whitepaper privacy in de cloud
DESCRIPTION
Een white paper over de gevolgen van de Wet Bescherming Persoonsgegevens, Patriot Act en PRISM voor Cloud Computing.TRANSCRIPT
Privacy in de CloudEen white paper over de gevolgen van de Wet Bescherming Persoonsgegevens, Patriot Act en PRISM voor Cloud Computing.
D a r e t o C h a l l e n g e
C l o u d C o m p u t i n g
W h i t e P a p e r
Cloudcomputing, het betrekken van IT-diensten vanuit een externe bron én het opslaan en
verwerken van data in een externe IT-omgeving, wordt een steeds belangrijker fenomeen in de
IT wereld. Omdat die externe IT-omgeving niet aan een fysieke locatie is gebonden en privacy
wetgeving niet altijd toestaat dat persoonsgegevens buiten de Europese Economische Regio
verwerkt worden, is aandacht voor de bescherming van privacy geboden. Zeker nu bekend is
geworden hoe vergaand de bevoegdheid van sommige overheidsdiensten kan gaan.
Quint Wellington Redwood heeft op basis van haar ervaringen in de praktijk een inventarisatie
gemaakt van de belangrijke aandachtsgebieden rond ‘privacy in de cloud’. Dit white paper
vormt hiermee een uitstekend vertrekpunt voor diegenen die zich op het privacyvraagstuk in
cloud-omgevingen oriënteren.
U krijgt relevante informatie over de wet- en regelgeving in verschillende landen en over de
impact daarvan op informatieverwerking.
Auteur: Rolf Kuijpers
— 2 —
Managementsamenvatting
Naarmate meer gegevens worden verwerkt en opgeslagen in zogenaamde cloudomgevingen,
wordt aandacht voor bescherming van die gegevens steeds belangrijker. Het gaat daarbij
vooral om de vraag hoe gegevens beschermd worden tegen misbruik of oneigenlijk gebruik
en hoe men gegevens kan vrijwaren van inzage door overheidsdiensten. Die vraag spitst zich
toe op bescherming van persoonsgegevens.
De wetenschap dat overheden onder bepaalde omstandigheden gebruik kunnen maken
van een wettelijke bevoegdheid om inzage te krijgen in opgeslagen data leidt tot een
spanningsveld. Het zijn de overheden die strenge eisen stellen aan bescherming van
persoonsgegevens, onder meer door het opstellen van privacy-wetgeving. Maar diezelfde
overheden kunnen met een beroep op de nationale veiligheid elke wetgeving terzijde
schuiven en zich schijnbaar onbelemmerd toegang tot privégegevens verschaffen.
Omdat cloudoplossingen per definitie grensoverschrijdend zijn, is het vrijwel onmogelijk om
te bepalen wat de fysieke locatie van data is. Derhalve is ook niet duidelijk welke wet- en
regelgeving van toepassing is, wat betekent dat er geen zekerheid gegeven kan worden over
de veiligheid van opgeslagen data.
Een bijkomend probleem is dat het op individuele basis uitvoeren van een audit een
onuitvoerbare opdracht is. Cloudomgevingen zijn niet aan een fysieke locatie gebonden
en kunnen zelfs variabel zijn. Dat maakt onderzoek naar een cloudomgeving praktisch
onmogelijk. Daarnaast zijn de meeste leveranciers van cloud oplossingen niet gecharmeerd
van steeds weer nieuwe audits die elk een ander referentiekader als uitgangspunt hebben.
In deze white paper worden deze spanningsvelden beschreven en wordt gezocht naar
oplossingen die tegemoet komen aan de voordelen van cloud oplossingen versus de
belemmeringen die ontstaan door nationale wet- en regelgeving.
Individuele audit is praktisch onmogelijk
Inleiding
Het gebruik van informatievoorziening in ons dagelijks leven legt specifieke
verantwoordelijkheden bij gebruikers en aanbieders van informatiediensten. Het is dan
ook een uitdaging voor beleidsmakers om deze verantwoordelijkheden wettelijk in goede
banen te leiden. Daarbij dienen ze rekening te houden met het toenemende belang van de
informatievoorziening en met de globalisering van IT-diensten. Een extra complicatie voor
hen is het beschermen van de nationale veiligheid zonder inbreuk te plegen op het in de
grondwet verankerde recht op privacy van burgers.
Het vraagstuk rond de mogelijkheden die een overheid heeft om toegang te krijgen tot
gegevens van een individu of van een organisatie speelt al geruime tijd. Al in 1948 schreef
George Orwell het boek ‘1984’, waarin hij de totalitaire staat die bij het individu ‘achter de
— 3 —
voordeur’ kon kijken, voor het voetlicht bracht. Begin 2013 drukte klokkenluider Edward
Snowden ons nog eens met de neus op de feiten door de praktijken van de Amerikaans
overheid aan de kaak te stellen. Deze heeft onder meer met behulp van het programma
PRISM inzage in grote hoeveelheden persoonsgegevens.
Eén van de gevolgen hiervan is dat er veel vragen gerezen zijn over het gebruik en de
inzet van clouddiensten. Die vragen gaan vooral over de bescherming van geclassificeerde
bedrijfsgegevens en over bescherming van persoonsgegevens. Meer in het bijzonder als deze
gegevens worden overgedragen naar landen buiten de Europese Economische Regio (EER)
waardoor buitenlandse overheden mogelijk toegang kunnen krijgen tot deze gegevens.
De Wet Bescherming Persoonsgegevens (WBP) en de beschermingsconstructies in de
Verenigde Staten, waaronder de Patriot Act, worden daarbij vaak genoemd. Na de commotie
die werd veroorzaakt nadat de werking van PRISM aan het licht kwam, bestaat over deze
onderwerpen niet alleen veel bezorgdheid maar ook een aantal misvattingen.
In deze whitepaper wordt nader ingegaan op zowel bescherming van de vertrouwelijkheid
als de beschikbaarheid van gegevens in de cloud. Daarmee wordt een antwoord gegeven op
de volgende vragen.
• In welke context hebben klanten met clouddiensten te maken?
• Welke wet- en regelgeving is relevant voor toegang tot data binnen clouddiensten?
• Wat bepalen de belangrijkste kaders van dit moment, de Wet Bescherming
Persoonsgegevens en de Patriot Act, over clouddiensten?
• Wat zijn de daadwerkelijke risico’s?
• Hoe kunnen clouddiensten veilig gebruikt worden door klanten?
Snowden heeft gebruikers van clouddiensten wakker geschud
De context van clouddiensten
In de afgelopen tijd zijn clouddiensten steeds populairder geworden. Het gegeven dat
men diensten kan inkopen in plaats van in eigen beheer te nemen, heeft een belangrijke
versnelling tot gevolg gehad in het gebruik van de cloud. Om succesvolle cloudoplossingen
te hebben, moet aan tenminste twee voorwaarden worden voldaan:
1. Er moet op vertrouwd kunnen worden dat informatie veilig is opgeslagen, dat wil
zeggen voldoet aan de daartoe te stellen eisen van beschikbaarheid, betrouwbaarheid
en integriteit.
2. Door schaalgrootte moet een hoge mate van efficiency bereikt worden en daarmee een
reductie van kosten voor de afnemer van de dienst.
Het domein waar de klanten van cloud-serviceproviders (CSP’s) actief zijn is vaak
bedrijfskritisch en/of raakt aan kernactiviteiten van het maatschappelijk verkeer. Het gaat
— 4 —
doorgaans om vertrouwelijke informatie en de vraagstukken waar men aan werkt zijn
veelal complex.
