Overheden mogen van het kabinet onder strikte voorwaarden gebruikmaken van clouddiensten van commerciële bedrijven, maar experts zijn er allerminst gerust op. Dirk-Willem Van Gulik en Frederik Zuiderveen Borgesius waarschuwen tegenover AG Connect voor rechtszaken en het in gevaar brengen van de digitale soevereiniteit in Nederland.

Clouddiensten als WeTransfer en OneDrive gebruiken was voor ambtenaren op het werk lange tijd verboden. Nu zijn ze onder ‘strikte voorwaarden op het gebied van beveiliging en privacy’ toch toegestaan. Er gelden wel restricties, zoals geen staatsgeheimen opslaan of het gebruiken van clouddiensten uit landen met een offensief cyberprogramma. Ondanks die beschermende beperkingen valt er één en ander af te dingen op het besluit commerciële clouds toe te staan voor overheidsgebruik. Grondlegger van diverse internetprotocollen Dirk-Willem van Gulik en hoogleraar ICT & Recht Frederik Zuiderveen Borgesius van de Radboud Universiteit zien diverse risico’s ontstaan na dit besluit.

Schrems II-uitspraak

Zo wijzen Van Gulik en Zuiderveen Borgesius beiden op de Schrems II-uitspraak; de zaak waarin het Europees Hof het Privacy Shield tussen Europa en de Verenigde Staten nietig verklaarde. Bedrijven mogen sindsdien niet langer gegevens van Europese burgers mogen uitwisselen met de VS, omdat de bescherming van gegevens daar volgens het Hof van een lager niveau is. Populaire commerciële cloudaanbieders zijn vrijwel allemaal Amerikaans. “Het geklapte Privacy Shield maakte de gegevensoverdracht eerder nog mogelijk, maar een vervanger hiervoor is voorlopig ver weg”, zegt Van Gulik.

“Ook de ‘standard contractual clausules’ waarmee bedrijven gegevensoverdracht alsnog mogelijk maakten, zijn door het Europees Hof van tafel geveegd”, vertelt Van Gulik. Hij vreest vooral Amerikaanse wetgeving die het de overheid van de VS toestaat om gegevens van Europeanen op te vragen bij commerciële cloudaanbieders. “Het gaat daarom juridisch vastlopen, want het gebruik van Amerikaanse cloudaanbieders is in conflict met de Schrems II-uitspraak.”

Privacywaakhonden en oplettende burgers?

Zuiderveen Borgesius ziet op juridisch vlak eveneens de nodige risico’s ontstaan. “Er is een kans dat de Europese privacytoezichthouder European Data Protection Board (EDPB) besluit dat de publieke sector persoonsgegevens niet in de cloud van non-EU cloudleveranciers mag verwerken. Dit vanwege het risico op toegang door buitenlandse opsporings- en inlichtingendiensten. De EDPB is bezig met een onderzoek naar cloudgebruik door de publieke sector, en verwacht de resultaten voor het eind van dit jaar te publiceren.”

Ook Van Gulik denkt dat de kans aanwezig is dat de EDPB besluit tot zo'n 'verbod' voor overheidsorganisaties. “De kans bestaat dat men straks stomverbaasd is als er een privacytoezichthouder gaat ingrijpen als de overheid Amerikaanse clouds gaat gebruiken. Het kan ook dat de AP het allemaal laat gebeuren, met als gevolg dat burgers zelf naar de rechter stappen om af te dwingen dat ze daarmee stoppen. Dit gebeurde eerder al met gemeenten die WhatsApp gebruikten om met burgers te communiceren.”

De grondlegger van de Apache Software Foundation vreest dat Nederland met het toestaan van commerciële cloudaanbieders bij de overheid digitale soevereiniteit gaat inleveren. “Als je als land zijnde geen controle hebt over dit soort fundamentele zaken, dan valt je basis weg en dat kan verdomd vervelend worden in bepaalde situaties. We zien dit nu bij de gasvoorraad die niet in beheer is van ons eigen land, maar bij een zekere Russische meneer. Het is zaak dat we onze soevereiniteit op digitaal gebied dus behouden.”