Cloud Computing
White Paper
Privacy in de Cloud
Een white paper over de gevolgen van de Wet Bescherming Persoonsgegevens, Patriot Act en PRISM voor Cloud Computing. Auteur: Rolf Kuijpers Cloudcomputing, het betrekken van IT-diensten vanuit een externe bron én het opslaan en verwerken van data in een externe IT-omgeving, wordt een steeds belangrijker fenomeen in de IT wereld. Omdat die externe IT-omgeving niet aan een fysieke locatie is gebonden en privacy wetgeving niet altijd toestaat dat persoonsgegevens buiten de Europese Economische Regio verwerkt worden, is aandacht voor de bescherming van privacy geboden. Zeker nu bekend is geworden hoe vergaand de bevoegdheid van sommige overheidsdiensten kan gaan. Quint Wellington Redwood heeft op basis van haar ervaringen in de praktijk een inventarisatie gemaakt van de belangrijke aandachtsgebieden rond ‘privacy in de cloud’. Dit white paper vormt hiermee een uitstekend vertrekpunt voor diegenen die zich op het privacyvraagstuk in cloud-omgevingen oriënteren. U krijgt relevante informatie over de wet- en regelgeving in verschillende landen en over de impact daarvan op informatieverwerking.
D a r e
t o
C h a l l e n g e
Managementsamenvatting Naarmate meer gegevens worden verwerkt en opgeslagen in zogenaamde cloudomgevingen, wordt aandacht voor bescherming van die gegevens steeds belangrijker. Het gaat daarbij vooral om de vraag hoe gegevens beschermd worden tegen misbruik of oneigenlijk gebruik en hoe men gegevens kan vrijwaren van inzage door overheidsdiensten. Die vraag spitst zich toe op bescherming van persoonsgegevens. De wetenschap dat overheden onder bepaalde omstandigheden gebruik kunnen maken van een wettelijke bevoegdheid om inzage te krijgen in opgeslagen data leidt tot een spanningsveld. Het zijn de overheden die strenge eisen stellen aan bescherming van persoonsgegevens, onder meer door het opstellen van privacy-wetgeving. Maar diezelfde overheden kunnen met een beroep op de nationale veiligheid elke wetgeving terzijde schuiven en zich schijnbaar onbelemmerd toegang tot privégegevens verschaffen. Omdat cloudoplossingen per definitie grensoverschrijdend zijn, is het vrijwel onmogelijk om te bepalen wat de fysieke locatie van data is. Derhalve is ook niet duidelijk welke wet- en regelgeving van toepassing is, wat betekent dat er geen zekerheid gegeven kan worden over de veiligheid van opgeslagen data. Een bijkomend probleem is dat het op individuele basis uitvoeren van een audit een onuitvoerbare opdracht is. Cloudomgevingen zijn niet aan een fysieke locatie gebonden en kunnen zelfs variabel zijn. Dat maakt onderzoek naar een cloudomgeving praktisch onmogelijk. Daarnaast zijn de meeste leveranciers van cloud oplossingen niet gecharmeerd van steeds weer nieuwe audits die elk een ander referentiekader als uitgangspunt hebben. In deze white paper worden deze spanningsvelden beschreven en wordt gezocht naar oplossingen die tegemoet komen aan de voordelen van cloud oplossingen versus de belemmeringen die ontstaan door nationale wet- en regelgeving.
Individuele audit is praktisch onmogelijk Inleiding Het gebruik van informatievoorziening in ons dagelijks leven legt specifieke verantwoordelijkheden bij gebruikers en aanbieders van informatiediensten. Het is dan ook een uitdaging voor beleidsmakers om deze verantwoordelijkheden wettelijk in goede banen te leiden. Daarbij dienen ze rekening te houden met het toenemende belang van de informatievoorziening en met de globalisering van IT-diensten. Een extra complicatie voor hen is het beschermen van de nationale veiligheid zonder inbreuk te plegen op het in de grondwet verankerde recht op privacy van burgers. Het vraagstuk rond de mogelijkheden die een overheid heeft om toegang te krijgen tot gegevens van een individu of van een organisatie speelt al geruime tijd. Al in 1948 schreef George Orwell het boek ‘1984’, waarin hij de totalitaire staat die bij het individu ‘achter de —2—
voordeur’ kon kijken, voor het voetlicht bracht. Begin 2013 drukte klokkenluider Edward Snowden ons nog eens met de neus op de feiten door de praktijken van de Amerikaans overheid aan de kaak te stellen. Deze heeft onder meer met behulp van het programma PRISM inzage in grote hoeveelheden persoonsgegevens. Eén van de gevolgen hiervan is dat er veel vragen gerezen zijn over het gebruik en de inzet van clouddiensten. Die vragen gaan vooral over de bescherming van geclassificeerde bedrijfsgegevens en over bescherming van persoonsgegevens. Meer in het bijzonder als deze gegevens worden overgedragen naar landen buiten de Europese Economische Regio (EER) waardoor buitenlandse overheden mogelijk toegang kunnen krijgen tot deze gegevens. De Wet Bescherming Persoonsgegevens (WBP) en de beschermingsconstructies in de Verenigde Staten, waaronder de Patriot Act, worden daarbij vaak genoemd. Na de commotie die werd veroorzaakt nadat de werking van PRISM aan het licht kwam, bestaat over deze onderwerpen niet alleen veel bezorgdheid maar ook een aantal misvattingen. In deze whitepaper wordt nader ingegaan op zowel bescherming van de vertrouwelijkheid als de beschikbaarheid van gegevens in de cloud. Daarmee wordt een antwoord gegeven op de volgende vragen. • In welke context hebben klanten met clouddiensten te maken? • Welke wet- en regelgeving is relevant voor toegang tot data binnen clouddiensten? • Wat bepalen de belangrijkste kaders van dit moment, de Wet Bescherming Persoonsgegevens en de Patriot Act, over clouddiensten? • Wat zijn de daadwerkelijke risico’s? • Hoe kunnen clouddiensten veilig gebruikt worden door klanten?