Klanten van CSP’s zijn niet alleen grote bedrijven en overheden die in een internationale
context opereren, ook het MKB en zelfs individuele rechtspersonen maken steeds meer
gebruik van clouddiensten. Voor elke gebruiker van een clouddienst geldt dat er geen verlies
van vertrouwelijke gegevens mag plaatsvinden.
Om de eerder genoemde schaalvoordelen te behalen, en daarnaast vertraging in het
netwerk te voorkomen, is de technische infrastructuur van clouddiensten doorgaans sterk
geografisch gespreid. Op haar beurt is de geleverde dienst zelf weer sterk geabstraheerd van
de locatie van de infrastructuur. Hierdoor is voor een klant van een clouddienst nauwelijks
te bepalen waar zijn gegevens op enig moment zijn. Bovendien zijn aanbieder en afnemer
van de clouddienst vaak in verschillende landen gevestigd en daarmee aan andere wet- en
regelgevingen onderhevig. Dit leidt niet alleen tot geringe transparantie, het heeft vooral
tot gevolg dat er een spanningsveld ontstaat tussen de twee voorwaarden voor succes:
veiligheid en schaalgrootte.
Privacy wetgeving
De Europese afnemers van clouddiensten moeten bij het gebruik van CSP’s in het bijzonder
aandacht hebben voor privacywetgeving die verwerking van gegevens buiten de EER
verbiedt. Het gebruik van modelcontracten1 waarin alle relevante bepalingen zijn vastgelegd
kan hier uitkomst bieden. Ook aan het gebruik van technische oplossingen zoals European
Clouds dan wel de toepassing van encryptie kan worden gedacht. Bij contracten met CSP’s
is het met het oog op privacywetgeving bovendien aan te raden een aantal bijzondere
verplichtingen en rechten op te nemen. Deze zijn nader uitgewerkt in Annex 1.
Risico’s
Afnemers van clouddiensten dienen zich ook terdege bewust te zijn van het risico dat
gegevens die zij bij een CSP opslaan toegankelijk kunnen zijn voor een andere dan de
eigen overheid. Daarbij wordt vooral de Amerikaanse overheid genoemd, maar toegang
tot privégegevens is geen exclusieve Amerikaanse bevoegdheid. Ook andere overheden
zijn gerechtigd om zich toegang te verschaffen tot wettelijk beschermde gegevens. De
bevoegdheden die dit mogelijk maken zijn niet nieuw, en bij de afwegingen hieromtrent dient
men steeds voor ogen te houden hoe de risico’s zich verhouden tot de voordelen die het
gebruik van CSP’s met zich meebrengen. Het blijft echter belangrijk hier bewust mee om
te gaan.
Daarom verdient het aanbeveling om bij mogelijk gebruik van CSP’s niet alleen het ‘of en
hoe’ te overwegen, maar ook stil te staan bij de vraag van welke CSP men diensten wil
afnemen en in welke mate men diensten wil afnemen.
1 http://ec.europa.eu/justice/data-protection/document/international-transfers/transfer/index_en.htm
— 5 —
Het is ook in het belang van een CSP om bewust om te gaan met de risico’s die een
betreffende klant loopt met het afnemen van clouddiensten Het is daarbij zaak om
voortdurend voor ogen te houden hoe de risico’s zich verhouden tot eventuele voordelen.
Een leverancier is over het algemeen graag bereid om mee te denken over oplossingen die
tegemoet komen aan de bijzondere wensen van haar (potentiële) klanten.
Hoe verhouden risico’s en doelstellingen zich tot elkaar?
Soorten wet- en regelgeving
Door het geografisch gespreide karakter van ‘de cloud’ kunnen op gegevens die in
een cloudomgeving verwerkt en/of opgeslagen worden diverse nationale rechtstelsels
van toepassing zijn. Anders gezegd:gegevens van een klant van een CSP kunnen aan
uiteenlopende wet- en regelgevingen onderhevig zijn.
In grote lijnen kennen de meeste landen de volgende wetgevingskaders:
• wetgeving betreffende privacy, en/of bescherming van persoonsgegevens;
Deze wetgeving beoogt enerzijds de bescherming van privacy van het individu oftewel het
recht om sommige zaken voor jezelf te houden. Anderzijds beoogt deze wetgeving dat
betrokken personen controle kunnen uitoefenen op gegevens die anderen over hen bezitten.
Voorts voorziet deze wetgeving erin dat, met name in Europa, het doorgeven van gegevens
aan andere landen, vooral buiten de EER, aan beperkingen onderhevig is. Die beperkingen
zijn bijzonder van belang met betrekking tot clouddiensten.
Naast wet- en regelgeving betreffende privacy en bescherming van persoonsgegevens, zijn
ook relevant:
• wetgeving betreffende onderzoeken;
• wetgeving betreffende onderzoeken door toezichthouders en belastingdiensten;
• wetgeving betreffende inlichtingendiensten.
Deze soorten wetgeving zien toe op bescherming van de algemene belangen, en vooral op de
nationale veiligheid. Ze kennen bevoegdheden toe aan overheden om – waar dat nodig wordt
geacht- inbreuk te maken op de privacy van natuurlijke personen en van rechtspersonen
om dat algemene belang te dienen. Deze bevoegdheden zijn in alle landen met – sterk
wisselende - waarborgen en controlemiddelen omkleed.
— 6 —
Wet Bescherming Persoonsgegevens en de U.S.A. Patriot ACT
Een groot deel van de vragen over het gebruik van clouddiensten concentreert zich enerzijds
op de WBP die in ons land van toepassing is, en anderzijds op de Amerikaanse Patriot
Act. Hieronder volgt een uitleg op hoofdlijnen. In Annex 1 is een uitgebreide uitleg over de
WBP opgenomen. Op dit moment wordt ook nieuwe Europese wetgeving met betrekking
tot bescherming van persoonsgegevens voorbereid; een kort overzicht van de hoofdlijnen
daarvan is opgenomen in Annex 2.
Wet Bescherming Persoonsgegevens
Indien een in Nederland gevestigde organisatie gebruik maakt van een CSP bij het verwerken
van persoonsgegevens, is de WBP bijna altijd van toepassing. Zelfs het eenvoudige opslaan
van persoonsgegevens bij een CSP valt al onder de reikwijdte van de WBP.2
De WBP bepaalt dat persoonsgegevens door een verantwoordelijke of een door hem
ingeschakelde derde (de CSP) in principe niet buiten de EER mogen worden verwerkt. Maar
juist bij een CSP is, zoals eerder vermeld, vaak niet duidelijk waar gegevens daadwerkelijk
verwerkt worden. Er bestaan echter uitzonderingen op de regel dat persoonsgegevens niet
buiten de EER3 mogen worden verwerkt, zodat het inschakelen van een buiten de EER
werkzame CSP toch mogelijk wordt zonder de bijbehorende consequenties.4 De bepaling van
die uitzondering is opgenomen in de eerder genoemde modelcontracten voor doorgifte van
persoonsgegevens naar landen buiten de EER. Door gebruikmaking van deze contracten, die
de Europese Commissie speciaal hiervoor heeft opgesteld5 , wordt een dergelijke doorgifte
van gegevens toch mogelijk gemaakt.
