U bent hier

Cloud diensten in hoger onderwijs en onderzoek en de USA Patriot Act

TitelCloud diensten in hoger onderwijs en onderzoek en de USA Patriot Act
PublicatietypeRapport
Publicatiejaar2012
Auteursvan Hoboken, J.V.J., Arnbak A. M., & van Eijk N.A.N.M.
Subsidiary AuthorsKruijssen, N.
Publicatiedatum09/2012
UitgeverInstituut voor Informatierecht, Amsterdam
Plaats uitgaveAmsterdam
TaalNL
RefMan9602
Samenvatting

De overgang naar cloud computing levert de nodige vragen op. Een van de terugkerende vragen is of deze overgang consequenties heeft voor de toegang tot gegevens door buitenlandse overheden. Daarbij wordt typisch verwezen naar de Amerikaanse overheid en de zogenaamde Patriot Act, die het mogelijk zou maken dat gegevens van Nederlandse gebruikers van cloud diensten worden opgevraagd vanuit de VS. Deze notitie beantwoordt in opdracht van SURFdirect1 de vraag in hoeverre dat het geval is, vanuit het perspectief van de kennisinstellingen in Nederland. Verder onderzoekt deze notitie de vraag hoe het beste omgegaan zou moeten worden met dit risico.

Er kan worden vastgesteld dat de Patriot Act een symboolfunctie is gaan spelen in het debat. Daarom wordt in deze notitie niet alleen gekeken naar deze specifieke wetgeving uit 2001, maar naar het bredere juridisch kader in de VS en Nederland voor wat betreft de toegang tot gegevens in het kader van strafvordering en nationale veiligheid. De notitie plaatst het vastgestelde juridische risico vervolgens in breder perspectief door te kijken naar de organisatie van de vertrouwelijkheid en veiligheid van gegevens in het algemeen. Op basis van de gemaakte analyse worden tenslotte aanbevelingen gedaan voor geïnformeerde besluitvorming in de sector.

Het antwoord op de gestelde vraag naar de mogelijkheden op toegang tot gegevens in de cloud voor justitie en veiligheidsdiensten in de VS is tegelijk simpel en complex. Wetgeving in de Verenigde Staten en Nederland zorgt ervoor dat politie, justitie of veiligheidsdiensten linksom of rechtsom een mogelijkheid hebben om gegevens van kennisinstellingen en betrokkenen op te vragen. De overgang naar cloud computing brengt hier in beginsel geen verandering in. Indien gebruik gemaakt wordt van een cloud dienst die onder Amerikaanse jurisdictie valt bestaat er de mogelijkheid dat gegevens direct in de VS bij de betreffende onderneming worden opgevraagd. Indien er geen jurisdictie is, bestaat de mogelijkheid dat gegevens worden opgevraagd via samenwerking met Nederlandse justitie of veiligheidsdiensten, bij een cloud dienst of bij de instelling zelf. Het voorkomen dat enige toegang plaatsvindt is gezien deze stand van zaken in elk geval juridisch niet mogelijk en garanties op dat punt zijn dus ook niet te geven.

Tegelijkertijd bestaan er significante verschillen tussen de mogelijkheden tot toegang door Amerikaanse autoriteiten. Zo is er in het geval dat gegevens direct opgevraagd kunnen worden bij de cloud dienst onder Amerikaanse wetgeving zeer beperkte rechtsbescherming voor Nederlandse gebruikers van deze dienst, terwijl zulke rechtsbescherming wel geldt in het geval van bevragingen onder Nederlandse wetgeving. De Amerikaanse constitutionele waarborgen op het gebied van bevragingen door de Amerikaanse overheid zijn niet van toepassing op Nederlandse gebruikers van de cloud. En de rechtsbescherming in specifieke Amerikaanse wetgeving ziet voornamelijk op Amerikaanse burgers en ingezetenen.

De betreffende Amerikaanse wetgeving biedt tegelijkertijd ruime mogelijkheden gegevens uit de cloud op te vragen, een mogelijkheid die in het geval van veiligheidsdiensten erg laagdrempelig is te noemen. Het gaat daarbij nadrukkelijk niet slechts om de Patriot Act uit 2001, maar om een complex en dynamisch geheel aan bevoegdheden van de Amerikaanse overheid op het gebied van opsporing en nationale veiligheid. Buiten het schetsen van het wettelijk kader, is er gezien het karakter van het handelen van deze diensten in de praktijk geen zicht te krijgen op de werkelijke bevragingen van gegevens vanuit de VS. Ondernemingen zullen typisch geen enkele mededeling kunnen doen over de vraag of bevragingen plaatsvinden. Wel is te verwachten dat het opvragen van gegevens uit de cloud door overheden zal toenemen. Het gebrek aan aandacht in de VS voor de belangen van vertrouwelijkheid van gegevens van niet-Amerikanen maakt de situatie er vanuit Nederlands perspectief niet beter op. Het verdient opmerking dat het gaat om een onderwerp dat reeds op de agenda is geplaats in het Nederlandse parlement, alsmede in Brussel bij het Europese Parlement, de Europese Commissie en de Artikel 29 Werkgroep voor gegevensbescherming.