Snowden heeft gebruikers van clouddiensten wakker geschud De context van clouddiensten In de afgelopen tijd zijn clouddiensten steeds populairder geworden. Het gegeven dat men diensten kan inkopen in plaats van in eigen beheer te nemen, heeft een belangrijke versnelling tot gevolg gehad in het gebruik van de cloud. Om succesvolle cloudoplossingen te hebben, moet aan tenminste twee voorwaarden worden voldaan: 1. Er moet op vertrouwd kunnen worden dat informatie veilig is opgeslagen, dat wil zeggen voldoet aan de daartoe te stellen eisen van beschikbaarheid, betrouwbaarheid en integriteit. 2. Door schaalgrootte moet een hoge mate van efficiency bereikt worden en daarmee een reductie van kosten voor de afnemer van de dienst. Het domein waar de klanten van cloud-serviceproviders (CSP’s) actief zijn is vaak bedrijfskritisch en/of raakt aan kernactiviteiten van het maatschappelijk verkeer. Het gaat
—3—
doorgaans om vertrouwelijke informatie en de vraagstukken waar men aan werkt zijn veelal complex. Klanten van CSP’s zijn niet alleen grote bedrijven en overheden die in een internationale context opereren, ook het MKB en zelfs individuele rechtspersonen maken steeds meer gebruik van clouddiensten. Voor elke gebruiker van een clouddienst geldt dat er geen verlies van vertrouwelijke gegevens mag plaatsvinden. Om de eerder genoemde schaalvoordelen te behalen, en daarnaast vertraging in het netwerk te voorkomen, is de technische infrastructuur van clouddiensten doorgaans sterk geografisch gespreid. Op haar beurt is de geleverde dienst zelf weer sterk geabstraheerd van de locatie van de infrastructuur. Hierdoor is voor een klant van een clouddienst nauwelijks te bepalen waar zijn gegevens op enig moment zijn. Bovendien zijn aanbieder en afnemer van de clouddienst vaak in verschillende landen gevestigd en daarmee aan andere wet- en regelgevingen onderhevig. Dit leidt niet alleen tot geringe transparantie, het heeft vooral tot gevolg dat er een spanningsveld ontstaat tussen de twee voorwaarden voor succes: veiligheid en schaalgrootte. Privacy wetgeving De Europese afnemers van clouddiensten moeten bij het gebruik van CSP’s in het bijzonder aandacht hebben voor privacywetgeving die verwerking van gegevens buiten de EER verbiedt. Het gebruik van modelcontracten1 waarin alle relevante bepalingen zijn vastgelegd kan hier uitkomst bieden. Ook aan het gebruik van technische oplossingen zoals European Clouds dan wel de toepassing van encryptie kan worden gedacht. Bij contracten met CSP’s is het met het oog op privacywetgeving bovendien aan te raden een aantal bijzondere verplichtingen en rechten op te nemen. Deze zijn nader uitgewerkt in Annex 1. Risico’s Afnemers van clouddiensten dienen zich ook terdege bewust te zijn van het risico dat gegevens die zij bij een CSP opslaan toegankelijk kunnen zijn voor een andere dan de eigen overheid. Daarbij wordt vooral de Amerikaanse overheid genoemd, maar toegang tot privégegevens is geen exclusieve Amerikaanse bevoegdheid. Ook andere overheden zijn gerechtigd om zich toegang te verschaffen tot wettelijk beschermde gegevens. De bevoegdheden die dit mogelijk maken zijn niet nieuw, en bij de afwegingen hieromtrent dient men steeds voor ogen te houden hoe de risico’s zich verhouden tot de voordelen die het gebruik van CSP’s met zich meebrengen. Het blijft echter belangrijk hier bewust mee om te gaan. Daarom verdient het aanbeveling om bij mogelijk gebruik van CSP’s niet alleen het ‘of en hoe’ te overwegen, maar ook stil te staan bij de vraag van welke CSP men diensten wil afnemen en in welke mate men diensten wil afnemen. 1 http://ec.europa.eu/justice/data-protection/document/international-transfers/transfer/index_en.htm
—4—
Het is ook in het belang van een CSP om bewust om te gaan met de risico’s die een betreffende klant loopt met het afnemen van clouddiensten Het is daarbij zaak om voortdurend voor ogen te houden hoe de risico’s zich verhouden tot eventuele voordelen. Een leverancier is over het algemeen graag bereid om mee te denken over oplossingen die tegemoet komen aan de bijzondere wensen van haar (potentiële) klanten.
Hoe verhouden risico’s en doelstellingen zich tot elkaar? Soorten wet- en regelgeving Door het geografisch gespreide karakter van ‘de cloud’ kunnen op gegevens die in een cloudomgeving verwerkt en/of opgeslagen worden diverse nationale rechtstelsels van toepassing zijn. Anders gezegd:gegevens van een klant van een CSP kunnen aan uiteenlopende wet- en regelgevingen onderhevig zijn. In grote lijnen kennen de meeste landen de volgende wetgevingskaders: • wetgeving betreffende privacy, en/of bescherming van persoonsgegevens; Deze wetgeving beoogt enerzijds de bescherming van privacy van het individu oftewel het recht om sommige zaken voor jezelf te houden. Anderzijds beoogt deze wetgeving dat betrokken personen controle kunnen uitoefenen op gegevens die anderen over hen bezitten. Voorts voorziet deze wetgeving erin dat, met name in Europa, het doorgeven van gegevens aan andere landen, vooral buiten de EER, aan beperkingen onderhevig is. Die beperkingen zijn bijzonder van belang met betrekking tot clouddiensten. Naast wet- en regelgeving betreffende privacy en bescherming van persoonsgegevens, zijn ook relevant: • wetgeving betreffende onderzoeken; • wetgeving betreffende onderzoeken door toezichthouders en belastingdiensten; • wetgeving betreffende inlichtingendiensten. Deze soorten wetgeving zien toe op bescherming van de algemene belangen, en vooral op de nationale veiligheid. Ze kennen bevoegdheden toe aan overheden om – waar dat nodig wordt geacht- inbreuk te maken op de privacy van natuurlijke personen en van rechtspersonen om dat algemene belang te dienen. Deze bevoegdheden zijn in alle landen met – sterk wisselende - waarborgen en controlemiddelen omkleed.
—5—
Wet Bescherming Persoonsgegevens en de U.S.A. Patriot ACT Een groot deel van de vragen over het gebruik van clouddiensten concentreert zich enerzijds op de WBP die in ons land van toepassing is, en anderzijds op de Amerikaanse Patriot Act. Hieronder volgt een uitleg op hoofdlijnen. In Annex 1 is een uitgebreide uitleg over de WBP opgenomen. Op dit moment wordt ook nieuwe Europese wetgeving met betrekking tot bescherming van persoonsgegevens voorbereid; een kort overzicht van de hoofdlijnen daarvan is opgenomen in Annex 2. Wet Bescherming Persoonsgegevens Indien een in Nederland gevestigde organisatie gebruik maakt van een CSP bij het verwerken van persoonsgegevens, is de WBP bijna altijd van toepassing. Zelfs het eenvoudige opslaan van persoonsgegevens bij een CSP valt al onder de reikwijdte van de WBP.2 De WBP bepaalt dat persoonsgegevens door een verantwoordelijke of een door hem ingeschakelde derde (de CSP) in principe niet buiten de EER mogen worden verwerkt. Maar juist bij een CSP is, zoals eerder vermeld, vaak niet duidelijk waar gegevens daadwerkelijk verwerkt worden. Er bestaan echter uitzonderingen op de regel dat persoonsgegevens niet buiten de EER3 mogen worden verwerkt, zodat het inschakelen van een buiten de EER werkzame CSP toch mogelijk wordt zonder de bijbehorende consequenties.4 De bepaling van die uitzondering is opgenomen in de eerder genoemde modelcontracten voor doorgifte van persoonsgegevens naar landen buiten de EER. Door gebruikmaking van deze contracten, die de Europese Commissie speciaal hiervoor heeft opgesteld5 , wordt een dergelijke doorgifte van gegevens toch mogelijk gemaakt. European Cloud Een manier om verwerking buiten de EER te voorkomen is het gebruik van zogenaamde ‘European Clouds’. Hierbij is alle infrastructuur die gebruikt wordt bij de verwerking van persoonsgegevens binnen de EER gelegen. De klant van de CSP moet dan wel kunnen toetsen dat de persoonsgegevens inderdaad niet buiten de EER verwerkt worden. Bij CSP’s kan een dergelijke toetsing lastig zijn; een audit is juist door de geografische spreiding van de infrastructuur moeilijker uit te voeren, terwijl ook niet alle CSP’s gecharmeerd zijn van de uitvoering van uiteenlopende audits aan de hand van uiteenlopende lokale wet- en regelgeving. Bij het gebruik van een “European Cloud” mag men dus minstens een contractueel vastgelegde garantie van de CSP verwachten dat de verwerking van persoonsgegevens nooit buiten de EER zal plaatsvinden. De CSP moet zich hierbij realiseren dat het ook verantwoordelijkheid neemt voor de verwerking door eventuele onderaannemers. 2 Article 29 Data Protection Working Party – Opinion 1/2010 on the concepts of “controller” and “processor”- http://ec.europa. eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf. Aangenomen wordt dat enkel het eenvoudige doorgeven van persoonsgegevens geen verwerken van persoonsgegevens is. 3 Met uitzondering van verwerking in landen die een toereikend niveau van beschermende wetgeving kennen Op dit moment Andorra, Argentinië, Australië, Canada, Faroer Eilanden, Guernsey, Isle of Man, Israel Jersey, Uruguay, Zwitersland. 4 In Annex 1 is een volledige lijst van uitzonderingen opgenomen. 5 Deze zijn te vinden op http://ec.europa.eu/justice/data-protection/document/international-transfers/transfer/index_en.htm#h2-5.