European Cloud
Een manier om verwerking buiten de EER te voorkomen is het gebruik van zogenaamde
‘European Clouds’. Hierbij is alle infrastructuur die gebruikt wordt bij de verwerking
van persoonsgegevens binnen de EER gelegen. De klant van de CSP moet dan wel
kunnen toetsen dat de persoonsgegevens inderdaad niet buiten de EER verwerkt
worden. Bij CSP’s kan een dergelijke toetsing lastig zijn; een audit is juist door de
geografische spreiding van de infrastructuur moeilijker uit te voeren, terwijl ook niet alle
CSP’s gecharmeerd zijn van de uitvoering van uiteenlopende audits aan de hand van
uiteenlopende lokale wet- en regelgeving. Bij het gebruik van een “European Cloud” mag
men dus minstens een contractueel vastgelegde garantie van de CSP verwachten dat de
verwerking van persoonsgegevens nooit buiten de EER zal plaatsvinden. De CSP moet
zich hierbij realiseren dat het ook verantwoordelijkheid neemt voor de verwerking door
eventuele onderaannemers.
2 Article 29 Data Protection Working Party – Opinion 1/2010 on the concepts of “controller” and “processor”- http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf. Aangenomen wordt dat enkel het eenvoudige doorgeven van persoonsgegevens geen verwerken van persoonsgegevens is.
3 Met uitzondering van verwerking in landen die een toereikend niveau van beschermende wetgeving kennen Op dit moment Andorra, Argentinië, Australië, Canada, Faroer Eilanden, Guernsey, Isle of Man, Israel Jersey, Uruguay, Zwitersland.
4 In Annex 1 is een volledige lijst van uitzonderingen opgenomen.
5 Deze zijn te vinden op http://ec.europa.eu/justice/data-protection/document/international-transfers/transfer/index_en.htm#h2-5.
— 7 —
Een laatste manier om toepassing van de overdrachtsbeperking te voorkomen, is door
persoonsgegevens versleuteld in de cloud te plaatsen.6 De versleuteling moet dan
voorafgaand aan de verzending en de opslag plaatsvinden, en de gegevens moeten ook in
de cloud en tijdens de verzending van en naar de cloud versleuteld blijven. Omdat complexe
verwerkingen van data, zoals gebruik in applicaties of workflows, moeilijk te verwezenlijken
zijn als men encryptie in de cloud toepast, zijn de toepassingen in de praktijk beperkt tot
eenvoudige opslag van data. Omdat onlangs gebleken is dat de Amerikaanse overheid ook
de cryptografische sleutels van CSP’s in handen kan krijgen, lijkt het essentieel geworden
dat het sleutelbeheer in handen blijft van de klant van de CSP.
Al met al legt de WBP dus inderdaad beperkingen op aan het gebruik van een CSP
bij de verwerking van persoonsgegevens. Het is desondanks mogelijk om met deze
beperkingen te werken: veelal kunnen ze contractueel opgelost worden en soms zijn ook
technische oplossingen mogelijk. In Annex 1 wordt een uitgebreidere uitleg gegeven over
de WBP, en wordt een aantal andere bijzonderheden met betrekking tot het gebruik van
CSP’s uiteengezet.
U.S.A. Patriot Act
De U.S.A. Patriot Act wordt vaak aangehaald als dé grote bedreiging voor een veilig
gebruik van gegevens bij een CSP. Reden is dat de Patriot Act de Amerikaanse autoriteiten
nieuwe bevoegdheden zou geven om toegang tot informatie te krijgen. Het zou bij data in
de cloud dan vooral gaan om informatie die van vermeende invloed zou kunnen zijn op de
staatsveiligheid. De Patriot Act is echter geen wet die allerlei nieuwe bevoegdheden schept,
maar een samenstel van wijzigingen aan bestaande bevoegdheden. Deze bevoegdheden
worden hieronder op hoofdlijnen beschreven. In Annex 3 wordt dieper ingegaan op de meest
vergaande bepalingen van het Federaal Amerikaans recht op dit gebied.
In het kort hebben Amerikaanse autoriteiten de volgende bevoegdheden met betrekking
tot CSP’s:
• de bevoegdheid om opgeslagen gegevens te vorderen.
• de bevoegdheid om technische apparatuur of software te (laten) installeren waarmee
het gegevensverkeer direct onderschept kan worden.
Mogelijke gegevens die zo verzameld kunnen worden zijn naast de identiteit van gebruikers
of abonnees van een CSP, de verkeersgegevens zelf, de zogenaamde ‘non-content’ en de
daadwerkelijke inhoud van opgeslagen of verzonden gegevens, de zogenaamde ‘content’.
Gegevens kunnen worden gevorderd van ieder bedrijf of van elke persoon die daarover
‘possession, custody or control’ heeft, ofwel iedereen die over deze gegevens kan beschikken.
6 Article 29 Data Protection Working Party – Opinion 4/2007 on the concept of personal data” http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf. Aangenomen wordt dat enkel het eenvoudige doorgeven van persoonsgegevens geen verwerken van persoonsgegevens is, blz. 18.
— 8 —
Het is dus niet direct relevant op welk grondgebied een Amerikaans bedrijf zijn gegevens
opslaat. Wel zullen gegevens op Amerikaans grondgebied eerder onder possession, custody
or control van een aanwijsbaar persoon of bedrijf vallen.
Het onderscheppen van gegevens kan door middel van apparatuur of software op
Amerikaans grondgebied, ongeacht de bestemming of de oorsprong van die gegevens. Ook
het onderscheppen van gegevens door middel van het gebruik van apparatuur buiten de
Verenigde Staten lijkt mogelijk. De bepalingen op grond waarvan dat mogelijk zou kunnen
zijn, zijn echter vrij onduidelijk. Zeker is het dus niet.7
Voor de uitoefening van een aantal van deze bevoegdheden is geen gerechtelijk bevel nodig.
Soms hoeft er zelfs geen vermoeden van een misdrijf te bestaan of een bedreiging voor
de nationale veiligheid. Bij de uitoefening van sommige bevoegdheden kan geheimhouding
worden opgelegd aan de betrokken CSP, zodat de klant van die CSP niet op de hoogte mag
worden gesteld van de daadwerkelijke toepassing van die bevoegdheden door de autoriteit.
Brede bevoegdheden
De hierboven beschreven bevoegdheden van de autoriteiten in de Verenigde Staten zijn
overigens niet uniek. Nederland, Frankrijk en Duitsland kennen vergelijkbare regelingen.
Wel bijzonder is de brede rechtsmacht die Amerikaanse autoriteiten hebben om deze
bevoegdheden toe te passen. Amerikaanse autoriteiten hebben niet alleen rechtsmacht over
rechtspersonen die zelf gevestigd zijn in de U.S.A. en over buitenlandse rechtspersonen
die een vaste vestiging in de U.S.A. hebben, maar óók over buitenlandse rechtspersonen
die stelselmatig en continu daar hun bedrijf uitoefenen.8 Bovendien hebben Amerikaanse
autoriteiten onder omstandigheden ook buiten de Verenigde Staten rechtsmacht over
Amerikaanse burgers.9
Door deze ruime rechtsmacht staan ook sommige buitenlandse CSP’s bloot aan vorderingen
tot het overleggen of onderscheppen van gegevens, ook als zij geen vestiging in de
Verenigde Staten hebben. Bovendien is het mogelijk dat een Amerikaanse werknemer,
onderaannemer of dochtermaatschappij van een niet-Amerikaans bedrijf toegang tot
gegevens moet verschaffen.
