Het nationale cloudbeleid schiet tekort in het beschermen van overheidsgegevens tegen buitenlandse wetten, vooral die van de VS. Dit concludeert Machiel van der Wal, winnaar van de Brinkhof Internetscriptieprijs 2023/2024. Volgens de jury getuigt zijn thesis ‘On the Sovereignty of Dutch Government Data’ van een uitzonderlijke diepgang en kennis van zowel de juridische als technische aspecten.
Van de Wal, afgestudeerd in Complex Systems Engineering and Management (TU Delft) met een LLM Informatierecht (UvA), constateert dat de Nederlandse overheid steeds meer gebruikmaakt van publieke clouddiensten van hyperscalers. Dit biedt voordelen, zoals betere functies en lagere kosten, maar de bescherming van overheidsgegevens baart zorgen. Van der Wal zocht uit hoe goed de Nederlandse wetten en regels de soevereiniteit van overheidsgegevens beschermen in de publieke cloud. Amerikaanse wetten zoals de Cloud Act kunnen Amerikaanse bedrijven dwingen om gegevens over te dragen, wat een risico vormt voor de vertrouwelijkheid van gevoelige overheidsinformatie. Ook vanuit FISA sectie 702 (inlichtingendiensten) is dit soort dwang mogelijk.
Aanvullende maatregelen zoals encryptie en adequaat sleutelbeheer kunnen het risico verlagen. Dit is niet altijd mogelijk of haalbaar voor alle soorten clouddiensten, zoals saas. Bovendien ben je dan afhankelijk van de implementatie van de clouddienstverlener. Verder kan het risico voor de beschikbaarheid van gegevens niet volledig worden beperkt. Want de VS zouden clouddienstverleners in de toekomst kunnen dwingen de dienst te wijzigen op basis van hun beweerde jurisdictie.
Een contract tussen de Nederlandse overheid en de clouddienstverlener heeft geen extern effect en kan deze kwesties met betrekking tot overheidsdata-soevereiniteit niet volledig voorkomen. Dit leidt tot de conclusie dat een ‘soevereine cloud’ niet haalbaar is voor onder meer Amazon Web Services en Microsoft Azure.
Expliciet
Het Nederlandse juridische en beleidsmatige kader voor het hosten van overheidsdata in een publieke cloud vermeldt ‘data-soevereiniteit’ niet expliciet. Het hanteert een risicogebaseerde benadering voor het gebruik van 45 clouddiensten. Staatsgeheimen mogen niet in de publieke cloud worden opgeslagen, terwijl voor alle andere soorten overheidsdata een risicobeoordeling nodig is.
De voorgeschreven risicobeoordeling omvat criteria die relevant zijn voor data-soevereiniteit en die mogelijk bescherming bieden. Het is echter onduidelijk hoe het risico voor overheidsdata-soevereiniteit moet worden gewogen, in vergelijking met bijvoorbeeld de vermeende voordelen van zelfgehoste oplossingen. Mogelijk is een alternatief dat de data-soevereiniteit van de overheid beter zou beschermen, ook duurder en heeft dit misschien minder functies.
Om de soevereiniteit van gegevens beter te beschermen, wordt voorgesteld om strengere eisen te stellen aan de opslag van gevoelige gegevens. Dat zou vereisen dat een cloudserviceprovider niet onder de jurisdictie van een derde of niet-EU-land valt. Een en ander zou een verschuiving betekenen van de huidige marktgerichte, op risico’s gebaseerde aanpak naar een meer beschermende strategie. Voor Nederland betekent dat een grote ommezwaai.
Scriptieprijs
Brinkhof is een in Amsterdam gevestigd advocatenkantoor dat is gespecialiseerd in technologie, communicatie en marktregulering. Sinds 2006 reikjt het kantoor jaarlijks de Internet Scriptieprijs uit voor de beste scriptie op het gebied van internet en recht.
oud nieuws, dat kon iedereen al jaren eerder weten