Na de Patriot Act brengt de FISAA de gemoederen in beweging. Zetten de VS met de FISAA een extra stap in de richting van de Surveillance State?
Al geruime tijd maken we ons met zijn allen druk over de werking en de effecten van de Amerikaanse Patriot Act: de wetgeving die specifieke Amerikaanse overheidsinstellingen in staat stelt gegevens op te vragen, zelfs als deze zich bevinden buiten de VS. Ook niet-Amerikaanse organisaties met een operatie in de VS vallen onder de werking van de Act. Er zijn twee kanttekeningen te maken: de toepassing van de Patriot Act is met strikte juridische waarborgen omkleed; en de schijnwerpers zijn gericht op de VS, maar de Europese (nationale) overheden hebben op hun beurt ook uitgebreide bevoegdheden om zich toegang te verschaffen tot data.
Intussen is er een nieuwe ontwikkeling gaande die de vertrouwelijkheid van data nog verder bedreigt. De werking van de in 2008 ingevoerde Foreign Intelligence and Surveillance Amendments Act (FISAA) wordt verlengd.
Artikel 1881a van de FISAA heeft de mogelijkheid geschapen voor grootschalige surveillance die specifiek is gericht op data binnen het Amerikaanse rechtsgebied van niet-Amerikaanse burgers. De Fourth Amendment beschermt Amerikaanse staatburgers tegen de FISAA, in die zin dat voor het monitoren van Amerikanen specifieke warrants nodig zijn. Niet-Amerikanen zijn niet beschermd. De scope van de surveillance strekt zich uit tot communicatie en tot data in de publieke cloud. Informatie die het voorwerp van onderzoek kan zijn, is ‘foreign intelligence information’, waaronder informatie van – vanuit de Amerikaanse optiek – buitenlandse politieke organisaties en entiteiten die de belangen van de VS in het buitenland raken.
De makers van het eind 2012 uitgebrachte rapport ‘Fighting Cybercrime and protecting privacy in the Cloud’ van het Europarlement stellen: ‘Het is de VS toegestaan om puur politieke surveillance uit te voeren van data van buitenlanders die in Amerikaanse clouds toegankelijk zijn.’ En: ‘FISAA kan worden opgevat als een veel groter risico voor de soevereiniteit van EU-data dan andere wetgeving die tot nu door EU-beleidsmakers is bekeken.’
@Reza
Jouw argument klinkt meer als een drogreden. Aangezien er afgelopen tijd nogal wat problemen her en der met Amerikaanse clouds waren zijn ze blijkbaar nog lang niet zo volwassen als jij denkt.
Maar los daarvan heb je als bedrijf geen keuze als je ervoor kiest je cloud bij een Amerikaans gelieerd bedrijf te zetten. Dan is al je data in die cloud simpelweg ‘fair game’. Of je moet je eigen bedrijf ook Amerikaniseren omdat je dan meer rechten hebt.
Bij de introductie van de nieuwe cloudstorage provider Mega legde de CEO van het bedrijf ook uit dat er dankzij de informatiezucht van de US er een nieuw businessmodel is onstaan om alle cloud data encrypted op te slaan. Nu is maar de vraag in hoeverre deze encryptie is voorzien van goed verborgen backdoors maar het is wel een playfield leveler als een cloud provider de data alleen opslaat en niet kan inzien.
@Sjoerd: Dat een clouddienst issues heeft betekent niet dat het niet volwassen is, dat er issues zijn is niet gek op zo’n schaalgrootte en publieke spotlight. Ik denk dat de diensten het erg goed doen.
Daarnaast kun je ook wel degelijk van alles doen om data tegen overheid van de VS te beschermen. Zelf heb ik een POC opgezet om aan te tonen dat je de Service Bus van Amazon AWS (SQS) en Windows Azure al van end-to-end kunt beveiligen. Zo’n POC ben ik ook aan het maken voor Amazon S3 en Azure Blob storage.
Maar hoe zit het als je een private cloud in NL afneemt van Terremark? Dat is IAAS, maar wel bij een VS provider.
Het vraagstuk is niet simpel en de VS cloud computing providers zijn zeer veel geavanceerder dan elders in de wereld.
Maar wat inzicht als is het maar op geaggregeerd niveau zou al welkom zijn en een (anoniem) voorbeeld hoe zo’n verzoek eruit ziet.
Of anders gezegd, ik zou wel eens de Safe Harbour Principles in actie willen zien. Een zaak waarin een provider hierop een beroep doet en de uitkomst daarvan.