7 In beginsel mogen overheden niet ingrijpen op elkaars grondgebied; zo zou ook het zetten van een tap in beginsel buiten Amerikaans grondgebied in beginsel niet mogen. Het is echter denkbaar dat, op grond van medewerkingsverplichtingen die aan de CSP opgelegd zijn bij de Amerikaans wet, een CSP op bevel van een Amerikaanse autoriteit zelf een tap zet of haar infrastructuur zo wijzigt dat vanuit Amerika getapt kan worden.
8 International Shoe Co. v. Washington. Zie ook Goodyear Dunlop Tires Operations, S.A. v. Brown voor een beschouwing over de vraag of het enkele hebben van een groepsmaatschappij in de U.S.A. rechtsmacht kan scheppen. Dit wordt vaak aangenomen, maar ligt genuanceerd.
9 USC Title 28 Section 1783
— 9 —
Ter verduidelijking van deze materie, is in Annex 4 een tweetal voorbeeldcases opgenomen
waarbij geanalyseerd wordt of Amerikaanse autoriteiten toegang kunnen krijgen tot
gegevens bij een CSP.
De Amerikaanse rechtsmacht gaat verder dan die in andere landen
De U.S.A kunnen een CSP geheimhouding opleggen
Risico’s in de praktijk
Zoals hiervoor beschreven kunnen CSP’s door Amerikaanse autoriteiten verplicht worden om
elektronisch gegevens te verstrekken, ook als het geen Amerikaanse CSP betreft. Bovendien
is het mogelijk dat dit gebeurt zonder dat de CSP dit mede mag delen aan de klant.
Hoewel het belangrijk is dat een klant zich dit realiseert, moeten de risico’s niet overdreven
worden. Andere landen hebben eveneens wet- en regelgeving die hen extraterritoriale
bevoegdheden geeft. In de meeste landen gaat dat weliswaar minder ver dan in de U.S.A.,
ze kunnen meestal geen bevel opleggen aan een buitenlandse CSP zonder vestiging in hun
land, maar ook deze landen meten zich vaak allerlei toegangsrechten aan. Dat geldt met
name voor de inlichtingendiensten die vaak vergaande bevoegdheden hebben. Daarbij moet
worden opgemerkt dat inlichtingendiensten doorgaans zonder medeweten en dus zonder
medewerking van CSP’s opereren, waardoor ook deze diensten te kampen hebben met de
complexiteit van de infrastructuur van een cloudomgeving.
Ook is het belangrijk te beseffen dat tussen overheden al sinds jaar en dag verdragen bestaan
op grond waarvan ze elkaar onderling opsporingsbevoegdheden op hun eigen grondgebied
toestaan, of anderszins gegevens delen. Toegang tot gegevens in het buitenland is wat dat
betreft niet nieuw of exclusief voor de Amerikaanse werkwijze.
Overheidsdiensten in de Verenigde Staten
Een andere kanttekening is dat multinationals, zoals veel klanten van CSP’s, vaak zelf al
bloot staan aan verzoeken om gegevens van de Amerikaanse overheid, ongeacht of zij een
CSP gebruiken. Hierdoor wordt deze exposure minder relevant. Hierbij is een interessante
overweging dat veel internet infrastructuur zich in de U.S.A. bevindt, zodat de U.S.A. zich ook
via dergelijke bedrijven toegang tot gegevens kan verschaffen. Vaak wordt de New York
Internet Exchange hierbij geopperd. Strikt genomen staat de Amerikaanse wetgeving toe dat
overheidsdiensten zich toegang mogen verschaffen tot de gegevens van deze organisatie.
Door het grote volume aan verkeer en adressen lijkt, zelfs met medewerking van de New
York Internet Exchange, de praktische toepassing hiervan niet haalbaar.
Waarde van informatie
Uiteraard is het risico dat klanten van CSP’s lopen sterk afhankelijk van het soort informatie
dat zij bij een CSP onderbrengen. Niet alle informatie is van strategische waarde. Het risico
— 10 —
van toegang tot gegevens door overheden moet dan ook rationeel afgewogen worden tegen
de operationele voordelen die het gebruik van een CSP kunnen hebben. Een beperkt risico
van toegang tot gegevens bij een CSP zou in sommige gevallen moeten wijken voor de
grotere risico’s die door een instabiel of onveilig IT systeem worden veroorzaakt.
Desondanks is het zaak om de nodige voorzichtigheid te betrachten en bewust te zijn van
de consequenties . Een bedrijf dat bijvoorbeeld wapensystemen ontwikkelt voor Defensie
of informatie bijhoudt over de economische stabiliteit van een land doet er waarschijnlijk
goed aan zijn exposure ten opzichte van Amerikaanse autoriteiten te beperken. Zulke
organisaties moeten beslist twee keer nadenken voor ze hun infrastructuur en/of data bij
een CSP onderbrengen. Voor elke organisatie geldt echter dat in alle gevallen zorgvuldig
moet worden omgesprongen met het buiten het eigen bedrijf onderbrengen van dergelijke
informatie, ongeacht de bevoegdheden van andere overheden. De keuze voor een CSP
moet weloverwogen tot stand komen, na goede weging van de risico’s ten opzichte van
de voordelen.
Voor CSP’s geldt dat ook zij bewust moeten omgaan met deze risico’s. Algemene richtlijnen
of uitgangspunten hieromtrent zijn daarom niet raadzaam. Per klant zal afgewogen moeten
worden welke risico’s er spelen en op basis daarvan zal een keuze moeten worden gemaakt.
In Annex 4 staan twee cases met betrekking tot het gebruik van een CSP uitgewerkt.
WBP versus verzoeken tot het vertrekken van data
Uit het bovenstaande kan al snel een conflict tussen Amerikaanse en Europese wetgeving
gedestilleerd worden. Dit conflict ontstaat als een Amerikaanse autoriteit bij een CSP
persoonsgegevens opvraagt en de CSP deze daarvoor buiten de EER brengt. Zoals
hierboven al vermeld, is de export van persoonsgegevens buiten de EER alleen toegestaan
onder bepaalde voorwaarden. Bovendien worden de gegevens in dit geval verstrekt aan een
nieuwe organisatie om daar verder verwerkt te worden. Ook dat is niet zomaar mogelijk. Op
dit moment wordt er binnen de EU gewerkt aan wetgeving om dit conflict op te lossen.
In de tussentijd biedt de WBP een aantal handvatten die de risico’s beperken. Ten eerste
geldt dat een verantwoordelijke op grond van de WBP niet aansprakelijk is voor schade
die voortvloeit uit de verwerking van persoonsgegevens door een CSP, voor zover het
schadeveroorzakende feit hem niet kan worden toegerekend. Dat is hier gauw het geval nu
de verantwoordelijke niet bij machte is deze verstrekking door een CSP te voorkomen, en
soms zelfs niet door de CSP daarvan op de hoogte is gesteld.
Ten tweede geldt dat er nog geen specifieke sanctie staat op een overtreding van het
verbod persoonsgegevens buiten de EER te brengen, zodat hiervoor geen boete kan worden
opgelegd. In het concept van de nieuwe Europese regelgeving is voorgesteld om een
organisatie tot 2% van hun omzet aan boete op te leggen (zie ook Annex 2).