—6—
Een laatste manier om toepassing van de overdrachtsbeperking te voorkomen, is door persoonsgegevens versleuteld in de cloud te plaatsen.6 De versleuteling moet dan voorafgaand aan de verzending en de opslag plaatsvinden, en de gegevens moeten ook in de cloud en tijdens de verzending van en naar de cloud versleuteld blijven. Omdat complexe verwerkingen van data, zoals gebruik in applicaties of workflows, moeilijk te verwezenlijken zijn als men encryptie in de cloud toepast, zijn de toepassingen in de praktijk beperkt tot eenvoudige opslag van data. Omdat onlangs gebleken is dat de Amerikaanse overheid ook de cryptografische sleutels van CSP’s in handen kan krijgen, lijkt het essentieel geworden dat het sleutelbeheer in handen blijft van de klant van de CSP. Al met al legt de WBP dus inderdaad beperkingen op aan het gebruik van een CSP bij de verwerking van persoonsgegevens. Het is desondanks mogelijk om met deze beperkingen te werken: veelal kunnen ze contractueel opgelost worden en soms zijn ook technische oplossingen mogelijk. In Annex 1 wordt een uitgebreidere uitleg gegeven over de WBP, en wordt een aantal andere bijzonderheden met betrekking tot het gebruik van CSP’s uiteengezet. U.S.A. Patriot Act De U.S.A. Patriot Act wordt vaak aangehaald als dé grote bedreiging voor een veilig gebruik van gegevens bij een CSP. Reden is dat de Patriot Act de Amerikaanse autoriteiten nieuwe bevoegdheden zou geven om toegang tot informatie te krijgen. Het zou bij data in de cloud dan vooral gaan om informatie die van vermeende invloed zou kunnen zijn op de staatsveiligheid. De Patriot Act is echter geen wet die allerlei nieuwe bevoegdheden schept, maar een samenstel van wijzigingen aan bestaande bevoegdheden. Deze bevoegdheden worden hieronder op hoofdlijnen beschreven. In Annex 3 wordt dieper ingegaan op de meest vergaande bepalingen van het Federaal Amerikaans recht op dit gebied. In het kort hebben Amerikaanse autoriteiten de volgende bevoegdheden met betrekking tot CSP’s: • de bevoegdheid om opgeslagen gegevens te vorderen. • de bevoegdheid om technische apparatuur of software te (laten) installeren waarmee het gegevensverkeer direct onderschept kan worden. Mogelijke gegevens die zo verzameld kunnen worden zijn naast de identiteit van gebruikers of abonnees van een CSP, de verkeersgegevens zelf, de zogenaamde ‘non-content’ en de daadwerkelijke inhoud van opgeslagen of verzonden gegevens, de zogenaamde ‘content’. Gegevens kunnen worden gevorderd van ieder bedrijf of van elke persoon die daarover ‘possession, custody or control’ heeft, ofwel iedereen die over deze gegevens kan beschikken. 6 Article 29 Data Protection Working Party – Opinion 4/2007 on the concept of personal data” http://ec.europa.eu/justice/policies/ privacy/docs/wpdocs/2010/wp169_en.pdf. Aangenomen wordt dat enkel het eenvoudige doorgeven van persoonsgegevens geen verwerken van persoonsgegevens is, blz. 18.
—7—
Het is dus niet direct relevant op welk grondgebied een Amerikaans bedrijf zijn gegevens opslaat. Wel zullen gegevens op Amerikaans grondgebied eerder onder possession, custody or control van een aanwijsbaar persoon of bedrijf vallen. Het onderscheppen van gegevens kan door middel van apparatuur of software op Amerikaans grondgebied, ongeacht de bestemming of de oorsprong van die gegevens. Ook het onderscheppen van gegevens door middel van het gebruik van apparatuur buiten de Verenigde Staten lijkt mogelijk. De bepalingen op grond waarvan dat mogelijk zou kunnen zijn, zijn echter vrij onduidelijk. Zeker is het dus niet.7 Voor de uitoefening van een aantal van deze bevoegdheden is geen gerechtelijk bevel nodig. Soms hoeft er zelfs geen vermoeden van een misdrijf te bestaan of een bedreiging voor de nationale veiligheid. Bij de uitoefening van sommige bevoegdheden kan geheimhouding worden opgelegd aan de betrokken CSP, zodat de klant van die CSP niet op de hoogte mag worden gesteld van de daadwerkelijke toepassing van die bevoegdheden door de autoriteit. Brede bevoegdheden De hierboven beschreven bevoegdheden van de autoriteiten in de Verenigde Staten zijn overigens niet uniek. Nederland, Frankrijk en Duitsland kennen vergelijkbare regelingen. Wel bijzonder is de brede rechtsmacht die Amerikaanse autoriteiten hebben om deze bevoegdheden toe te passen. Amerikaanse autoriteiten hebben niet alleen rechtsmacht over rechtspersonen die zelf gevestigd zijn in de U.S.A. en over buitenlandse rechtspersonen die een vaste vestiging in de U.S.A. hebben, maar óók over buitenlandse rechtspersonen die stelselmatig en continu daar hun bedrijf uitoefenen.8 Bovendien hebben Amerikaanse autoriteiten onder omstandigheden ook buiten de Verenigde Staten rechtsmacht over Amerikaanse burgers.9 Door deze ruime rechtsmacht staan ook sommige buitenlandse CSP’s bloot aan vorderingen tot het overleggen of onderscheppen van gegevens, ook als zij geen vestiging in de Verenigde Staten hebben. Bovendien is het mogelijk dat een Amerikaanse werknemer, onderaannemer of dochtermaatschappij van een niet-Amerikaans bedrijf toegang tot gegevens moet verschaffen.