Sjoerd,
Ik ben het met je eens dat zelfs de Amerikaanse provider niet volwassen zijn. Sterker nog als je mijn reacties op cloudartikelen op deze site leest dan zou je zien dat ik dit al lang roep! Ondanks dit gebrek ben ik van mening dat de Amerikaanse providers verder zijn dan Europese cloudleveranciers, we hebben in Europa geen leverancier die zo krachtig is als Google, MS Azure, Salesforce etc. Het gaat ook wat tijd kosten om het niveau van deze jongens in Europa te behalen.
@Henri,
Deze vraag heb ik al eerder in een cloudsessie aan een advocaat die ook de spreker was gesteld. Het antwoord was: Als zij een Amerikaanse bedrijf zijn dan moeten ze zich ook aan de Amerikaanse wetgeving in NL houden. Dus doorgeven van data indien erom gevraagd wordt!
Verder je bent naief als je denkt dat je er achter komt hoevaak dit verzoek door Amerikaanse overheid ingediend wordt. Dit zoals het aantal keren die een Cloudleverancier onder vuur wordt genomen door een DDoS aanval! Onderwerpen die neergang van de betreffende leverancier gaan veroorzaken!
@Reza, @Sjoerd:
Kijk de KPN zijn ook nog niet volwassen! http://www.nu.nl/internet/3009889/internetstoring-kpn-geeft-landelijk-problemen.html
Dat veel in ontwikkeling is kan ik beamen. Dat het nog niet optimaal is ook, maar definieer nu eens onvolwassen en neem dan mee wat er allemaal nog meer onvolwassen is (zie mijn NU.NL link).
Onvolwassen wordt hier gebruikt als kapstok begrip en niet onderbouwd.
Laten we er een definitie bij houden:
http://www.encyclo.nl/begrip/onvolwassen
Wellicht bedoel je dan de onderste van de 3 opsommingen:
– 1) Jong 2) Kinderlijk 3) Klein 4) Nog niet tot volle wasdom komen 5) Niet volgroeid 6) Nog niet rijp 7) Nog niet volgroeid 8) Onvolgroeid 9) Onrijp 10) Onmondig
1) Jong = relatief, is de iPhone jong? AWS is ouder dan de iPhone.
3) Klein = tov wat? Invergelijking tot het aantal on-premise omgevingen?
4) Nog niet tot volle wasdom komen = zeker! Er zit nog heel veel meer in het vat, maar dat geldt ook heel veel technologie! En laggards zouden wel eens spijt krijgen van het “onvolwassen” mantra.
et cetera.
@Henri,
Volwassenheid en betrouwbaarheid waar een cloudleverancier aan hoort te voldoen, moeten in de standaardisatie-eisen en normen die aan de provider gesteld worden, gedefinieerd worden! Ik hoef dat niet te definiëren! En zoals je weet deze standaardisatienormen bestaan er nog niet!
Daarom zien we er veel zogenaamde “cloud-begeleiders” die als paddestoel uit de grond komen!
Dank voor alle reacties. Het is een vraagstuk met veel kanten. De schijnwerpers staan op de Amerikanen gericht, maar er zijn meer overheden op deze aardbol. En die zijn niet altijd even transparant. Eigenlijk is een goede risicoanalyse op zijn plaats: hoe groot is de kans dat overheden gebruik maken van hun wettelijke mogelijkheden? En vervolgens: als ze dat doen, wat is dan de impact of schade?
De wetgeving is van invloed op de kans. Het is dus zaak daar vinger aan de pols te houden. Het Europees Parlement is hierin uitermate belangrijk, net als de nationale parlementen en de Europese Commissie. Ook de gedragingen van het voorwerp van onderzoek bepalen de kans. Gaat het om criminaliteit? Terrorisme? Of om politiek onwenselijke uitingen?
De mate van impact is van veel en uiteenlopende factoren afhankelijk. Wie of wat is het voorwerp van onderzoek? Wat gebeurt er met de verkregen informatie? Tot welke sancties leidt de verkregen informatie? Elke case is anders.
Het is belangrijk dat er goede en werkbare wetgeving komt. We moeten voorkomen dat het cloud gebruik zich gaat opsplitsen in juridische zones: een Amerikaanse zone, een Europese, een Chinese, een Noord-Koreaanse….Met strikte grenzen en beperkingen. Net zo goed als we streven naar interoperabiliteit van cloud infrastructuren, verdient interoperabiliteit van wetgeving alle aandacht.
@Ewout: ik zing graag mijn partijtje mee 😉
Theo,
Eén vraag beantwoorden met 8 wedervragen is heel symbolisch voor de regelgeving rond privacy in de Europese Cloud;-)