— 11 —
Het andere belangrijke dwangmiddel van het College Bescherming Persoonsgegevens
(CBP), het opleggen van een dwangsom, kan alleen worden toegepast bij het niet voldoen
aan een verplichting onder de WBP door de verantwoordelijke zelf. Als de CSP zelfstandig
handelt, is het de vraag of de verantwoordelijke zelf een verplichting niet nakomt. In het
verlengde daarvan kan betoogd worden dat, wanneer een CSP gegevens verstrekt aan
autoriteiten zonder daartoe geïnstrueerd te worden, juist de CSP als verantwoordelijke voor
die verwerking onder de WBP zou moeten gelden en niet haar klant.
In al deze gevallen geldt overigens wel dat de verantwoordelijke alle zorgvuldigheid
rond dergelijke situaties in acht moet hebben genomen. Men moet onder meer gedegen
onderzoek naar de CSP hebben uitgevoerd, men moet de CSP een verplichting opleggen
om gedwongen verstrekkingen van gegevens te melden voor zover de wet dat toestaat,
en de verplichting om gegevens zo beperkt mogelijk te verstrekken. Soms moet de
verantwoordelijke na onderzoek naar de CSP zelfs besluiten om bepaalde gegevens niet bij
een CSP onder te brengen.
In Annex 1 staat een aantal bepalingen die nuttig kunnen zijn bij het inschakelen van een
CSP voor verwerking van persoonsgegevens.
De EU streeft naar aanscherping van wet- en regelgeving
Conclusies
Klanten van een CSP moeten uitdrukkelijk aandacht hebben voor privacywetgeving die
verwerking van gegevens buiten de EER verbieden. Het gebruik van modelcontracten kan
hier uitkomst bieden. Ook aan technische oplossingen zoals het gebruik van European
Clouds of de toepassing van encryptie kan worden gedacht. Bij contracten met CSP’s is het
met oog op privacywetgeving bovendien aan te raden een aantal bijzondere verplichtingen
en rechten op te nemen. Deze staan verder uitgewerkt in Annex 1.
Klanten van een CSP dienen zich bewust te zijn van het risico dat gegevens die zij bij
een CSP opslaan in sommige gevallen toegankelijk zijn voor overheden, met name voor
de Amerikaanse overheid. De bevoegdheden die dit mogelijk maken zijn niet nieuw en de
risico’s moeten gezien worden in verhouding tot de voordelen die het gebruik van CSP’s
met zich mee kunnen brengen. Het blijft echter belangrijk hier bewust mee om te gaan. In
sommige gevallen kan het verstandig te zijn goed te overwegen of, hoe, welke en in welke
mate CSP’s gebruikt worden.
Een goede CSP gaat bewust om met de beschreven risico’s en kijkt tezamen met elke klant
afzonderlijk welke bedreigingen er zijn en of die risico’s voor die klant aanvaardbaar zijn
gezien de voordelen.
Een goede CSP denkt met klant mee
— 12 —
Annex 1; FAQ over de Wet Bescherming Persoonsgegevens
Wat is de Wet Bescherming Persoonsgegevens (WBP)?
De WBP regelt onder meer hoe en wanneer geautomatiseerde10 persoonsgegevens gebruikt
mogen worden en is de Nederlandse implementatie van de Europese Richtlijn 95/46/EC.
Deze Richtlijn is in de hele Europese Unie en een aantal andere landen geïmplementeerd.
De basisprincipes zijn daardoor binnen de Europese Unie grotendeels gelijk. Op detailniveau
bestaan er evenwel verschillen.
Wat is een persoonsgegeven?
Een persoonsgegeven is elk gegeven dat door diegene die er over beschikt redelijkerwijs
te herleiden is tot een identificeerbaar natuurlijk persoon, met de middelen die hem ter
beschikking staan.
Wanneer heb ik te maken met de WBP?
U heeft met de WBP te maken zodra een persoonsgegeven ‘verwerkt’ wordt. Bijna iedere
handeling met betrekking tot een persoonsgegeven is een verwerking, zoals het opslaan,
kopiëren, vergelijken, verzenden, comprimeren, versleutelen, enzovoorts. Ook het doorgeven
van persoonsgegevens aan een derde is een verwerking.
Wat zijn mijn verantwoordelijkheden?
• De partij die de doelen en de middelen van de verwerking van persoonsgegevens
bepaalt is eindverantwoordelijk voor de verwerking. Het inschakelen van een derde
partij, zoals een CSP, ontslaat u niet van deze verantwoordelijkheid. De WBP legt dan
meerdere verplichtingen op die men na moet komen.
• Er mag alleen voor een specifiek doel persoonsgegevens worden verwerkt, en dan
alleen de gegevens die voor dat doel echt nodig zijn.
• Gegevens mogen niet verder worden verwerkt voor doelen die onverenigbaar zijn
met degene voor wie ze zijn verzameld (als vuistregel: om verenigbaar te zijn moet de
betrokken persoon die verdere verwerking redelijkerwijs hebben kunnen verwachten
toen hij zijn gegevens verstrekte).
• De verwerking, het doel ervan, en de identiteit van de verantwoordelijke moeten worden
gemeld aan de betrokken personen. Daarnaast is in een aantal gevallen inschrijving in
het openbare meldingen register noodzakelijk.
• De verantwoordelijke moet zorgen voor afdoende technische en organisatorische
beveiliging (ook tegen verlies) van de persoonsgegevens, en voor de juistheid en de
nauwkeurigheid van de te verwerken gegevens;
• Men moet de betrokken personen expliciet in staat stellen om hun gegevens te kunnen
inzien, en waar nodig te corrigeren (of te verwijderen als ze niet meer nodig zijn).
10 Ook handmatige, niet geautomatiseerde verwerkingen van persoonsgegevens kunnen binnen het bestek van de WBP vallen. Nu deze buiten het domein vallen, laten wij deze onbesproken.
— 13 —
• Men moet een legitieme reden (‘grondslag’ in het jargon) hebben om persoonsgegevens
voor dat doel te verwerken, de meest voor de hand liggende redenen zijn;
• er is toestemming;
• de gegevens zijn noodzakelijk om een contract uit te kunnen voeren;
• de verwerking van gegevens is noodzakelijk om een wettelijke verplichting na
te komen;
• er is een gerechtvaardigd belang om de gegevens te verwerken, terwijl de privacy
van de betrokkene(n) minder zwaar weegt.
Waarop moet ik letten als ik een CSP inschakel?
Als men een CSP inschakelt om gegevens te verwerken, dan doet de CSP dat onder
de verantwoordelijkheid van de klant, als bewerker. Men moet in zo’n geval met de
CSP een bewerkersovereenkomst sluiten. Daarin moet zijn opgenomen dat de CSP de
persoonsgegevens vertrouwelijk behandelt, dat hij deze adequaat beveiligt, en dat de
persoonsgegevens alleen op instructie van de opdrachtgever verwerkt worden. Men moet
er ook op toezien dat de CSP deze verplichtingen naleeft, bijvoorbeeld door middel van
een audit. Met betrekking tot CSP’s is er bovendien een aantal andere zaken waarop men
extra moet letten. Het is belangrijk dat er in de overeenkomst met de CSP bepalingen zijn
opgenomen over11:
• beveiliging tegen verlies van de gegevens (zoals beschikbaarheid en back-up eisen);
• de juistheid en integriteit van de gegevens (zoals beveiligingseisen, logging en auditing);
• de mogelijkheid om gegevens bij een andere CSP onder te brengen indien nodig
(inclusief het recht op een kosteloze conversie naar gangbare bestandsformaten);
• de mogelijkheid om de gegevens te verwijderen wanneer ze niet meer nodig zijn,
inclusief eventuele back-ups van die gegevens en logdata (recht op verwijdering);
• de mogelijkheid om de CSP toe te staan dan wel te beletten om derde partijen in te
schakelen en de mogelijkheid om daar voorwaarden aan te verbinden;
• de mogelijkheid om informatie te krijgen over de locaties waar de CSP de
persoonsgegevens verwerkt (dit moet men overigens ook al vooraf bekijken);
• dat de CSP meldt als er ongeoorloofde toegang is geweest tot de persoonsgegevens
of als de CSP persoonsgegevens heeft moeten verstrekken op grond van een
wettelijk verplichting;
• verplichtingen voor de CSP om alle handelingen uit te voeren die nodig zijn om als
opdrachtgever aan de WBP te voldoen (zoals het laten inzien, corrigeren en verwijderen
van gegevens door betrokken personen);
11 Article 29 Data Protection Working Party – Opinion 05/2012 on Cloud Computing - http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf.