7 In beginsel mogen overheden niet ingrijpen op elkaars grondgebied; zo zou ook het zetten van een tap in beginsel buiten Amerikaans grondgebied in beginsel niet mogen. Het is echter denkbaar dat, op grond van medewerkingsverplichtingen die aan de CSP opgelegd zijn bij de Amerikaans wet, een CSP op bevel van een Amerikaanse autoriteit zelf een tap zet of haar infrastructuur zo wijzigt dat vanuit Amerika getapt kan worden. 8 International Shoe Co. v. Washington. Zie ook Goodyear Dunlop Tires Operations, S.A. v. Brown voor een beschouwing over de vraag of het enkele hebben van een groepsmaatschappij in de U.S.A. rechtsmacht kan scheppen. Dit wordt vaak aangenomen, maar ligt genuanceerd. 9 USC Title 28 Section 1783
—8—
Ter verduidelijking van deze materie, is in Annex 4 een tweetal voorbeeldcases opgenomen waarbij geanalyseerd wordt of Amerikaanse autoriteiten toegang kunnen krijgen tot gegevens bij een CSP.
De Amerikaanse rechtsmacht gaat verder dan die in andere landen De U.S.A kunnen een CSP geheimhouding opleggen Risico’s in de praktijk Zoals hiervoor beschreven kunnen CSP’s door Amerikaanse autoriteiten verplicht worden om elektronisch gegevens te verstrekken, ook als het geen Amerikaanse CSP betreft. Bovendien is het mogelijk dat dit gebeurt zonder dat de CSP dit mede mag delen aan de klant. Hoewel het belangrijk is dat een klant zich dit realiseert, moeten de risico’s niet overdreven worden. Andere landen hebben eveneens wet- en regelgeving die hen extraterritoriale bevoegdheden geeft. In de meeste landen gaat dat weliswaar minder ver dan in de U.S.A., ze kunnen meestal geen bevel opleggen aan een buitenlandse CSP zonder vestiging in hun land, maar ook deze landen meten zich vaak allerlei toegangsrechten aan. Dat geldt met name voor de inlichtingendiensten die vaak vergaande bevoegdheden hebben. Daarbij moet worden opgemerkt dat inlichtingendiensten doorgaans zonder medeweten en dus zonder medewerking van CSP’s opereren, waardoor ook deze diensten te kampen hebben met de complexiteit van de infrastructuur van een cloudomgeving. Ook is het belangrijk te beseffen dat tussen overheden al sinds jaar en dag verdragen bestaan op grond waarvan ze elkaar onderling opsporingsbevoegdheden op hun eigen grondgebied toestaan, of anderszins gegevens delen. Toegang tot gegevens in het buitenland is wat dat betreft niet nieuw of exclusief voor de Amerikaanse werkwijze. Overheidsdiensten in de Verenigde Staten Een andere kanttekening is dat multinationals, zoals veel klanten van CSP’s, vaak zelf al bloot staan aan verzoeken om gegevens van de Amerikaanse overheid, ongeacht of zij een CSP gebruiken. Hierdoor wordt deze exposure minder relevant. Hierbij is een interessante overweging dat veel internet infrastructuur zich in de U.S.A. bevindt, zodat de U.S.A. zich ook via dergelijke bedrijven toegang tot gegevens kan verschaffen. Vaak wordt de New York Internet Exchange hierbij geopperd. Strikt genomen staat de Amerikaanse wetgeving toe dat overheidsdiensten zich toegang mogen verschaffen tot de gegevens van deze organisatie. Door het grote volume aan verkeer en adressen lijkt, zelfs met medewerking van de New York Internet Exchange, de praktische toepassing hiervan niet haalbaar. Waarde van informatie Uiteraard is het risico dat klanten van CSP’s lopen sterk afhankelijk van het soort informatie dat zij bij een CSP onderbrengen. Niet alle informatie is van strategische waarde. Het risico
—9—
van toegang tot gegevens door overheden moet dan ook rationeel afgewogen worden tegen de operationele voordelen die het gebruik van een CSP kunnen hebben. Een beperkt risico van toegang tot gegevens bij een CSP zou in sommige gevallen moeten wijken voor de grotere risico’s die door een instabiel of onveilig IT systeem worden veroorzaakt. Desondanks is het zaak om de nodige voorzichtigheid te betrachten en bewust te zijn van de consequenties . Een bedrijf dat bijvoorbeeld wapensystemen ontwikkelt voor Defensie of informatie bijhoudt over de economische stabiliteit van een land doet er waarschijnlijk goed aan zijn exposure ten opzichte van Amerikaanse autoriteiten te beperken. Zulke organisaties moeten beslist twee keer nadenken voor ze hun infrastructuur en/of data bij een CSP onderbrengen. Voor elke organisatie geldt echter dat in alle gevallen zorgvuldig moet worden omgesprongen met het buiten het eigen bedrijf onderbrengen van dergelijke informatie, ongeacht de bevoegdheden van andere overheden. De keuze voor een CSP moet weloverwogen tot stand komen, na goede weging van de risico’s ten opzichte van de voordelen. Voor CSP’s geldt dat ook zij bewust moeten omgaan met deze risico’s. Algemene richtlijnen of uitgangspunten hieromtrent zijn daarom niet raadzaam. Per klant zal afgewogen moeten worden welke risico’s er spelen en op basis daarvan zal een keuze moeten worden gemaakt. In Annex 4 staan twee cases met betrekking tot het gebruik van een CSP uitgewerkt. WBP versus verzoeken tot het vertrekken van data Uit het bovenstaande kan al snel een conflict tussen Amerikaanse en Europese wetgeving gedestilleerd worden. Dit conflict ontstaat als een Amerikaanse autoriteit bij een CSP persoonsgegevens opvraagt en de CSP deze daarvoor buiten de EER brengt. Zoals hierboven al vermeld, is de export van persoonsgegevens buiten de EER alleen toegestaan onder bepaalde voorwaarden. Bovendien worden de gegevens in dit geval verstrekt aan een nieuwe organisatie om daar verder verwerkt te worden. Ook dat is niet zomaar mogelijk. Op dit moment wordt er binnen de EU gewerkt aan wetgeving om dit conflict op te lossen. In de tussentijd biedt de WBP een aantal handvatten die de risico’s beperken. Ten eerste geldt dat een verantwoordelijke op grond van de WBP niet aansprakelijk is voor schade die voortvloeit uit de verwerking van persoonsgegevens door een CSP, voor zover het schadeveroorzakende feit hem niet kan worden toegerekend. Dat is hier gauw het geval nu de verantwoordelijke niet bij machte is deze verstrekking door een CSP te voorkomen, en soms zelfs niet door de CSP daarvan op de hoogte is gesteld. Ten tweede geldt dat er nog geen specifieke sanctie staat op een overtreding van het verbod persoonsgegevens buiten de EER te brengen, zodat hiervoor geen boete kan worden opgelegd. In het concept van de nieuwe Europese regelgeving is voorgesteld om een organisatie tot 2% van hun omzet aan boete op te leggen (zie ook Annex 2).
