Management

Juridische zaken
Hamerslag

Patriot Act maakt cloudopslag onzeker

© Shutterstock
25 mei 2012

Sommige cloud service providers (CSP’s) claimen dat gegevens bij hen veilig zijn voor inzage door de Amerikaanse overheid. Wees wel gewaarschuwd, want een Amerikaanse CSP die roept dat hij zijn systeem bestand heeft gemaakt tegen de Patriot Act (PA), begeeft zich op glad ijs. “Alle data die opgeslagen worden door een Amerikaans bedrijf of een bedrijf met een vestiging in de VS, zoals Gmail, Facebook en Twitter, zijn vatbaar voor een inzageverzoek op grond van de Patriot Act. Ook al staan de servers in Europa, dan nog kan de Amerikaanse overheid de data inzien. De CSP’s zijn Amerikaans, dat telt”, zegt Jantine de Jong, legal counsel bij advocatenkantoor Arthur’s Legal uit Amsterdam.

Alleen Europese aanbieders kunnen – afhankelijk van de omstandigheden – de claim waarmaken dat de in hun cloud opgeslagen gegevens beschermd zijn tegen priemende blikken van de Amerikaanse autoriteiten. Een voorbeeld is CloudSigma uit Zürich, dat in wat omfloerste termen duidelijk maakt dat hun cloud uitsluitend onder de Zwitserse wetten valt, aangezien alle apparatuur en toebehoren zich binnen de grenzen van dat land bevindt. Een echt harde bewering dat de gegevens veilig zijn voor de Patriot Act wordt niet meer gedaan.

“De reikwijdte van de Patriot Act is vastgelegd in de Amerikaanse grondwet en daaruit valt af te leiden dat inzageverzoeken die op grond van de Patriot Act worden uitgevaardigd, gelden voor CSP’s die gevestigd zijn in de VS, daar een vestiging hebben of die systematisch zakelijke activiteiten ontplooien in de VS. Zelfs al is de data buiten de VS opgeslagen. Maar ook de aard en locatie van de cloudgebruiker is relevant. Iemand die zijn data bij een zuiver Europese CSP heeft opgeslagen, maar zelf wel zaken doet in of met de VS of daar een vestiging heeft, valt ook onder de jurisdictie van de Patriot Act”, zegt De Jong.

Als mensen gegevens hebben die ze niet willen laten zien aan de Amerikaanse overheid, dan zullen ze een andere manier van opslag moeten kiezen. Eentje waarbij absoluut zeker is dat er geen enkele link naar de VS kan worden gelegd. Opslag in een geheel eigen opslagsysteem, bijvoorbeeld, of in een aparte datakluis. Ze missen dan wel de voordelen van de cloud, zoals lagere kosten, eenvoudige back-up en dergelijke, maar hebben meer grip op hun data.

Europese wetten

Niet alleen de Patriot Act kan worden ingeroepen om inzage te krijgen in data. “De VS kunnen gebruikmaken van een Mutual Legal Assistance Treaty (MLAT), een afspraak met andere landen om gegevens uit te wisselen voor opsporing of wanneer het vermoeden van strafbare feiten bestaat”, zegt De Jong. Vergelijk dit maar met het opvragen van de gegevens achter een buitenlands kenteken als een snelheidsovertreding is geconstateerd.

CSP’s hebben het ook niet makkelijk, ze worstelen met het feit dat de Patriot Act direct conflicteert met nieuwe Europese regelgeving. Het gaat om de Data Protection Regulation die op dit moment door het Europese Parlement behandeld wordt. De Jong: “CSP’s komen zo in een spagaat, omdat deze richtlijn slechts onder bepaalde voorwaarden toelaat dat informatie verstrekt wordt aan andere landen. Weigering van een verzoek op grond van de PA kan echter weer tot sancties vanuit de VS leiden. Dit jurisdictieconflict zorgt voor rechtsonzekerheid en baart ook Europarlementariërs zorgen. We zijn benieuwd hoe de VS en de Europese Commissie hier uit gaan komen.” 

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!