— 14 —
Wanneer mag ik gegevens buiten de EU verwerken?
Als een CSP persoonsgegevens buiten de EER12 wil (laten) verwerken, moet minstens één
van de volgende uitzonderingen van toepassing zijn:
a. de overdracht vindt plaats naar een bewerker of andere verantwoordelijke waarmee
een contract is afgesloten waarin de model contractbepalingen voor doorgifte zijn
opgenomen die zijn vastgesteld door de Europese Commissie;
b. de overdracht vindt plaats naar een bewerker in de U.S.A, die gecertificeerd is in het
Safe Harbor programma;
c. er is een vergunning van de Minister van Veiligheid en Justitie voor de overdracht;
d. men zelf kan garanderen dat het land een passend beschermingsniveau biedt (dit kan
eigenlijk niet zonder een volledige analyse van wetgeving en toezicht in dat land);
e. men heeft voor de overdracht ondubbelzinnige toestemming gekregen van de betrokken
personen;
f. de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen u en
de betrokken personen, of voor het nemen van precontractuele maatregelen die
noodzakelijk zijn voor het sluiten van een overeenkomst, naar aanleiding van een
verzoek van de betrokken persoon;
g. de doorgifte is noodzakelijk voor de sluiting of uitvoering van een overeenkomst die in
het belang van de betrokken persoon tussen u en een derde gesloten of te sluiten is
(denk hierbij aan contracten tussen CSP’s en onderaannemers);
h. de doorgifte is noodzakelijk vanwege een zwaarwegend algemeen belang, of voor
de vaststelling, de uitvoering of de verdediging van een recht in formele juridische
procedures.
i. de doorgifte is noodzakelijk ter vrijwaring van een vitaal belang (een belang van leven
of dood) van de betrokken persoon;
j. de doorgifte geschiedt vanuit een register dat bij wettelijk voorschrift is ingesteld en dat
voor een ieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan
beroepen, kan worden geraadpleegd, voor zover in het betrokken geval is voldaan aan
de wettelijke voorwaarden voor raadpleging;
Overdracht op grond van (e) tot en met (h) is alleen toegestaan voor overdrachten die niet
grootschalig of regelmatig plaatsvinden.13 Met betrekking tot verwerking door CSP’s bieden
deze gronden daarom doorgaans geen uitkomst.
12 Behalve Andorra, Argentinië, Australië, Canada, Faroer Eilanden, Guernsey, Isle of Man, Israel Jersey, Uruguay, Zwitersland. Deze landen beschermen persoonsgegevens voldoende.
13 Article 29 Data Protection Working Party Working Document 12/1998: Transfers of personal data to third countries: Applying Articles 25 and 26 of the EU data protection directive, Adopted by the Working Party on 24 July 1998 (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/1998/wp12_en.pdf).
— 15 —
Bij CSP’s biedt het gebruik van modelcontracten (uitzondering a) een goede basis.
Safe Harbor certificatie (uitzondering b), waarin een CSP zelf aangeeft een toereikend
beschermingsniveau te bieden, biedt alleen uitkomst als de gegevens uitsluitend in de
U.S.A. worden verwerkt, en juist bij CSP’s is dat niet altijd het geval Het verzoeken om een
vergunning bij de Minister (uitzondering c) voorziet in uitvoer naar een specifiek land, maar
levert in de praktijk een lange administratieve procedure op.
Als verwerking buiten de EER mogelijk is door toepassing van een van deze uitzonderingen
ontslaat dat de verantwoordelijke nog niet van de verplichtingen ten aanzien van de
verwerking van persoonsgegevens zoals hierboven genoemd.
Inschakelen van een derde partij ontslaat u niet van verantwoordelijkheid
Basisprincipes zijn in de EU grotendeels gelijk
Annex 2; Nieuwe wetgeving
In januari 2012 is door de Europese Unie het eerste concept van de Algemene verordening
gegevensbescherming (de Verordening) gepubliceerd. Het doel van de Verordening is om
(i) persoonsgegevens van de EU-burgers beter te beschermen, (ii) de huidige richtlijn en
nationale wetgevingen (zoals de WBP) te vervangen en (iii) de gegevensbescherming aan
te passen aan de technologische ontwikkelingen en globalisering in de 21e eeuw. Let wel,
de tekst van de Verordening is nog niet definitief. Gezien het aantal amendementen dat is
ingediend (meer dan 3000) is het waarschijnlijk dat de uiteindelijke tekst van de Verordening
substantieel zal afwijken van het voorliggende concept.
De meest relevante bepalingen van de concept Verordening zijn:
• De Verordening is rechtstreeks van toepassing in de hele Europese Unie en geldt voor
(i) een verantwoordelijke die is gevestigd in een lidstaat van de EU, ongeacht of het
verwerken van gegevens in de EU plaatsvindt of niet; en (ii) een verantwoordelijke die is
gevestigd in een niet-EU lidstaat die gegevens verwerkt in verband met het aanbieden
van goederen of diensten aan personen binnen de EU, of die gegevens verwerkt in
verband met het observeren van hun gedrag, al dan niet via internet. Er is een focus op
harmonisatie van de data protectie wetgeving binnen EU lidstaten.
• Een verantwoordelijke dient een beleid te ontwikkelen en effectieve maatregelen
te nemen om ervoor te zorgen dat de verwerking van persoonsgegevens verloopt
in overeenstemming met de Verordening. De Verordening vereist verder dat een
onderneming inzichtelijk maakt op welke wijze zij voldoet aan de bepalingen van de
Verordening (bijvoorbeeld een beschrijving van alle verwerkingen van gegevens die
plaatsvinden onder het gezag van de verantwoordelijke).
• Iedere onderneming of vestiging met meer dan 250 werknemers of elke organisatie
waarvan de kernactiviteit bestaat uit stelselmatig en systematisch monitoren van
— 16 —
personen, is verplicht een functionaris gegevensbescherming (data protection officer)
aan te wijzen. Deze functionaris houdt toezicht op de naleving van de Verordening
binnen de organisatie en brengt rechtstreeks verslag uit aan de leidinggevende.
• Er is een verplichting om aan de toezichthouder te melden als er inbreuk is gepleegd
op de data bescherming. Die melding moet zonder vertraging en – indien mogelijk –
binnen 24 uur geschieden. De verantwoordelijke moet, in principe, ook de betrokkenen
informeren over het geconstateerde datalek indien dit datalek negatieve gevolgen heeft
voor de privacy van de betrokkenen. Voor ondernemingen die in meerdere EU lidstaten
gegevens verwerken is het afdoende om te melden aan de toezichthouder in het land
waar de hoofdvestiging van die onderneming gevestigd is.
