Leest Obama mee in uw cloud?
Het Instituut voor Informatierecht (IViR) heeft daarom onderzoekgedaan naar de toegang van overheden tot data die zich in decloud bevinden. Hoofdconclusie daarvan is dat het voor hetHO zaak is zicht te krijgen en te houden op de condities waaronderjustitie en veiligheidsdiensten toegang hebben tot data en dedaarmee samenhangende risico’s.
Er moet daarbij verder worden gekeken dan de Patriot Act inde USA, want er is sprake van meer wet- en regelgeving daarover overheidstoegang tot (cloud)data. Het volledige rapport,inclusief de managementsamenvatting, is
Nieuwe vragen opgeroepen
De huidige wetgeving in zowel de Verenigde Staten als inNederland zorgt ervoor dat bevoegde instanties de mogelijkheidhebben om gegevens van kennisinstellingen op te vragen. Het maaktdaarbij in principe niet uit of die gegevens in het eigendatacenter of in de cloud staan. Wanneer de gegevens ineen cloud staan bij een leverancier die onder Amerikaansejurisdictie valt, kunnen de gegevens direct vanuit de VS bij debetreffende onderneming/instelling opgevraagd worden.
Is dat niet het geval dan kan een verzoek tot inzage wordengedaan via de Nederlandse justitie of veiligheidsdiensten. Het isjuridisch gezien niet mogelijk om tegen te houden dat bepaalde dataworden opgevraagd door de overheid als deze een relatie legt metstaatsveiligheid of strafvordering.
Wilma Mossink, juridisch adviseur van SURF: “Dat overhedentoegang tot gegevens kunnen krijgen is niet nieuw. De overgang naarcloud computing roept wel vragen op over de veranderendecontext en de consequenties hiervan. Het is volgens het IViR teverwachten dat het opvragen van gegevens uit de cloud dooroverheden alleen maar zal toenemen gezien de hoeveelheid gegevensdie daarin worden ondergebracht. Hoe vaak dat nu gebeurt, ismoeilijk na te gaan. Het is daarom niet aan te geven hoe groot hetrisico daadwerkelijk is. Toch is het belangrijk dat instellingenzich bewust zijn van dit risico bij het onderbrengen van data in decloud.”
Afgeschermde diensten voor HO?
Joris van Hoboken, onderzoeker van het IViR voegt hieraan toe:”De actuele kwestie rond de Patriot Act is nauwelijks grondigonderzocht. Hierdoor zijn in het maatschappelijke debat over cloudcomputing flink wat onjuistheden geslopen. Het maakt bijvoorbeeldin beginsel niet uit of cloudgegevens in de VS of ergens anders inde wereld zijn opgeslagen. Als een Nederlandse cloudaanbiederstructureel zaken doet in de VS, dan geeft VS wet- en regelgevingal de mogelijkheid voor VS autoriteiten om gegevens op te vragenvanuit Nederland. Voor afnemers van clouddiensten zullen zulkerelaties in de praktijk moeilijk te achterhalen zijn en doorovernames in de sector kan de situatie opeens veranderen.”
SURF heeft tegen deze achtergrond de opvatting dat per soortgegevens bekeken moet worden wat de risico’s zijn. Op basis van eendergelijke classificatie kan worden vastgesteld waar publicclouddiensten van marktpartijen ingezet kunnen worden.
Om optimale rechtsbescherming te garanderen in geval vangegevens met een te hoog risico, kan het nodig zijn om bepaaldeafgeschermde community clouddiensten speciaal voor het hogeronderwijs in te richten. Binnen SURF heet het HO immersgekozen voor een strategie waarin cloud computing eenbelangrijke rol speelt. Ze werken actief samen aangemeenschappelijk beleid, onderzoekstrajecten en adoptieprojectenvoor een weldoordacht gebruik van de cloud.
