De SP-Kamerleden Maarten Hijink en Ronald van Raak willen van het kabinet weten of de data van Nederlandse inwoners die bij het UWV bekend zijn en in het datacenter van IBM worden beheerd, in handen kunnen komen van de Amerikaanse overheid. Daarover hebben zij Kamervragen gesteld aan de ministers van Economische Zaken (EZ), Sociale Zaken en Werkgelegenheid (SZW) en Binnenlandse Zaken en Koninkrijksrelaties (BZK).
De Kamervragen van de twee SP-politici zijn een vervolg op eerdere Kamervragen, waar minister Ronald Plasterk van BZK vorig maand antwoord op heeft gegeven. Aanleiding voor de vragen is een bericht van afgelopen april op Tweakers.net. Daarin staat beschreven dat Google van een Amerikaanse rechter gebruikersinformatie aan de overheid moet overhandigen die opgeslagen staat op een server op een ander continent. Ook verwijzen de twee Kamerleden naar een bericht in Computable dat het Rijk geen overzicht heeft op waar overheidsdata staan opgeslagen.
Volgens minister Plasterk is het de eigen verantwoordelijkheid van een overheidsdienst om een veilige opslag van data te regelen. Daarvoor gelden regelingen als de Baseline Informatiebeveiliging Rijk en de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Hij kan echter niet uitsluiten dat Nederlandse overheidsdata, die worden verwerkt door dienstverleners uit de VS, onder de reikwijdte van een bepaalde Amerikaanse vorderingsbevoegdheid vallen. Maar, stelt hij, er is ook Europese wetgeving (Judicial Redress Act) die mogelijkheden tot inzage en correctie van de Amerikaanse vorderingsbevoegdheden bevat en de EU-privacyrichtlijn EU-US Privacy Shield.
Garanties?
De twee SP-Kamerleden nemen geen genoegen met deze uitleg en stellen nu in een nieuwe brief concrete vragen over het UWV (Uitvoeringsinstituut Werknemersverzekeringen). Aangezien het UWV een datacentercontract heeft lopen met IBM (dat daarvoor een datacenter in Brussel inzet) is de SP nu bevreesd dat de Amerikaanse overheid in principe ook de persoonsgegevens van Nederlandse burgers die het UWV op de servers bij IBM heeft staan, kan opvragen. En dat dit ook zou opgaan voor andere overheidsinstanties die gebruikmaken van datacenters van Amerikaanse bedrijven.
De SP’ers willen van de ministers weten wat de garanties zijn dat dit niet gebeurt. En mochten die garanties er niet zijn, wat zij dan gaan ondernemen om zulke situaties te voorkomen.
Verder willen zij weten of de bewindslieden ook vinden dat het opslaan van gegevens op buitenlandse servers de kans vergroot dat deze data in handen komen van buitenlandse overheden, zeker nu Google de gebruikersgegevens moet afstaan. En of zij maatregelen in petto hebben om dit onmogelijk te maken.
Een goede vraag, vooral ook omdat de overheid nu met allerlei maatregelen komt om bedrijven bepaalde dingen te verplichtenin verband met privacy en datalekken. Lijkt me dat diezelfde overheid dan in ieder geval zijn eigen zaakjes ook goed geregeld moet hebben.
Plasterk geeft al aan dat er een papieren zekerheid is. Dat is niet genoeg. Je wilt een technische zekerheid én dat het bedrijf waar je je data stalt onderhevig is aan de Nederlandse wetgeving.
Als IBM een geheim FISA rechtsuitspraak op haar bordje krijgt dan heeft zij te voldoen en niemand zal verder ingelicht worden. Zo zal het in de praktijk gebeuren als het al niet zo gebeurd is.
Daar zijn ze dan ruim 12 jaar te laat mee…. En die vragen zijn gesteld ten tijde van de Europese aanbesteding die dit stuk dienstverlening in de markt zette. Enige voorwaarde die gesteld werd is dat de data wel fysiek binnen de (toenmalige) EU moest worden geplaatst. Verder was het een kwestie van ‘goed contracteren’. Ehm… ja.
Servers van het ministerie van I&M stonden een jaar of 10 terug al bij IBM dat ook nog eens een tijdje een stuk applicatiebeheer had outgesourced naar India. Dus wat dat betreft is er niets nieuws.
In dit geval zijn er Digid en NAW gegevens die gevaar lopen. Lijkt mij dat dat diefstal van identiteit mogelijk maakt.
De plaats van opslag is een punt, de eigenaar van de opslagplaats een ander. Het zou me niet verbazen als de VS wetgeving stelt dat schijfruimte die eigendom is van een VS bedrijf en dat toegang verschaft moet worden als de VS overheid dat eist. Ik denk ook dat er gekeken moet worden hoe de back-up geregeld is – waar staan die gegevens opgeslagen?