Deze notitie concludeert dat het voor de instellingen zaak is om zicht te krijgen en blijven hebben op de verschillende modaliteiten van toegang door justitie en veiligheidsdiensten en de daarmee samenhangende risico’s voor kennisinstellingen goed in kaart te brengen. Het verdient aanbeveling deze observatie deel te laten uitmaken van een algemene maatschappelijke kosten-baten analyse, waarin alle op het spel staande belangen op het gebied van de informatiehuishouding worden meegenomen. Daarbij moet gedacht worden aan de belangen van informatieveiligheid, en vertrouwelijkheid, de privacy van betrokkenen, alsmede de voor de instellingen karakteristieke belang van de academische vrijheid en het gevaar van chilling effects op het gedrag van betrokkenen. Het is aan te bevelen binnen de sector een risicoanalyse te maken op basis van een categorisering van de verschillende soorten gegevens die het onderwerp zou kunnen worden van bevragingen. Voor gegevens waarvoor het risico onaanvaardbaar wordt geacht dat deze daadwerkelijk in handen zouden kunnen komen van een buitenlandse overheid, zonder dat daarover enige transparantie bestaat, zouden alternatieven ontwikkeld kunnen worden binnen de sector.

Dat toegang door overheden plaatsvindt is uiteraard geen nieuw gegeven. De te maken afwegingen bij de overgang naar cloud computing kunnen voortbouwen op binnen de instellingen bestaande protocollen, voorlichting en afwegingen ten aanzien van daadwerkelijke bevragingen. Het onderwerp dient bij het aangaan van cloud diensten besproken te worden en voorkomen moet worden dat op dit punt schijnzekerheden worden geboden door cloud providers. De mogelijkheid dat bevragingen vanuit het buitenland plaatsvinden is geen risico dat door middel van contractuele waarborgen kan worden uitgesloten en Nederlandse wetgeving op het gebied van privacy is ook geen waarborg. De vraag of een onderneming onder Amerikaanse jurisdictie valt, hetgeen al snel het geval is, dient door de betreffende onderneming zelf en overtuigend beantwoord te kunnen worden. Het is een hardnekkige misvatting dat er geen jurisdictie bestaat onder Amerikaans recht als de gegevens niet op Amerikaans grondgebied zijn opgeslagen. Het criterium in dit kader is of de cloud provider structureel activiteiten binnen de VS ontplooit, bijvoorbeeld door een vestiging te hebben, of onderdeel te zijn van een in de VS gevestigde onderneming die controle heeft over de betreffende gegevens.

Door de overgang naar cloud diensten zal in beginsel sprake zijn van een vermindering van de autonomie van de instellingen ten aanzien van de omgang met bevragingen. Daarom dient goed gekeken te worden naar de specifieke risico’s bij bepaalde categorieën van gegevens, waaronder de vraag of er gegevens zijn waarvoor dit gebrek aan autonomie onaanvaardbaar is. Verantwoordelijken binnen de instellingen dienen verder te beseffen dat het geen probleem betreft dat na een enkele besluitvormingsronde van tafel is. Het betreft een onderwerp dat een heldere plaats dient te krijgen in de doorlopende besluitvorming over cloud computing in de sector. Er dient op hoog niveau meegedacht te worden over alternatieven die betere rechtsbescherming zouden kunnen bieden. De gedachtevorming over een nationale cloud kunnen hier een uitkomst bieden. Er kan vanuit de sector input geleverd worden voor het politieke debat over de ruime jurisdictie en toegang die de Amerikaanse overheid zich toebedeelt. En er dient voorkomen te worden dat lock-in het onmogelijk maakt dat voortschrijdend inzicht kan leiden tot nieuwe besluitvorming over dit complexe onderwerp.

 

URLhttps://www.surf.nl/kennis-en-innovatie/kennisbank/2012/onderzoeksrapport-clouddiensten-in-hoger-onderwijs-en-onderzoek-en-de-usa-patriot-act.html
Citation Keyref_9602
Share/Deel