De Amerikaanse antiterreurwet, Patriot Act, conflicteert in ernstige mate met de principes die gelden in de Europese Unie en al helemaal met de Europese richtlijnen omtrent privacy. Merkwaardig genoeg zijn er weinigen in ons land die zich zorgen maken over deze wet. Wat me dan ook verbaast, is dat weinig Nederlandse bedrijven weten wat de Patriot Act precies behelst. Zeker in een tijd waarin de cloud steeds belangrijker wordt.
De Patriot Act betreft elke Amerikaanse staatsburger, waar hij of zij zich ook bevindt. Op basis van deze wet heeft de FBI – mits met toestemming van een rechter – het recht om alle bezittingen van elke Amerikaan in te zien. Dat geldt dus ook voor digitale bezittingen. De arm van de wet reikt erg ver en volgt Amerikanen en Amerikaanse bedrijven over de hele wereld.
Dat kan in de praktijk leiden tot ongekende, verbijsterende situaties. Zo moest onlangs een Europese vestiging van een Amerikaans bedrijf de servers afstaan voor nader onderzoek. De data bevonden zich weliswaar niet op Amerikaans grondgebied, maar waren wel eigendom van Amerikaanse staatsburgers. Een Amerikaanse rechter had vastgesteld dat de FBI gegronde redenen had de data te onderzoeken. De servers werden in beslag genomen en de data geanalyseerd. Dat alles duurde bij elkaar maar liefst elf dagen. Nare bijkomstigheid was, dat er nog meer vestigingen van het bedrijf in Europa aangewezen waren op die servers. Die lagen dus ook anderhalve week stil. Organisaties kunnen hierdoor zoveel schade oplopen, dat het bestaansrecht in gevaar komt.
Dit horrorscenario zou zich zomaar bij de cloud kunnen voordoen. Als organisaties gebruik maken van cloudfaciliteiten, weten zij niet precies waar deze data zich bevinden. Omdat 80 procent van de cloudleveranciers Amerikaanse bedrijven zijn, is de kans groot dat hun data ergens op servers in Seattle of Orlando staan.
Met een beetje gezond verstand zoekt elk Europees bedrijf tot op het bit uit waar hun data fysiek staan. Vervolgens moeten zij uitzoeken onder welk wettelijk regime de host valt. Als de data zich bevinden op Europees grondgebied, met een Europese host, die allemaal vallen onder het recht van de lidstaat en het Europees recht is er weinig reden tot ongerustheid. Hoewel dat geen garantie is.
Er is geen ontkomen aan. We leven in een tijd dat de cloud almaar groeit. Verreweg de meeste betrokkenen bij de cloud zijn Amerikanen. Om het bestaansrecht van een onderneming niet in gevaar te brengen, moeten Europese organisaties dus goed zijn geïnformeerd over de consequenties van de Patriot Act.
Mark Raben
Director Innovation & Product Strategy SAP Nederland
Een serieus alternatief:
https://www.computable.nl/artikel/nieuws/infrastructuur/4537753/2379248/capgemini-komt-met-messaging-as-a-serviceplatform.html
Het is grappig dat de toegang, die de overige landen ook eisen tot de cloud, niet wordt beschouwd. Welk land was het ook al weer dat de meeste telefoontaps toestond….juist ja Nederland!
Uit onderzoek komt naar voren dat Amerika niet de enige is die graag makkelijk toegang wil hebben tot data. Het zijn ook onze Europese vrienden die inzicht willen wanneer zij het noodzakelijk achten. Even voor de goede orde; Frankrijk heeft een beleid dat stringenter is dan die van de VS en geeft nog makkelijker toegang tot data dan de VS.
In bijgevoegde link het artikel dat inzicht geeft in de verschillende jurisdicties. Vooral de laatste pagina met een overzicht matrix is misschien wel ontluisterend. bit.ly/PMDuWL
Waar gaat het nu echt om. Het gaat om vertrouwen. Vertrouwen we de Amerikanen. Het antwoordt is nee en dat voed het negatieve sentiment mbt de Patriot Act. Is het wantrouwen terecht…misschien wel maar is het vertrouwen in onze eigen buren en onze eigen staat dan wel terecht? Ook daar kunnen we vraagtekens bij zetten…??
Waar we wel een punt van moeten maken is het gemak waarmee bedrijven zoals Microsoft de content van hun Cloud oplossing, Sky drive, zelf scannen. Zij sluiten in sommige gevallen, terecht of onterecht, zonder tussenkomst van een rechtelijke macht de toegang tot de Sky drive en de daar aan gekoppelde accounts. Dat is pas een bedreiging!
Zakelijk zou ik me niet inlaten met deze grote cloudleveranciers! Je merkt dat er toch wel Europese bedrijven op inspringen en zelfs Nederlandse.. Je moet alleen verder durven kijken dan de cloud van Google, Microsoft of Amazone. Bedrijven zoals Edu groepen ( branche specifiek) of Shopvizier (Hosted365) bieden prima cloudoplossingen zonder Patriot Act!