— 10 —
Het andere belangrijke dwangmiddel van het College Bescherming Persoonsgegevens (CBP), het opleggen van een dwangsom, kan alleen worden toegepast bij het niet voldoen aan een verplichting onder de WBP door de verantwoordelijke zelf. Als de CSP zelfstandig handelt, is het de vraag of de verantwoordelijke zelf een verplichting niet nakomt. In het verlengde daarvan kan betoogd worden dat, wanneer een CSP gegevens verstrekt aan autoriteiten zonder daartoe geïnstrueerd te worden, juist de CSP als verantwoordelijke voor die verwerking onder de WBP zou moeten gelden en niet haar klant. In al deze gevallen geldt overigens wel dat de verantwoordelijke alle zorgvuldigheid rond dergelijke situaties in acht moet hebben genomen. Men moet onder meer gedegen onderzoek naar de CSP hebben uitgevoerd, men moet de CSP een verplichting opleggen om gedwongen verstrekkingen van gegevens te melden voor zover de wet dat toestaat, en de verplichting om gegevens zo beperkt mogelijk te verstrekken. Soms moet de verantwoordelijke na onderzoek naar de CSP zelfs besluiten om bepaalde gegevens niet bij een CSP onder te brengen. In Annex 1 staat een aantal bepalingen die nuttig kunnen zijn bij het inschakelen van een CSP voor verwerking van persoonsgegevens.
De EU streeft naar aanscherping van wet- en regelgeving Conclusies Klanten van een CSP moeten uitdrukkelijk aandacht hebben voor privacywetgeving die verwerking van gegevens buiten de EER verbieden. Het gebruik van modelcontracten kan hier uitkomst bieden. Ook aan technische oplossingen zoals het gebruik van European Clouds of de toepassing van encryptie kan worden gedacht. Bij contracten met CSP’s is het met oog op privacywetgeving bovendien aan te raden een aantal bijzondere verplichtingen en rechten op te nemen. Deze staan verder uitgewerkt in Annex 1. Klanten van een CSP dienen zich bewust te zijn van het risico dat gegevens die zij bij een CSP opslaan in sommige gevallen toegankelijk zijn voor overheden, met name voor de Amerikaanse overheid. De bevoegdheden die dit mogelijk maken zijn niet nieuw en de risico’s moeten gezien worden in verhouding tot de voordelen die het gebruik van CSP’s met zich mee kunnen brengen. Het blijft echter belangrijk hier bewust mee om te gaan. In sommige gevallen kan het verstandig te zijn goed te overwegen of, hoe, welke en in welke mate CSP’s gebruikt worden. Een goede CSP gaat bewust om met de beschreven risico’s en kijkt tezamen met elke klant afzonderlijk welke bedreigingen er zijn en of die risico’s voor die klant aanvaardbaar zijn gezien de voordelen.
Een goede CSP denkt met klant mee
— 11 —
Annex 1; FAQ over de Wet Bescherming Persoonsgegevens Wat is de Wet Bescherming Persoonsgegevens (WBP)? De WBP regelt onder meer hoe en wanneer geautomatiseerde10 persoonsgegevens gebruikt mogen worden en is de Nederlandse implementatie van de Europese Richtlijn 95/46/EC. Deze Richtlijn is in de hele Europese Unie en een aantal andere landen geïmplementeerd. De basisprincipes zijn daardoor binnen de Europese Unie grotendeels gelijk. Op detailniveau bestaan er evenwel verschillen. Wat is een persoonsgegeven? Een persoonsgegeven is elk gegeven dat door diegene die er over beschikt redelijkerwijs te herleiden is tot een identificeerbaar natuurlijk persoon, met de middelen die hem ter beschikking staan. Wanneer heb ik te maken met de WBP? U heeft met de WBP te maken zodra een persoonsgegeven ‘verwerkt’ wordt. Bijna iedere handeling met betrekking tot een persoonsgegeven is een verwerking, zoals het opslaan, kopiëren, vergelijken, verzenden, comprimeren, versleutelen, enzovoorts. Ook het doorgeven van persoonsgegevens aan een derde is een verwerking. Wat zijn mijn verantwoordelijkheden? • De partij die de doelen en de middelen van de verwerking van persoonsgegevens bepaalt is eindverantwoordelijk voor de verwerking. Het inschakelen van een derde partij, zoals een CSP, ontslaat u niet van deze verantwoordelijkheid. De WBP legt dan meerdere verplichtingen op die men na moet komen. • Er mag alleen voor een specifiek doel persoonsgegevens worden verwerkt, en dan alleen de gegevens die voor dat doel echt nodig zijn. • Gegevens mogen niet verder worden verwerkt voor doelen die onverenigbaar zijn met degene voor wie ze zijn verzameld (als vuistregel: om verenigbaar te zijn moet de betrokken persoon die verdere verwerking redelijkerwijs hebben kunnen verwachten toen hij zijn gegevens verstrekte). • De verwerking, het doel ervan, en de identiteit van de verantwoordelijke moeten worden gemeld aan de betrokken personen. Daarnaast is in een aantal gevallen inschrijving in het openbare meldingen register noodzakelijk. • De verantwoordelijke moet zorgen voor afdoende technische en organisatorische beveiliging (ook tegen verlies) van de persoonsgegevens, en voor de juistheid en de nauwkeurigheid van de te verwerken gegevens; • Men moet de betrokken personen expliciet in staat stellen om hun gegevens te kunnen inzien, en waar nodig te corrigeren (of te verwijderen als ze niet meer nodig zijn).
10 Ook handmatige, niet geautomatiseerde verwerkingen van persoonsgegevens kunnen binnen het bestek van de WBP vallen. Nu deze buiten het domein vallen, laten wij deze onbesproken.
— 12 —
• Men moet een legitieme reden (‘grondslag’ in het jargon) hebben om persoonsgegevens voor dat doel te verwerken, de meest voor de hand liggende redenen zijn; • er is toestemming; • de gegevens zijn noodzakelijk om een contract uit te kunnen voeren; • de verwerking van gegevens is noodzakelijk om een wettelijke verplichting na te komen; • er is een gerechtvaardigd belang om de gegevens te verwerken, terwijl de privacy van de betrokkene(n) minder zwaar weegt. Waarop moet ik letten als ik een CSP inschakel? Als men een CSP inschakelt om gegevens te verwerken, dan doet de CSP dat onder de verantwoordelijkheid van de klant, als bewerker. Men moet in zo’n geval met de CSP een bewerkersovereenkomst sluiten. Daarin moet zijn opgenomen dat de CSP de persoonsgegevens vertrouwelijk behandelt, dat hij deze adequaat beveiligt, en dat de persoonsgegevens alleen op instructie van de opdrachtgever verwerkt worden. Men moet er ook op toezien dat de CSP deze verplichtingen naleeft, bijvoorbeeld door middel van een audit. Met betrekking tot CSP’s is er bovendien een aantal andere zaken waarop men extra moet letten. Het is belangrijk dat er in de overeenkomst met de CSP bepalingen zijn opgenomen over11: • beveiliging tegen verlies van de gegevens (zoals beschikbaarheid en back-up eisen); • de juistheid en integriteit van de gegevens (zoals beveiligingseisen, logging en auditing); • de mogelijkheid om gegevens bij een andere CSP onder te brengen indien nodig (inclusief het recht op een kosteloze conversie naar gangbare bestandsformaten); • de mogelijkheid om de gegevens te verwijderen wanneer ze niet meer nodig zijn, inclusief eventuele back-ups van die gegevens en logdata (recht op verwijdering); • de mogelijkheid om de CSP toe te staan dan wel te beletten om derde partijen in te schakelen en de mogelijkheid om daar voorwaarden aan te verbinden; • de mogelijkheid om informatie te krijgen over de locaties waar de CSP de persoonsgegevens verwerkt (dit moet men overigens ook al vooraf bekijken); • dat de CSP meldt als er ongeoorloofde toegang is geweest tot de persoonsgegevens of als de CSP persoonsgegevens heeft moeten verstrekken op grond van een wettelijk verplichting; • verplichtingen voor de CSP om alle handelingen uit te voeren die nodig zijn om als opdrachtgever aan de WBP te voldoen (zoals het laten inzien, corrigeren en verwijderen van gegevens door betrokken personen);
11 Article 29 Data Protection Working Party – Opinion 05/2012 on Cloud Computing - http://ec.europa.eu/justice/dataprotection/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf.
