europa op te slaan of onder te brengen bij een Europese entiteit zijn uiteindelijk ‘window dressing’. Als er een bevel komt onder de CLOUD Act, moet de data worden overgedragen. Zonder discussie en zonder dat het bedrijf dat juridisch kan aanvechten. Zo simpel is het.
Dat betekent niet dat je als klant moet aannemen dat de NSA systematisch meekijkt met alles wat je in de cloud doet; zo ver gaat het niet.
Maar het is wel verstandig om jezelf af te vragen:
- Welke van mijn data is zó gevoelig dat het problematisch zou zijn als een buitenlandse mogendheid deze zou kunnen inzien?
- Waar staat die data?
- Als ik een SaaS-oplossing gebruik: waar wordt mijn data opgeslagen?
- Op welk platform draait mijn applicatie?
- En: kan ik leven met dit risico?
Als het antwoord ‘ja’ is, dan is er weinig aan de hand. Maar als je, als overheid of als bedrijf, tot de conclusie komt dat er toch een risico in zit, kijk dan eens of je die data kunt onderbrengen bij een Europese partij.
Die zijn er genoeg.
Dutch Cloud Community helpt je graag om een passende aanbieder te vinden.
