Europese klanten van cloudaanbieders uit de VS hoeven zich weinig zorgen te maken dat Amerikaanse overheden hun gegevens opvragen op basis van de Cloud Act. Deze Amerikaanse wet maakt het weliswaar voor overheden mogelijk om ook Europese cloudklanten te viseren, maar dit gebeurt in de praktijk vrijwel nooit. Het Nederlandse Nationaal Cyber Security Centrum (NCSC) onderschrijft deze conclusie van Greenberg Traurig, een Amerikaans advocatenkantoor met een vestiging in Amsterdam.
Het NCSC liet aanvullend onderzoek doen naar aanleiding van een eerder rapport over de werking van de Amerikaanse Cloud Act bij dataopslag in de Europese Unie. De wet verplicht Amerikaanse cloudaanbieders om mee te werken als de Amerikaanse overheid toegang wil tot data die hun klanten in Europa hebben opgeslagen. Voor veel Europese organisaties is dit een groot bezwaar en vaak aanleiding om niet met Amerikaanse cloudaanbieders in zee te gaan.
Voorstelbaar, maar kleine kans
De kans dat Amerikaanse autoriteiten daadwerkelijk toegang krijgen tot Europese persoonsgegevens op basis van de Cloud Act, is voorstelbaar maar in de praktijk heel klein. Die conclusie trekt het advocatenkantoor na bestudering van de transparantieverslagen van drie grote Amerikaanse cloudaanbieders, Microsoft, Amazon en IBM. Google, de op twee na grootste cloudaanbieder, is niet meegenomen. De drie onderzochte aanbieders hebben gezamenlijk echter zo’n groot marktaandeel dat de advocaten het aandurven om hun conclusie te veralgemeniseren.
Het komt bij de drie onderzochte cloudaanbieders vrijwel niet voor dat de Amerikaanse overheid een verzoek indient voor de verstrekking van gegevens van Europese klanten. Microsoft ontving sinds maart 2018 twaalf verzoeken, waarvan een onbekend aantal ook nog klanten elders in de wereld betreft. Daarnaast meldde de cloud- en softwareaanbieder in november 2021 nooit aan overheden toegang te hebben verleend tot persoonsgegevens behorend bij organisaties in de publieke sector in de EU.
Twijfel
In 2021 meldde IBM dat de Amerikaanse autoriteiten slechts eenmaal verzochten om de gegevens van klanten in de EU. Het verzoek zou zijn afgewezen. Bij Amazon zou de Amerikaanse overheid nog nooit toegang hebben verleend tot klantgegevens die buiten de VS zijn opgeslagen.
Voor Europese organisaties die toch twijfelen over de impact van de Amerikaanse Cloud Act, hebben de onderzoekers enkele tips. Het gaat om versleuteling van gegevens, beveiligde overdracht naar de cloudaanbieder, gepseudonimiseerde verwerking van de gegevens en beperkte mogelijkheid voor het terug herkenbaar maken van de gegevens.
Het onderzoek werd uitgevoerd in opdracht van het NCSC, dat de conclusies onderschrijft. Volgens het centrum is de Cloud Act slechts een voorbeeld van extraterritoriale wetgeving die doorwerkt op gegevensverwerkingen in Europa. Andere landen kennen vergelijkbare wetgeving.
Beetje nietszeggend rapportje, nou ja toch wel: “law enforcement” vraagt tienduizenden keren per jaar gegevens op bij Microsoft, 45.000 keer waren het de Amerikaanse “rechtsbeschermers” in afgelopen drie jaar. Dat het slechts 12 keer “non-US enterprise content data” betreft die op grond daarvan is vrijgegeven is leuk om te weten, maar stelt me niet echt gerust. En de problemen met de telemetriedata die versleuteld naar de VS gaan, zijn hiermee niet minder geworden. Die data beschouwt Microsoft als “eigen data”, maar kan intussen gewoon “user content” en persoonlijke en strategische content bevatten en zowel metadata als fragmenten van de data van gebruikers bevatten.
Ook voor de data over hoeveel gebruikers er zijn, hoe lang ze bepaalde applicatie gebruiken, welke licenties en apps je gebruikt , etc., en die Microsoft allemaal opslaat, geldt dit en daar heb je zelf geen (encryptie of pseudonisering of welke dan ook) controle over. Het gaat er bij de AVG/GDPR ook niet over hoe groot de kans is dat persoonlijke data door een buitenlandse overheid in praktijk wordt opgevraagd en daadwerkelijk is overgedragen de afgelopen jaren, het gaat erom of je je rechten op die data kunt uitoefenen. Bovendien: rendementen uit het verleden geven geen zekerheden over de toekomst. In dit geval: als de achterdeurtjes de afgelopen drie jaar niet zo vaak gebruikt werden, is dat geen garantie dat dit in de toekomst zo blijft.
Inderdaad een vreemd verhaal van NCSC want zelfs de kleinste kans is een risico, het lijkt er dus op dat er ‘lippendienst’ bewezen wordt aan Amerikaanse vrienden. Een soort van ‘Ga rustig slapen, er is niks aan de hand’ vanuit de overheid terwijl er een handelsoorlog woedt. Want zoals Fred zegt is er interesse bij Microsoft c.s. over wat de gebruiker doet terwijl er nog weinig transparantie is in de metadata die bijvoorbeeld met telemetrie verzameld wordt. Nu is de NCSC er niet voor de burger waardoor dit economische aspect even ‘vergeten’ wordt.
12 keer is niet weinig, afhankelijk van de aard van de opgevraagde gegevens en van welk persoon of welke organisatie.
Transparantieverslagen is wat nietszeggend, bewijs dat er niet meer is opgevraagd heb je niet en volgens mij zijn de bedrijven dat ook niet wettelijk verplicht.
Zodra er weer een Trump aan de macht komt in de VS, dan kan het maar zo zijn dat het opeens heel erg interessant wordt om gegevens door te spitten mocht zo’n figuur er groot belang bij hebben.
Zie ook de recente conclusie van de Duitse overheid in het kader van “Datenschutz”: https://www.agconnect.nl/artikel/microsoft-365-onwettig-concludeert-duitsland
Ik vind dit een bijzondere gang van zaken. De verplichting voor Europese bedrijven is en blijft persoonsgegevens van Europese natuurlijke personen op een wijze beschermen die compliant is met de AVG. De organisatie die daarop toe ziet is de AP. Het is leuk dat het NCSC een onderzoek heeft uitgevoerd, en wellicht is dit onderzoek te gebruiken ter onderbouwing van al dan niet genomen maatregelen in het kader van compliance met de AVG, maar uiteindelijk gaat het NCSC daar niet over.
De eerste alinea van ieder tapverzoek is een NDA.
Dus je weet niet of er verzoeken zijn. Je mag er met niemand over communiceren.
Dus dat er alsnog een aantal wel bekend zijn geworden zegt iets over het aantal.