Na de Patriot Act brengt de FISAA de gemoederen in beweging. Zetten de VS met de FISAA een extra stap in de richting van de Surveillance State?
Al geruime tijd maken we ons met zijn allen druk over de werking en de effecten van de Amerikaanse Patriot Act: de wetgeving die specifieke Amerikaanse overheidsinstellingen in staat stelt gegevens op te vragen, zelfs als deze zich bevinden buiten de VS. Ook niet-Amerikaanse organisaties met een operatie in de VS vallen onder de werking van de Act. Er zijn twee kanttekeningen te maken: de toepassing van de Patriot Act is met strikte juridische waarborgen omkleed; en de schijnwerpers zijn gericht op de VS, maar de Europese (nationale) overheden hebben op hun beurt ook uitgebreide bevoegdheden om zich toegang te verschaffen tot data.
Intussen is er een nieuwe ontwikkeling gaande die de vertrouwelijkheid van data nog verder bedreigt. De werking van de in 2008 ingevoerde Foreign Intelligence and Surveillance Amendments Act (FISAA) wordt verlengd.
Artikel 1881a van de FISAA heeft de mogelijkheid geschapen voor grootschalige surveillance die specifiek is gericht op data binnen het Amerikaanse rechtsgebied van niet-Amerikaanse burgers. De Fourth Amendment beschermt Amerikaanse staatburgers tegen de FISAA, in die zin dat voor het monitoren van Amerikanen specifieke warrants nodig zijn. Niet-Amerikanen zijn niet beschermd. De scope van de surveillance strekt zich uit tot communicatie en tot data in de publieke cloud. Informatie die het voorwerp van onderzoek kan zijn, is ‘foreign intelligence information’, waaronder informatie van – vanuit de Amerikaanse optiek – buitenlandse politieke organisaties en entiteiten die de belangen van de VS in het buitenland raken.
De makers van het eind 2012 uitgebrachte rapport ‘Fighting Cybercrime and protecting privacy in the Cloud’ van het Europarlement stellen: ‘Het is de VS toegestaan om puur politieke surveillance uit te voeren van data van buitenlanders die in Amerikaanse clouds toegankelijk zijn.’ En: ‘FISAA kan worden opgevat als een veel groter risico voor de soevereiniteit van EU-data dan andere wetgeving die tot nu door EU-beleidsmakers is bekeken.’
Daarom zijn er nog steeds bedrijven die hun cloud zelf doen, in eigen datacentra, of deze in datacentra zonder US eigenaarschap of footrpint.
Theo,
eigenlijk zeg je: foreign cloud is out……! Want je schrijft: “grootschalige surveillance die specifiek is gericht op data binnen het Amerikaanse rechtsgebied van niet-Amerikaanse burgers.”
Hallo Theo,
Gezien de genoemde functies in je profiel neem ik aan dat jij degene bent die voor de muziek zorgt;-)
Dan betreffende de Amerikaanse wetgeving: wat doet de Nederlandse/EU overheid?
Ik stel deze vraag omdat er natuurlijk veel meer is dan Patriot Act en FISAA nu er strijd gevoerd wordt over de controle van Internet. En onze opsporingsdiensten zijn er ook niet vies van om te tappen zoals uit andere rapporten opgemaakt kan worden. En ik denk dat ‘sectie stiekem’ dat ook lang niet altijd volgens de regels doet.
Dan is backuppen ook niet meer nodig. Alleen maar even een verzoekje naar de US en ze sturen de data wel even.
Theo,
Bedankt voor je artikel. Net als Ewout ben ik ook erg benieuwd wat de EU gaat doen? Gaan zij het ook zo strikt spelen of blijven we hier van af wijken?
@ Sjoerd,
Leuke toevoeging. Laten we hopen dat dat niet gaat gebeuren 🙂
Allereerst, niet VS staatsburgers hebben geen recht op privacy. VS kan toegang vragen tot inzage in informatie over burgers *zonder* hiervoor naar de rechter te hoeven, o.a. dmv FISA (in mijn ogen 1 A).
Waar ik vooral benieuwd naar ben is hoe de diverse providers zoals Amazon en Microsoft omgaan met zo’n aanvraag en met name als het gaat om data in Europese data centers. Hoe veel, hoe vaak, met welke strekking. Zijn ze gericht tegen ondernemingen of burgers of beide? En welke middelen hebben providers om dit te weigeren of te toetsen een EU danwel NL recht?