— 13 —
Wanneer mag ik gegevens buiten de EU verwerken? Als een CSP persoonsgegevens buiten de EER12 wil (laten) verwerken, moet minstens één van de volgende uitzonderingen van toepassing zijn: a. de overdracht vindt plaats naar een bewerker of andere verantwoordelijke waarmee een contract is afgesloten waarin de model contractbepalingen voor doorgifte zijn opgenomen die zijn vastgesteld door de Europese Commissie; b. de overdracht vindt plaats naar een bewerker in de U.S.A, die gecertificeerd is in het Safe Harbor programma; c. er is een vergunning van de Minister van Veiligheid en Justitie voor de overdracht; d. men zelf kan garanderen dat het land een passend beschermingsniveau biedt (dit kan eigenlijk niet zonder een volledige analyse van wetgeving en toezicht in dat land); e. men heeft voor de overdracht ondubbelzinnige toestemming gekregen van de betrokken personen; f. de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen u en de betrokken personen, of voor het nemen van precontractuele maatregelen die noodzakelijk zijn voor het sluiten van een overeenkomst, naar aanleiding van een verzoek van de betrokken persoon; g. de doorgifte is noodzakelijk voor de sluiting of uitvoering van een overeenkomst die in het belang van de betrokken persoon tussen u en een derde gesloten of te sluiten is (denk hierbij aan contracten tussen CSP’s en onderaannemers); h. de doorgifte is noodzakelijk vanwege een zwaarwegend algemeen belang, of voor de vaststelling, de uitvoering of de verdediging van een recht in formele juridische procedures. i. de doorgifte is noodzakelijk ter vrijwaring van een vitaal belang (een belang van leven of dood) van de betrokken persoon; j. de doorgifte geschiedt vanuit een register dat bij wettelijk voorschrift is ingesteld en dat voor een ieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, voor zover in het betrokken geval is voldaan aan de wettelijke voorwaarden voor raadpleging; Overdracht op grond van (e) tot en met (h) is alleen toegestaan voor overdrachten die niet grootschalig of regelmatig plaatsvinden.13 Met betrekking tot verwerking door CSP’s bieden deze gronden daarom doorgaans geen uitkomst.
12 Behalve Andorra, Argentinië, Australië, Canada, Faroer Eilanden, Guernsey, Isle of Man, Israel Jersey, Uruguay, Zwitersland. Deze landen beschermen persoonsgegevens voldoende. 13 Article 29 Data Protection Working Party Working Document 12/1998: Transfers of personal data to third countries: Applying Articles 25 and 26 of the EU data protection directive, Adopted by the Working Party on 24 July 1998 (http://ec.europa.eu/justice/ policies/privacy/docs/wpdocs/1998/wp12_en.pdf).
— 14 —
Bij CSP’s biedt het gebruik van modelcontracten (uitzondering a) een goede basis. Safe Harbor certificatie (uitzondering b), waarin een CSP zelf aangeeft een toereikend beschermingsniveau te bieden, biedt alleen uitkomst als de gegevens uitsluitend in de U.S.A. worden verwerkt, en juist bij CSP’s is dat niet altijd het geval Het verzoeken om een vergunning bij de Minister (uitzondering c) voorziet in uitvoer naar een specifiek land, maar levert in de praktijk een lange administratieve procedure op. Als verwerking buiten de EER mogelijk is door toepassing van een van deze uitzonderingen ontslaat dat de verantwoordelijke nog niet van de verplichtingen ten aanzien van de verwerking van persoonsgegevens zoals hierboven genoemd.
Inschakelen van een derde partij ontslaat u niet van verantwoordelijkheid Basisprincipes zijn in de EU grotendeels gelijk Annex 2; Nieuwe wetgeving In januari 2012 is door de Europese Unie het eerste concept van de Algemene verordening gegevensbescherming (de Verordening) gepubliceerd. Het doel van de Verordening is om (i) persoonsgegevens van de EU-burgers beter te beschermen, (ii) de huidige richtlijn en nationale wetgevingen (zoals de WBP) te vervangen en (iii) de gegevensbescherming aan te passen aan de technologische ontwikkelingen en globalisering in de 21e eeuw. Let wel, de tekst van de Verordening is nog niet definitief. Gezien het aantal amendementen dat is ingediend (meer dan 3000) is het waarschijnlijk dat de uiteindelijke tekst van de Verordening substantieel zal afwijken van het voorliggende concept. De meest relevante bepalingen van de concept Verordening zijn: • De Verordening is rechtstreeks van toepassing in de hele Europese Unie en geldt voor (i) een verantwoordelijke die is gevestigd in een lidstaat van de EU, ongeacht of het verwerken van gegevens in de EU plaatsvindt of niet; en (ii) een verantwoordelijke die is gevestigd in een niet-EU lidstaat die gegevens verwerkt in verband met het aanbieden van goederen of diensten aan personen binnen de EU, of die gegevens verwerkt in verband met het observeren van hun gedrag, al dan niet via internet. Er is een focus op harmonisatie van de data protectie wetgeving binnen EU lidstaten. • Een verantwoordelijke dient een beleid te ontwikkelen en effectieve maatregelen te nemen om ervoor te zorgen dat de verwerking van persoonsgegevens verloopt in overeenstemming met de Verordening. De Verordening vereist verder dat een onderneming inzichtelijk maakt op welke wijze zij voldoet aan de bepalingen van de Verordening (bijvoorbeeld een beschrijving van alle verwerkingen van gegevens die plaatsvinden onder het gezag van de verantwoordelijke). • Iedere onderneming of vestiging met meer dan 250 werknemers of elke organisatie waarvan de kernactiviteit bestaat uit stelselmatig en systematisch monitoren van
— 15 —
personen, is verplicht een functionaris gegevensbescherming (data protection officer) aan te wijzen. Deze functionaris houdt toezicht op de naleving van de Verordening binnen de organisatie en brengt rechtstreeks verslag uit aan de leidinggevende. • Er is een verplichting om aan de toezichthouder te melden als er inbreuk is gepleegd op de data bescherming. Die melding moet zonder vertraging en – indien mogelijk – binnen 24 uur geschieden. De verantwoordelijke moet, in principe, ook de betrokkenen informeren over het geconstateerde datalek indien dit datalek negatieve gevolgen heeft voor de privacy van de betrokkenen. Voor ondernemingen die in meerdere EU lidstaten gegevens verwerken is het afdoende om te melden aan de toezichthouder in het land waar de hoofdvestiging van die onderneming gevestigd is. De beveiligingsbepaling in de Verordening is gelijk aan die uit de Richtlijn. Nieuw is wel dat de risico’s die de verwerking en de aard van de te beschermen persoonsgegevens met zich meebrengen geëvalueerd moeten worden. Hierop moeten de beveiligingsmaatregelen gebaseerd worden. De boetes voor niet-naleving van de bepalingen van de Verordening variëren tussen de 0,5% en de 2% van de wereldwijde omzet van een organisatie. Voor organisaties of vestigingen met minder dan 250 werknemers wordt bij een eerste, niet opzettelijke, overtreding een waarschuwing gegeven.