De beveiligingsbepaling in de Verordening is gelijk aan die uit de Richtlijn. Nieuw is wel
dat de risico’s die de verwerking en de aard van de te beschermen persoonsgegevens met
zich meebrengen geëvalueerd moeten worden. Hierop moeten de beveiligingsmaatregelen
gebaseerd worden.
De boetes voor niet-naleving van de bepalingen van de Verordening variëren tussen de 0,5%
en de 2% van de wereldwijde omzet van een organisatie. Voor organisaties of vestigingen
met minder dan 250 werknemers wordt bij een eerste, niet opzettelijke, overtreding een
waarschuwing gegeven.
Persoonsgegevens burgers EU beter beschermen
Annex 3; Bepalingen van Amerikaans Federaal Recht
Hieronder staan de bepalingen onder Amerikaans Federaal recht die de meest vergaande
bevoegdheden voor toegang tot data bij een CSP scheppen. Buiten beschouwing laten
we bepalingen die met uitgebreide waarborgen omkleed zijn, dan wel geen betrekking
hebben op inhoudelijke gegevens, maar enkel betrekking hebben op verkeersgegevens of
identificerende gegevens van gebruikers omvatten, of waarvan het onwaarschijnlijk is dat ze
tegenover een CSP worden toegepast,.14
ECPA 2703
Op grond van ECPA 2703 mogen Amerikaanse overheidsinstanties opgeslagen elektronische
gegevens opvragen in het kader van een onderzoek. De wijze waarop dit kan verschilt naar
gelang van (i) het soort gegevens (inhoud van de communicatie, gebruikers gegevens, of
andere gegevens) (ii) de duur waarvoor de gegevens opgeslagen zijn geweest (korter of
langer dan 180 dagen) en (iii) of de gebruiker van wie de gegevens opgevraagd worden
daarvan melding krijgt. Voor CSP’s is van belang dat alle soorten elektronische gegevens die
langer dan 180 dagen opgeslagen zijn geweest bij een CSP door een bevoegd ambtenaar
zonder gerechtelijk bevel opgevraagd kunnen worden, mits daarvan melding gemaakt wordt
14 Federal Rules of Criminal Procedure, Rule 41, Title 18 Section 2516, Title 18 Section 2709, Title 18 Section 3123, Title 50 Section 1804, Title 50 Section 1842. We laten de bepalingen van afzonderlijke Staten buiten beschouwing.
— 17 —
aan de betrokken gebruiker, en mits deze gegevens enige relevantie hebben voor het
lopende onderzoek. Met een gerechtelijk doorzoekingsbevel kunnen alle soorten gegevens,
ongeacht de duur van de opslag, opgevraagd worden.
FISA 1861
Op grond van USC Title 50, Section 1861 kan de directeur van de FBI, of een gemandateerde
agent van toereikend niveau van eenieder, dus ook een CSP, alle soorten opgeslagen
elektronische gegevens opvragen indien die relevant zijn voor een onderzoek naar spionage
of terrorisme, of indien ze nodig zijn om foreign intelligence information te verzamelen met
betrekking tot een buitenlands persoon.
Foreign intelligence information wordt ruim uitgelegd. Hieronder wordt, kort gezegd, alle
informatie verstaan die relevant is voor het vermogen van de Verenigde Staten om zich te
verdedigen. Dit omvat verdediging tegen (i) aanvallen van andere landen en tegen terroristen,
(ii) spionage, en (iii) de verspreiding van massavernietigingswapens. Ook alle informatie met
betrekking tot een land of regio die relevant is voor de buitenlandse betrekkingen van de
Verenigde Staten valt onder Foreign intelligence information.
Voor toepassing van deze bevoegdheid moet de FBI wél een gerechtelijk bevel vragen van
de Foreign Intelligence Surveillance Court; de waarborgen hiervan zijn echter beperkt tot
het voldoen aan de formele criteria die hierboven vermeld zijn. Deze beperkte toetsing is
een gevolg van het feit dat, anders dan Amerikaanse burgers, buitenlandse personen geen
beroep toekomt op bescherming door de fourth amendment van de Amerikaanse grondwet.
De fourth amendment ziet toe op het verbod op doorzoekingen en inbeslagname zonder
dat er sprake is van (i) een sterk vermoeden dat daarbij bewijs van een misdrijf zal worden
gevonden (ii) een gerechtelijk bevel en (iii) een specificatie van de te doorzoeken locatie en
het gezochte. Ook het verzamelen van elektronische gegevens valt hieronder.15
FISA 1881a
Section 1881a, maakt het mogelijk voor de Director of National Intelligence, of de Attorney
General, om zonder een specifiek gerechtelijk bevel een CSP te bevelen om medewerking
te verlenen aan het verzamelen van elektronische gegevens betreffende bepaalde personen,
groepen, of regio’s.16
15 Buitenlandse personen kunnen überhaupt geen beroep doen op de bescherming van de Amerikaanse grondwet. Ze worden ook in andere wettelijke bepalingen achtergesteld bij Amerikaanse staatsburgers. De definitie van Foreign Intelligence Information ten aanzien is bijvoorbeeld subtiel anders, ten aanzien van Amerikanen. Bij hen dient de gezochte informatie niet relevant, maar noodzakelijk te zijn.
16 Dit komt niet duidelijk uit de wettekst naar voren, maar blijkt uit het handboek ‘David S. Kris J. Douglas Wilson - National Security Investigations and Prosecutions.
— 18 —
In plaats van een gerechtelijk bevel, wordt er een jaarlijkse autorisatie gevraagd om gegevens
betreffende bepaalde doelwitten te verzamelen. De specifieke aanbieder bij wie de gegevens
verzameld worden, hoeft echter niet opgenomen te zijn. De verzameling van gegevens
moet voornamelijk, maar niet uitsluitend, noodzakelijk zijn met het oog op het verzamelen
van foreign intelligence information. Verder mag de verzameling van gegevens niet bewust
gericht zijn op Amerikaanse personen, of op binnenlandse communicatie in de Verenigde
Staten en mag de fourth amendment van de Amerikaanse grondwet niet geschonden
worden. Zoals hierboven vermeld, biedt de fourth amendment voor buitenlandse personen
helaas geen bescherming.
De precieze bevoegdheden onder Section 1881a en de manier waarop ze worden toegepast
is op dit moment onduidelijk, de bewoording lijkt breed genoeg om zowel tapbevoegdheden
als toegang tot opgeslagen gegevens te omvatten.17 Bovendien veronderstelt subsection (h)
(1)(A) een vergaande medewerkingsplicht van de CSP, het lijkt erop dat deze gedwongen
kan worden specifiek voor het gebruik van deze bevoegdheden faciliteiten te bieden.
Onthulling over het PRISM programma lijken daar op te wijzen, maar duidelijk is dit nog niet.
Gag Order
Met betrekking tot de beide FISA bepalingen, kan steeds een zogenaamd ‘gag order’
worden opgelegd, ofwel een verbod om melding te maken van ontvangst van het verzoek
om gegevens. Hiertegen kan een CSP zich verzetten. Hier geldt wederom echter dat
buitenlandse personen in ieder geval geen bescherming toekomt op grond van de fourth
amendment.
