IViR onderzoekt rol Patriot Act bij gebruik cloud

'Hoger onderwijs kent condities inzage data niet'

Het is voor hogeronderwijsinstellingen in Nederland zaak zicht te krijgen en te houden op de condities waaronder justitie en veiligheidsdiensten toegang hebben tot data en de daarmee samenhangende risico's. Er moet daarbij verder worden gekeken dan de Patriot Act, die symbool staat voor meer wet- en regelgeving van de Verenigde Staten over overheidstoegang tot (cloud)data. Dit adviseert IViR op basis van onderzoek.

Het Instituut voor Informatierecht (IViR) heeft onafhankelijk onderzoek gedaan naar de toegang van overheden tot data die zich in de cloud bevinden. Het onderzoek is uitgevoerd op verzoek van Surf, de ICT samenwerkingsorganisatie voor hoger onderwijs en onderzoek. Belangrijkste aanleiding voor het onderzoek zijn veelgestelde vragen over de Amerikaanse Patriot Act.

Amerikaanse jurisdictie

De huidige wetgeving in zowel de Verenigde Staten als in Nederland zorgt ervoor dat bevoegde instanties de mogelijkheid hebben om gegevens van kennisinstellingen op te vragen. Het maakt daarbij in principe niet uit of die gegevens in het eigen datacenter of in de cloud staan. Wanneer de gegevens in een cloud staan bij een leverancier die onder Amerikaanse jurisdictie valt, kunnen de gegevens direct vanuit de Verenigde Staten bij de betreffende onderneming/instelling opgevraagd worden. Is dat niet het geval dan kan een verzoek tot inzage worden gedaan via de Nederlandse justitie of veiligheidsdiensten. Het is juridisch gezien niet mogelijk om tegen te houden dat bepaalde data worden opgevraagd door de overheid als deze een relatie legt met staatsveiligheid of strafvordering.

'Dat overheden toegang tot gegevens kunnen krijgen is niet nieuw', zegt Wilma Mossink, juridisch adviseur van Surf. 'De overgang naar cloud computing roept wel vragen op over de veranderende context en de consequenties hiervan. Het is volgens het IViR te verwachten dat het opvragen van gegevens uit de cloud door overheden alleen maar zal toenemen gezien de hoeveelheid gegevens die daarin worden ondergebracht. Hoe vaak dat nu gebeurt, is moeilijk na te gaan. Het is daarom niet aan te geven hoe groot het risico daadwerkelijk is. Toch is het belangrijk dat instellingen zich bewust zijn van dit risico bij het onderbrengen van data in de cloud.'

'De actuele kwestie rond de Patriot Act is nauwelijks grondig onderzocht', voegt Joris van Hoboken, onderzoeker van het IViR hieraan toe. 'Hierdoor zijn in het maatschappelijke debat over cloud computing flink wat onjuistheden geslopen. Het maakt bijvoorbeeld in beginsel niet uit of cloudgegevens in de Verenigde Staten of ergens anders in de wereld zijn opgeslagen. Als een Nederlandse cloudaanbieder structureel zaken doet in de Verenigde Staten, dan geeft Verenigde Staten wet- en regelgeving al de mogelijkheid voor VS-autoriteiten om gegevens op te vragen vanuit Nederland. Voor afnemers van clouddiensten zullen zulke relaties in de praktijk moeilijk te achterhalen zijn en door overnames in de sector kan de situatie opeens veranderen.'

Gegevensclassificatie

Op basis van dit onderzoek en eerder verschenen onderzoek naar het gebruik van de cloud en privacy, is Surf van mening dat per soort gegevens bekeken moet worden wat de risico's zijn. Op basis van een dergelijke classificatie kan worden vastgesteld waar public clouddiensten van marktpartijen ingezet kunnen worden. Om optimale rechtsbescherming te garanderen in geval van gegevens met een te hoog risico, kan het nodig zijn om bepaalde afgeschermde community clouddiensten speciaal voor het hoger onderwijs in te richten.

De hogeronderwijsinstellingen hebben binnen Surf gekozen voor een strategie waarin cloud computing een belangrijke rol speelt. Ze werken actief samen aan gemeenschappelijk beleid, onderzoekstrajecten en adoptieprojecten voor een weldoordacht gebruik van de cloud.