Persoonsgegevens burgers EU beter beschermen Annex 3; Bepalingen van Amerikaans Federaal Recht Hieronder staan de bepalingen onder Amerikaans Federaal recht die de meest vergaande bevoegdheden voor toegang tot data bij een CSP scheppen. Buiten beschouwing laten we bepalingen die met uitgebreide waarborgen omkleed zijn, dan wel geen betrekking hebben op inhoudelijke gegevens, maar enkel betrekking hebben op verkeersgegevens of identificerende gegevens van gebruikers omvatten, of waarvan het onwaarschijnlijk is dat ze tegenover een CSP worden toegepast,.14 ECPA 2703 Op grond van ECPA 2703 mogen Amerikaanse overheidsinstanties opgeslagen elektronische gegevens opvragen in het kader van een onderzoek. De wijze waarop dit kan verschilt naar gelang van (i) het soort gegevens (inhoud van de communicatie, gebruikers gegevens, of andere gegevens) (ii) de duur waarvoor de gegevens opgeslagen zijn geweest (korter of langer dan 180 dagen) en (iii) of de gebruiker van wie de gegevens opgevraagd worden daarvan melding krijgt. Voor CSP’s is van belang dat alle soorten elektronische gegevens die langer dan 180 dagen opgeslagen zijn geweest bij een CSP door een bevoegd ambtenaar zonder gerechtelijk bevel opgevraagd kunnen worden, mits daarvan melding gemaakt wordt 14 Federal Rules of Criminal Procedure, Rule 41, Title 18 Section 2516, Title 18 Section 2709, Title 18 Section 3123, Title 50 Section 1804, Title 50 Section 1842. We laten de bepalingen van afzonderlijke Staten buiten beschouwing.
— 16 —
aan de betrokken gebruiker, en mits deze gegevens enige relevantie hebben voor het lopende onderzoek. Met een gerechtelijk doorzoekingsbevel kunnen alle soorten gegevens, ongeacht de duur van de opslag, opgevraagd worden. FISA 1861 Op grond van USC Title 50, Section 1861 kan de directeur van de FBI, of een gemandateerde agent van toereikend niveau van eenieder, dus ook een CSP, alle soorten opgeslagen elektronische gegevens opvragen indien die relevant zijn voor een onderzoek naar spionage of terrorisme, of indien ze nodig zijn om foreign intelligence information te verzamelen met betrekking tot een buitenlands persoon. Foreign intelligence information wordt ruim uitgelegd. Hieronder wordt, kort gezegd, alle informatie verstaan die relevant is voor het vermogen van de Verenigde Staten om zich te verdedigen. Dit omvat verdediging tegen (i) aanvallen van andere landen en tegen terroristen, (ii) spionage, en (iii) de verspreiding van massavernietigingswapens. Ook alle informatie met betrekking tot een land of regio die relevant is voor de buitenlandse betrekkingen van de Verenigde Staten valt onder Foreign intelligence information. Voor toepassing van deze bevoegdheid moet de FBI wél een gerechtelijk bevel vragen van de Foreign Intelligence Surveillance Court; de waarborgen hiervan zijn echter beperkt tot het voldoen aan de formele criteria die hierboven vermeld zijn. Deze beperkte toetsing is een gevolg van het feit dat, anders dan Amerikaanse burgers, buitenlandse personen geen beroep toekomt op bescherming door de fourth amendment van de Amerikaanse grondwet. De fourth amendment ziet toe op het verbod op doorzoekingen en inbeslagname zonder dat er sprake is van (i) een sterk vermoeden dat daarbij bewijs van een misdrijf zal worden gevonden (ii) een gerechtelijk bevel en (iii) een specificatie van de te doorzoeken locatie en het gezochte. Ook het verzamelen van elektronische gegevens valt hieronder.15 FISA 1881a Section 1881a, maakt het mogelijk voor de Director of National Intelligence, of de Attorney General, om zonder een specifiek gerechtelijk bevel een CSP te bevelen om medewerking te verlenen aan het verzamelen van elektronische gegevens betreffende bepaalde personen, groepen, of regio’s.16
15 Buitenlandse personen kunnen überhaupt geen beroep doen op de bescherming van de Amerikaanse grondwet. Ze worden ook in andere wettelijke bepalingen achtergesteld bij Amerikaanse staatsburgers. De definitie van Foreign Intelligence Information ten aanzien is bijvoorbeeld subtiel anders, ten aanzien van Amerikanen. Bij hen dient de gezochte informatie niet relevant, maar noodzakelijk te zijn. 16 Dit komt niet duidelijk uit de wettekst naar voren, maar blijkt uit het handboek ‘David S. Kris J. Douglas Wilson - National Security Investigations and Prosecutions.
— 17 —
In plaats van een gerechtelijk bevel, wordt er een jaarlijkse autorisatie gevraagd om gegevens betreffende bepaalde doelwitten te verzamelen. De specifieke aanbieder bij wie de gegevens verzameld worden, hoeft echter niet opgenomen te zijn. De verzameling van gegevens moet voornamelijk, maar niet uitsluitend, noodzakelijk zijn met het oog op het verzamelen van foreign intelligence information. Verder mag de verzameling van gegevens niet bewust gericht zijn op Amerikaanse personen, of op binnenlandse communicatie in de Verenigde Staten en mag de fourth amendment van de Amerikaanse grondwet niet geschonden worden. Zoals hierboven vermeld, biedt de fourth amendment voor buitenlandse personen helaas geen bescherming. De precieze bevoegdheden onder Section 1881a en de manier waarop ze worden toegepast is op dit moment onduidelijk, de bewoording lijkt breed genoeg om zowel tapbevoegdheden als toegang tot opgeslagen gegevens te omvatten.17 Bovendien veronderstelt subsection (h) (1)(A) een vergaande medewerkingsplicht van de CSP, het lijkt erop dat deze gedwongen kan worden specifiek voor het gebruik van deze bevoegdheden faciliteiten te bieden. Onthulling over het PRISM programma lijken daar op te wijzen, maar duidelijk is dit nog niet. Gag Order Met betrekking tot de beide FISA bepalingen, kan steeds een zogenaamd ‘gag order’ worden opgelegd, ofwel een verbod om melding te maken van ontvangst van het verzoek om gegevens. Hiertegen kan een CSP zich verzetten. Hier geldt wederom echter dat buitenlandse personen in ieder geval geen bescherming toekomt op grond van de fourth amendment. Frequentie van gebruik Er is beperkt informatie bekend over het gebruik van de FISA bevoegdheden: Weliswaar wordt er jaarlijks een rapportage opgesteld met betrekking tot FISA orders18 , maar daaruit blijkt slechts dat over 2012 op grond van FISA 1861, 212 verzoeken zijn gedaan, en dat deze allen zijn toegewezen. Over het algemeen kan dus worden gesteld dat het aantal informatieverzoeken op grond van deze bepaling redelijk beperkt is (over het volume per verzoek is weinig te zeggen). Over het gebruik van FISA1881a bestaan helaas geen statistieken. De onthullingen over PRISM in de zomer van 2013, indien zij kloppen, wijzen er op dat van deze bevoegdheid grootschalig gebruik wordt gemaakt.