Zonder goede heldere antwoorden van deze providers blijft het risico op het gebruik van VS public cloud providers een moeilijk in te schatten risico.
Het *zeer’*grote voordeel is dat EU bedrijven een kans krijgen markt te veroveren op de EU markt voor cloud computing. Als dit succesvol blijkt (maar dat is nu nog de vraag), dan zal VS veel meer bereidheid tonen om in te schikken omdat het anders teveel centjes kost.
Of partijen in EU deze kans pakken is nog maar de vraag, vooralsnog heb ik er niet zoveel vertrouwen in vooral als je ziet met welke snelheid de diensten zich ontwikkelen en hierin geen ‘short-cuts’ genomen kunnen worden.
Goed punt Henri! Patriot Act biedt ons Europeanen natuurlijk veel kansen.
Aha, ik zie dat Theo zijn functie van bestuursliEd aangepast heeft naar bestuurslid.
In maart en oktober 2012 heb ik daar al eens op gewezen in een reactie op het onderzoek van IVIR, dus is m.i. geen nieuw inzicht:
“Het rapport van de IVIR stelt als eerste vast dat “de Patriot Act een symboolfunctie is gaan spelen in het debat.” Ze doelen dan op het feit dat de Patriot Act geen echte wet is, maar een raamwerk voor bestaande wetten naar aanleiding van 9/11 en aanpassingen doet aan deze wetten. Met betrekking tot de cloud stelt het IVIR de hoofdvraag: “Gezien de inhoud van de Patriot Act gaat het om de vraag naar de bevoegdheden van overheidsinstanties (in het bijzonder Amerikaanse) om toegang te krijgen tot gegevens in de cloud in verband met de strafrechtelijke handhaving en de nationale veiligheid.”
Kort wordt stilgestaan bij het zogenaamde Fourth Amendment, maar deze biedt geen bescherming voor niet-Amerikanen. Wel zijn de Foreign Intelligence Surveillance Act (FISA) en de Electronic Communications Privacy Act (ECPA) van belang. “De FISA gaat over de verkrijging van buitenlandse inlichtingen (foreign intelligence) door middel van aftappen, doorzoekingen en bevragingen van gegevens in het kader van de bescherming van de nationale veiligheid. De ECPA gaat over op het aftappen en verkrijgen van gegevens bij elektronische communicatiediensten in het kader van de strafrechtelijke handhaving.”
Dan komt het rapport op de belangrijkste boodschap, namelijk dat van alle niet-Amerikanen buiten de VS inlichtingen ingewonnen kunnen worden binnen de bepalingen van de Amerikaanse wet. Met name “Artikel 50 USC 1881a is het geëigende middel voor Amerikaanse inlichtingen- en veiligheidsdiensten om inlichtingen over niet-Amerikaanse personen verblijvend in het buitenland te vergaren.” Eigenlijk bestaat er nauwelijks een drempel om deze informatie te vergaren en de VS doet dat ook op een manier die door de Amerikaanse wetenschapper Banks als ‘stofzuigerbenadering’ wordt getypeerd: veel verzamelen en later analyseren.”
Het geeft dus nog steeds veel kansen voor Europese clouddiensten!
zie: http://tinyurl.com/c5dehea
Mooi artikel Theo en ook waardevolle informatie/aanvulling van Leen, dank heren.
Amerikaanse Cloudproviders hebben inmiddels veel kennis en ervaring opgedaan op het gebied van Cloud Computing. Ik kan me voorstellen dat ze deze kennis niet met hun Europese concurrenten willen delen. Dit betekent enorme achterstand op allerlei fronten bij Europese Cloudleveranciers. Ze moeten eigenlijk het wiel opnieuw uitvinden, iets wat al lang geleden in Amerika uitgevonden is.
Het is waar dat de Europese bedrijven hierdoor nieuwe kansen krijgen maar de vraag is of de consumenten hier iets aan hebben! Ik zou nog even wachten met het afnemen van een cloud dienst bij een Europees bedrijf als ik nu al weet dat ze een (enorme)achterstand hebben!