Nog veel vraagtekens rondom identificatieplicht IaaS-providers VS

“Dit doet de industrie geen goed, en de lage drempel om infrastructuur te huren ook niet”, meent Michiel Steltman, directeur van DINL, die aanbieders van digitale infrastructuur in Nederland vertegenwoordigd.

“Dit is een lastig verhaal”, zegt Steltman in een reactie aan AG Connect. “Het probleem is dat hierdoor de juridische spagaat waar Amerikaanse cloudbedrijven al in zitten wordt vergroot. Het decreet komt bovenop Schrems II.”

Met Schrems II verwijst Steltman naar de rechtszaak die ertoe leidde dat het Privacy Shield klapte. Het Privacy Shield was de regelgeving voor doorgifte van data naar landen buiten de EU, en dan vooral naar de VS. Maar volgens het Europees Hof was de bescherming van persoonsgegevens in de VS minder goed dan in de Europese Unie. Daarom werd besloten een streep te zetten door het Privacy Shield, waardoor de gegevensdeling officieel moet worden stilgelegd. De Autoriteit Persoonsgegevens handhaaft hier echter niet op.

Steltman vreest nu dat met er het decreet van Trump weer een extra verplichting vanuit de VS uitkomt die strijdig is met de Europese wetgeving. “Dit zal het probleem eerder vergroten dan verkleinen. Het lijkt heel waarschijnlijk dat partijen zich weer in extra bochten moeten wringen om te bewijzen dat ze zich aan de regels houden. En de problematiek voor huidige afnemers van die partijen wordt ook groter. Je zult maar bij Microsoft zitten en van de AP te horen krijgen dat dat in strijd is met de AVG. Wat ga je dan doen? Je kunt je workload niet zomaar verkassen.”

Nog veel speculatie

Zo’n vaart loopt het echter nog niet. Met het decreet is nog geen wet ingesteld, maar heeft het ministerie van Handel opdracht gekregen om regels op te stellen voor cloudproviders. Of die regels daadwerkelijk in strijd zijn met de Europese privacyregels, is dus nog niet duidelijk. De Autoriteit Persoonsgegevens was niet direct beschikbaar om te reageren op vragen van AG Connect. Bovendien kan de nieuwe president Joe Biden bijvoorbeeld met een eigen decreet nog een stokje voor het nieuwe beleid steken. 

Brancheorganisatie NLdigital zegt in een reactie aan AG Connect dan ook dat het nog te vroeg is om op juridisch gebied al wat te kunnen zeggen over de gevolgen van het decreet. “Zoals het er nu uitziet is het in het ergste geval een niet-effectief beleid”, aldus een woordvoerder.

Ook Steltman erkent dat het vooralsnog vooral bij speculatie blijft, zeker wat betreft de gevolgen voor Nederlandse bedrijven. “We weten niet wat de Autoriteit Persoonsgegevens hiervan gaat zeggen. En voor veel bedrijven is het niet per se een groot probleem. Zij kunnen hun KvK-nummer wel overleggen, zoals dat heet. Mogelijk is dat voldoende. Maar het zet de breekbare relatie met Amerikaanse partijen wel nog verder onder druk.”

Weinig effectief

Zelfs al wordt het beleid wel ingezet, dan nog is maar de vraag hoe effectief het beleid is. “Het is bedoeld om aanvallen op Amerikaanse doelen te voorkomen. Maar je kunt ook een server in China of ergens anders in de wereld huren en vanaf daar een aanval op Amerikaanse doelen uitvoeren.”

Ook securityspecialisten zetten eerder al vraagtekens bij de effectiviteit van het beleid. Kwaadwillenden kunnen gemakkelijk vervalste identificatiegegevens gebruiken om hun IaaS-gebruik te faciliteren.

“Er is een enorm uitvoerbaarheidsprobleem”, meent ook Steltman. “Hoe ga jij iemands identiteit verifiëren? Ga je langs de deur? Moeten klanten hun paspoort gaan mailen? En hoe weet je dan of die wel echt zijn? Er zijn wel honderd manieren om je identiteit te verhullen op het internet.”