In de praktijk kunnen alle gegevens opgevraagd worden
17 Erwin, Marshall C. en Liu, Edward C., NSA Surveillance Leaks: Background and issues for Congress, (July 2, 2013), blz. 7 en Van Hoboken, Joris V. J., Arnbak, Axel and Van Eijk, Nico, Cloud Computing in Higher Education and Research Institutions and the U.S.A. Patriot Act (November 27, 2012). Available at SSRN: http://ssrn.com/abstract=2181534 or http://dx.doi.org/10.2139/ ssrn.2181534, blz 19. 18 Statistieken voor meerdere jaren zijn beschikbaar op: http://www.fas.org/irp/agency/doj/fisa/
— 18 —
Annex 4; Cases Ter verduidelijking van de nogal complexe materie met betrekking tot toegang tot gegevens in de cloud door Amerikaanse autoriteiten worden hieronder in kort bestek twee fictieve cases behandeld. In deze cases wordt de uitgebreidere informatie van de bepalingen van Amerikaans Federaal Recht, opgenomen in Annex 3, meegenomen. Cloud Computing Een in Nederland gevestigd encryptie softwarebedrijf, heeft geen vestigingen in de Verenigde Staten, en doet daar ook niet continue en stelselmatig zaken. Haar werknemers zijn Nederlanders. Het software bedrijf beschikt over een bestand van persoonsgegevens van haar klanten, dat zij in haar kantoor te Nederland heeft staan. Het bedrijf heeft een applicatie ontwikkeld om voor elke klant relevante aanbiedingen te selecteren en te verzenden. Deze applicatie draait binnen de Amazon Elastic Cloud Compute dienst, op een cloud infrastructuur die geheel binnen Europa gesitueerd is. Ongeacht welke Amazon entiteit exact de clouddienst levert, waarschijnlijk valt in ieder geval één Amazon entiteit die ‘possession, custody or control’ over de gegevens heeft onder de rechtsmacht van de Verenigde Staten. Dit is onder meer waarschijnlijk omdat de door Amazon gescheiden cloud infrastructuur met het oog op back-up voorzieningen in geval van calamiteiten toegang hebben tot infrastructuur in andere regio’s. De regionale netwerken zijn dus niet in die mate afgeschermd dat er geen communicatie over en weer kan optreden. Het is voorts niet ondenkbaar dat het bestand van personen die encryptiesoftware hebben aangeschaft relevant is voor het vermogen van de Verenigde Staten om zich te verdedigen tegen aanvallen van terroristen. Nagaan of bekende terroristengroeperingen de software aankopen valt derhalve onder foreign intelligence information. Autoriteiten in de Verenigde Staten kunnen daarom in beginsel toegang krijgen hiertoe, onder andere door gebruik te maken van de bepalingen van FISA 1881a. Als alternatief kan ook FISA 1861 aangewend worden. ECPA 2703 is ook bruikbaar indien de informatie relevant is bij een strafrechtelijk onderzoek. Indien Amerikaanse autoriteiten inderdaad toegang verzoeken, is het goed mogelijk dat er een gag order opgelegd wordt, zodat het Nederlandse bedrijf in beginsel nooit te weten komt dat deze persoonsgegevens bij Amazon worden opgevraagd en het niet aan haar klanten kan melden. Ministerie van Binnenlandse Zaken Het Ministerie van Binnenlandse Zaken heeft biometrische gegevens, vingerafdrukken om specifiek te zijn, van de gehele Nederlandse bevolking in beheer. Zij heeft de informatietechnologievoorziening hiervoor ge-outsourced in Belfast, bij een lokale IT dienstverlener. Dit omvat ook de opslag van al deze gegevens en het hosten van de applicatie waarmee deze benaderd kunnen worden voor identiteitsverificatie. De IT dienstverlener heeft geen vestigingen of groepsmaatschappijen in de Verenigde Staten, doet daar ook niet continue en stelselmatig zaken, en heeft geen Amerikaanse — 19 —
werknemers. Zij maakt echter wel gebruik van een onderaannemer waar in parallel een backup van de applicatie en de databank met persoonsgegevens draait. De onderaannemer kan zich voor support doeleinden toegang verschaffen tot die applicatie en tot de databank. Deze onderaannemer heeft een vestiging in de Verenigde Staten. Ook hier kan de Amerikaanse overheid zich toegang verschaffen tot de opgeslagen gegevens, nu de onderaannemer onder Amerikaans rechtsmacht valt, en toegang heeft tot de gegevens. Ook hier valt goed te beargumenteren dat deze gegevens foreign intelligence information bevatten. Om een dwarsstraat te noemen, de Verenigde Staten zouden bij hen bekende vingerafdrukken van vermeende terroristen kunnen matchen met de Nederlandse databank. Toegang via FISA 1881a en FISA1861a lijkt dus open te staan. Hier geldt wederom dat door een gag-order op te leggen, het mogelijk is dat het Nederlandse Ministerie nooit op de hoogte raakt van toegang door de Amerikaanse Autoriteiten. ECPA 2703 is hier in beginsel ook bruikbaar indien de informatie relevant is bij een strafrechtelijk onderzoek.
Als gag-orders worden opgelegd is het moeilijk voor de Nederlandse overheid om de acties van de Amerikaanse autoriteiten te achterhalen.
Quint Wellington Redwood – kortweg ‘Quint’ – is een toonaangevend, onafhankelijk managementadviesbureau dat zich volledig toelegt op het oplossen van IT-gerelateerde organisatievraagstukken. De dienstverlening is grensoverschrijdend en strekt zich uit over 49 landen en vier continenten. Quint richt zich in het bijzonder op strategie, innovatie, sourcing, regie en Lean IT, waarbij wereldwijd best practices worden ontwikkeld en geïmplementeerd. Quints portfolio van diensten omvat onder andere Consulting, Benchmarking en Opleidingen en is geïntegreerd in verschillende business- en IT-domeinen. Met het motto “Dare to Challenge”, daagt Quint zichzelf en haar klanten voortdurend uit om ingrijpende prestatieverbeteringen, een betere concurrentiepositie en meer toegevoegde waarde te realiseren. Quint vindt niet alleen de organisatie van haar klanten opnieuw uit, maar ook de consultancybranche zelf! Meer informatie over Quint vindt u op www.quintgroup.com © Copyright 2013, Quint Wellington Redwood. All rights reserved. No part of this publication may be reproduced, transferred and/or shown to third parties without the written consent of The Quint Wellington Redwood Group.
Quint Wellington Redwood
[email protected]
QuintGroup.com
