De Amerikaanse Cloud Act heeft veel impact op Europese bedrijven en cloudproviders, zelfs als die geen vestiging in de VS hebben. Om gedoe te voorkomen, zouden betrokken cloudbedrijven gegevens altijd via een niet-Amerikaans bedrijf moeten verwerken.
Dit schrijft het Amsterdamse advocatenkantoor Greenberg Traurig op basis van een studie in opdracht van het Nationaal Cyber Security Centrum (NCSC), onderdeel van het ministerie van Justitie en Veiligheid. Het bureau schetst uitgebreid welke stappen Europese bedrijven moeten nemen om geen hinder te ondervinden van de Amerikaanse cloudwet en welke mogelijkheden er bestaan om de risico’s te verkleinen. Anders dan vaak wordt aangenomen, zijn Europese bedrijven en dataopslag in Europa niet immuun voor Amerikaanse wetgeving. Data die volledig in Europa worden verwerkt en opgeslagen, vallen soms onder de Amerikaanse wetgeving. Amerikaanse geheime diensten kunnen die data opvragen, ook al zijn ze nooit buiten Europa geweest.
Het voorbeeld van deze wet laat zien wat de gevolgen zijn van wetgeving als die een extraterritoriale werking heeft. Wetgeving in het digitale domein heeft steeds vaker zo’n extraterritoriale werking. Dit maakt de beveiliging van informatie in de EU en het voldoen aan de EU en nationale wet- en regelgeving op het gebied van informatiebeveiliging en dataprotectie moeilijker.
Dochter
Belangrijkste advies van Greenberg Traurig is geen gegevens te verwerken via een bedrijfseenheid die een zakelijke relatie heeft met een bedrijf dat in de VS zit, zoals een Amerikaanse dochter. Als er toch een zakelijke relatie bestaat met een bedrijf in de VS, dan mag het Amerikaanse bedrijf geen bezit, bewaring of controle hebben over de gegevens die zijn opgeslagen in de EU.
In geen geval mag er sprake zijn van een Amerikaanse moeder, aangezien deze moeder zou worden geacht het bezit van of de controle over de gegevens van haar dochter te hebben. Verder is het raadzaam geen Amerikaanse staatsburgers in dienst te nemen die toegang hebben tot relevante gegevens.
Overigens zijn er manieren om ‘immuun’ te worden voor de Amerikaanse cloudwetgeving. Greenberg Traurig somt die op. Ook de juiste codering, zoals Microsofts DKE88, zal toegang tot de meeste gegevens voorkomen. Een op risico’s gebaseerde benadering zou weleens tot de conclusie kunnen leiden dat de risico’s laag zijn, stellen de Amsterdamse advocaten voorzichtig.
Voorbeeld van zo’n benadering is de beoordeling van de gegevensbeschermings-effecten (DPIA) zoals Microsoft Teams die hanteert. Ook Microsofts nieuwe EU Data Boundary lijkt te voorkomen dat er gegevens van de EU naar de VS gaan. Dit kan ook beschermen tegen de wet. Het Franse initiatief Bleu, van Capgemini en Orange (met Microsoft), lijkt ook de goede kant op te gaan. Google werkt naar verluidt aan soortgelijke initiatieven.
Verder merken de advocaten op dat de Cloud Act ook gegevens kan bereiken via onderaannemers/leveranciers van hard- en software van en naar cloud-aanbieders. Als Microsoft bijvoorbeeld Cisco-routers gebruikt en Cisco heeft via deze routers toegang tot gegevens van EU-klanten/betrokkenen, dan moet dit ook worden geadresseerd.
Chinese Data Security Law
Uit een blog van Arnoud van Petersen, cio van het NCSC, blijkt dat de Amerikaanse Cloud Act niet de enige ‘bedreiging’ vormt. Ook de Chinese Data Security Law (DSL) is van toepassing elders in de wereld. Deze wet regelt de verwerking van data in China, maar ook data of informatie buiten China op het moment dat die ‘relevant is voor de nationale veiligheid of andere maatschappelijke belangen van China.’ Dit soort wetgeving is absoluut relevant omdat steeds meer hardware, software en digitale dienstverlening uit China komt. Zonder dat het NCSC Huawei noemt, is duidelijk dat hiermee ook deze onderneming wordt bedoeld die steeds meer servers en ai-software exporteert.