Overheidsgegevens in handen van Amerikaanse tech-reuzen?
Met de komst van een aparte staatssecretaris voor Digitalisering, was de verwachting dat er nu serieus aandacht zou komen voor de gevaren van data opslag in de cloud. Maar niets lijkt minder waar.
Besluit lokt kritiek uit
Onlangs heeft staatssecretaris Van Huffelen besloten om overheidsgebruik van commerciële clouds, onder bepaalde voorwaarden, toe te staan. In de praktijk komt het erop neer dat data van de Nederlandse regering terecht komt bij de grote namen in de Verenigde Staten: Microsoft, Google en Amazon. Verschillende experts noemen deze beslissing onvoorzichtig, slecht getimed en naïef.
Bezwaren op cultureel en juridisch vlak
Privacy experts melden dat de verschillen in het denken over privacy tussen de EU en de VS onoverbrugbaar zijn. Een duidelijk voorbeeld daarvan is de langslepende kwestie van de Privacy Shield. Deze overeenkomst regelde het verplaatsen en opslaan van gegevens tussen Europa en de VS tot hij in 2020 ongeldig werd verklaard door het Europese Hof. De afspraken die hierin waren opgenomen waren namelijk niet afdoende. Sindsdien wordt er gewerkt aan een nieuwe overeenkomst, maar blijken de grenzen die de EU aanvaardbaar vindt lastig in overeenstemming te brengen met de in de VS geldende normen.
Niet AVG-proof
In de VS geldt de zogenaamde Cloud-Act. Deze “Clarifying Lawful Overseas Use of Data Act” bepaalt dat gegevens door de Amerikaanse overheid mogen worden opgevraagd zonder dat jij of bijvoorbeeld je werkgever daarvan op de hoogte zijn. Stel dat de Nederlandse overheid inderdaad data opslaat op Amerikaanse cloudservers, dan is de Cloud Act daarop van toepassing en voldoet de overheid dus in feite niet meer aan de Nederlandse AVG (Algemene verordening gegevensbescherming).
Gevaarlijke marktwerking
Daarnaast wordt de markt in de VS (en ver daarbuiten) beheerst door enkele grote spelers als Microsoft, Google en Amazon. Dat maakt hun clouddiensten goedkoop, maar er zit een flinke adder onder het gras. Als je eenmaal binnen bent, is overstappen naar een concurrent namelijk moeilijk en gaat gepaard met flinke kosten. Waar veel organisaties in Nederland zich in vergissen, is dat je moet betalen om je data er weer uit te halen. Dit beleid zorgt voor een zogenaamde 'zuigwerking' van clouddiensten. Als je eenmaal gekozen hebt voor de cloudomgeving van één Amerikaanse aanbieder, zit je als het ware gevangen in het web en raak je steeds verder gebonden aan deze aanbieder. Daardoor word je zeer afhankelijk van een aanbieder en dat is een positie die je als bedrijf niet moet willen, maar als overheid al helemaal niet!
Waarschuwing aan het bedrijfsleven
Laten we hopen dat de reacties op het besluit van staatssecretaris Van Huffelen de overheid op andere gedachten zullen brengen. Wat het in ieder geval laat zien, is dat je altijd alert moet blijven op de veiligheid van jouw gegevens. Houd jij je data ook liever veilig dicht bij huis? Denk dan eens aan online opslag of andere clouddiensten van interparts. Onze servers staan veilig in Nederland op een locatie waar alleen Interparts bij kan komen (in Haarlem, Amsterdam of gewoon in de Bollenstreek). En uiteraard voldoen we aan alle eisen die volgens de AVG gesteld worden. Prettig idee toch?