Frequentie van gebruik
Er is beperkt informatie bekend over het gebruik van de FISA bevoegdheden: Weliswaar
wordt er jaarlijks een rapportage opgesteld met betrekking tot FISA orders18 , maar daaruit
blijkt slechts dat over 2012 op grond van FISA 1861, 212 verzoeken zijn gedaan, en dat
deze allen zijn toegewezen. Over het algemeen kan dus worden gesteld dat het aantal
informatieverzoeken op grond van deze bepaling redelijk beperkt is (over het volume per
verzoek is weinig te zeggen). Over het gebruik van FISA1881a bestaan helaas geen
statistieken. De onthullingen over PRISM in de zomer van 2013, indien zij kloppen, wijzen er
op dat van deze bevoegdheid grootschalig gebruik wordt gemaakt.
In de praktijk kunnen alle gegevens opgevraagd worden
17 Erwin, Marshall C. en Liu, Edward C., NSA Surveillance Leaks: Background and issues for Congress, (July 2, 2013), blz. 7 en Van Hoboken, Joris V. J., Arnbak, Axel and Van Eijk, Nico, Cloud Computing in Higher Education and Research Institutions and the U.S.A. Patriot Act (November 27, 2012). Available at SSRN: http://ssrn.com/abstract=2181534 or http://dx.doi.org/10.2139/ssrn.2181534, blz 19.
18 Statistieken voor meerdere jaren zijn beschikbaar op: http://www.fas.org/irp/agency/doj/fisa/
— 19 —
Annex 4; Cases
Ter verduidelijking van de nogal complexe materie met betrekking tot toegang tot gegevens
in de cloud door Amerikaanse autoriteiten worden hieronder in kort bestek twee fictieve
cases behandeld. In deze cases wordt de uitgebreidere informatie van de bepalingen van
Amerikaans Federaal Recht, opgenomen in Annex 3, meegenomen.
Cloud Computing
Een in Nederland gevestigd encryptie softwarebedrijf, heeft geen vestigingen in de
Verenigde Staten, en doet daar ook niet continue en stelselmatig zaken. Haar werknemers
zijn Nederlanders. Het software bedrijf beschikt over een bestand van persoonsgegevens
van haar klanten, dat zij in haar kantoor te Nederland heeft staan. Het bedrijf heeft een
applicatie ontwikkeld om voor elke klant relevante aanbiedingen te selecteren en te
verzenden. Deze applicatie draait binnen de Amazon Elastic Cloud Compute dienst, op een
cloud infrastructuur die geheel binnen Europa gesitueerd is.
Ongeacht welke Amazon entiteit exact de clouddienst levert, waarschijnlijk valt in ieder
geval één Amazon entiteit die ‘possession, custody or control’ over de gegevens heeft onder
de rechtsmacht van de Verenigde Staten. Dit is onder meer waarschijnlijk omdat de door
Amazon gescheiden cloud infrastructuur met het oog op back-up voorzieningen in geval van
calamiteiten toegang hebben tot infrastructuur in andere regio’s. De regionale netwerken
zijn dus niet in die mate afgeschermd dat er geen communicatie over en weer kan optreden.
Het is voorts niet ondenkbaar dat het bestand van personen die encryptiesoftware hebben
aangeschaft relevant is voor het vermogen van de Verenigde Staten om zich te verdedigen
tegen aanvallen van terroristen. Nagaan of bekende terroristengroeperingen de software
aankopen valt derhalve onder foreign intelligence information. Autoriteiten in de Verenigde
Staten kunnen daarom in beginsel toegang krijgen hiertoe, onder andere door gebruik te
maken van de bepalingen van FISA 1881a. Als alternatief kan ook FISA 1861 aangewend
worden. ECPA 2703 is ook bruikbaar indien de informatie relevant is bij een strafrechtelijk
onderzoek. Indien Amerikaanse autoriteiten inderdaad toegang verzoeken, is het goed
mogelijk dat er een gag order opgelegd wordt, zodat het Nederlandse bedrijf in beginsel
nooit te weten komt dat deze persoonsgegevens bij Amazon worden opgevraagd en het niet
aan haar klanten kan melden.
Ministerie van Binnenlandse Zaken
Het Ministerie van Binnenlandse Zaken heeft biometrische gegevens, vingerafdrukken
om specifiek te zijn, van de gehele Nederlandse bevolking in beheer. Zij heeft de
informatietechnologievoorziening hiervoor ge-outsourced in Belfast, bij een lokale IT
dienstverlener. Dit omvat ook de opslag van al deze gegevens en het hosten van de applicatie
waarmee deze benaderd kunnen worden voor identiteitsverificatie.
De IT dienstverlener heeft geen vestigingen of groepsmaatschappijen in de Verenigde
Staten, doet daar ook niet continue en stelselmatig zaken, en heeft geen Amerikaanse
werknemers. Zij maakt echter wel gebruik van een onderaannemer waar in parallel een back-
up van de applicatie en de databank met persoonsgegevens draait. De onderaannemer kan
zich voor support doeleinden toegang verschaffen tot die applicatie en tot de databank. Deze
onderaannemer heeft een vestiging in de Verenigde Staten.
Ook hier kan de Amerikaanse overheid zich toegang verschaffen tot de opgeslagen
gegevens, nu de onderaannemer onder Amerikaans rechtsmacht valt, en toegang heeft tot
de gegevens. Ook hier valt goed te beargumenteren dat deze gegevens foreign intelligence
information bevatten. Om een dwarsstraat te noemen, de Verenigde Staten zouden bij hen
bekende vingerafdrukken van vermeende terroristen kunnen
matchen met de Nederlandse databank. Toegang via FISA 1881a en FISA1861a lijkt dus
open te staan. Hier geldt wederom dat door een gag-order op te leggen, het mogelijk is
dat het Nederlandse Ministerie nooit op de hoogte raakt van toegang door de Amerikaanse
Autoriteiten. ECPA 2703 is hier in beginsel ook bruikbaar indien de informatie relevant is bij
een strafrechtelijk onderzoek.
Als gag-orders worden opgelegd is het moeilijk voor de Nederlandse overheid om de acties van de Amerikaanse
autoriteiten te achterhalen.
Q u i n t W e l l i n g t o n R e d W o o d
i n f o@Quin tG roup .com Q u i n t G r o u p . c o m
Quint Wellington Redwood – kortweg ‘Quint’ – is een toonaangevend, onafhankelijk managementadviesbureau dat zich volledig toelegt op het
oplossen van IT-gerelateerde organisatievraagstukken. De dienstverlening is grensoverschrijdend en strekt zich uit over 49 landen en vier
continenten. Quint richt zich in het bijzonder op strategie, innovatie, sourcing, regie en Lean IT, waarbij wereldwijd best practices worden
ontwikkeld en geïmplementeerd.
Quints portfolio van diensten omvat onder andere Consulting, Benchmarking en Opleidingen en is geïntegreerd in verschillende business- en
IT-domeinen. Met het motto “Dare to Challenge”, daagt Quint zichzelf en haar klanten voortdurend uit om ingrijpende prestatieverbeteringen,
een betere concurrentiepositie en meer toegevoegde waarde te realiseren. Quint vindt niet alleen de organisatie van haar klanten opnieuw uit,
maar ook de consultancybranche zelf!
Meer informatie over Quint vindt u op www.quintgroup.com
© Copyright 2013, Quint Wellington Redwood. All rights reserved. No part of this publication may be reproduced, transferred and/or shown to third parties without the written consent of The Quint Wellington Redwood Group.