Het Nationaal Cyber Security Centrum (NCSC) gaat geen rol spelen bij problemen op het gebied van veiligheid en privacy in de ‘cloud’. De veiligheid van gegevens is zaak van organisaties zelf. Dat vindt staatssecretaris Teeven van Veiligheid en Justitie. Op vragen van enkele leden van de Tweede Kamer over de mogelijkheid voor de VS om ‘vrijelijk’ te graaien in persoonsgegevens van Nederlanders die opgeslagen zijn in de cloud, antwoordde Teeven geen rol weggelegd te zien van de NCSC.
Kamerleden Gesthuizen en Van Bommel (SP) en Oosenburg (PvdA) hadden Teeven naar aanleiding van een rapport van het Instituut voor Informatierecht van de Universiteit van Amsterdam over de risico’s van ‘cloud computing’ voor onderwijs- en onderzoeksinstellingen een aantal vragen gesteld. In zijn antwoord zegt Teeven eigenlijk niets nieuws. Amerikanen en Europeanen kunnen toegang krijgen tot Nederlandse gegevens in de ‘cloud’. Die opslag is primair de verantwoordelijkheid van degene die die gegevens laat verwerken door een bedrijf dat dat in de ‘cloud’ doet.
Teeven wijst er op dat het onderzoek van de Universiteit terecht stelt dat organisaties zelf de afweging moeten maken welke data zij door welke cloudaanbieder laten beheren. ‘Een ieder die voor de verwerking van gegevens gebruik maakt van cloudddiensten bij aanbieders die (ook) in de Verenigde Staten actief zijn moet zich bewust zijn van de juridische consequenties daarvan. Dat geldt zeker ook wanneer die gegevens een bepaald beschermingsniveau genieten’, zegt Teeven, die wijst op een advies van het College Bescherming Persoonsgegevens.
Teeven zegt dat het hem bekend is ‘uit berichten uit de media’ dat er ‘een gering aantal gevallen’ is geweest waarin bedrijven zijn geconfronteerd met vorderingen van de Amerikaanse autoriteiten om gegevens te verstrekken. Teeven rept niet over gevallen die bekend zijn bij de Nederlandse overheid zelf. In eerdere antwoorden op Kamervragen in de afgelopen jaren heeft Teeven altijd ontkend daarover cijfers te hebben.
De staatssecretaris maakt zich bezorgd over de conflictsituatie die ontstaat tussen de Nederlandse wetten, waaronder de Wet bescherming persoonsgegevens, en de Amerikaanse wet, waaraan bijvoorbeeld cloudleveranciers als Microsoft en Google moeten voldoen. ‘De kern van de onderhavige problematiek is dat bedrijven als gevolg van de extraterritoriale werking van de wetgeving van een vreemd land geconfronteerd kunnen worden met conflicterende verplichtingen met betrekking tot het verstrekken van persoonsgegevens. Ik acht dit een onwenselijke situatie’.Brussel wil tot een betere overeenstemming komen van de nationale wetgevingen en de wijze waarop de Europese regelgeving communiceert met de Amerikaanse.
Onlangs werd bekend dat Nederlandse banken toestemming hebben gekregen van De Nederlandse Bank om in zee te gaan met Microsoft. De Nederlandse Bank heeft een akkoord bereikt met de Amerikanen over het recht op onderzoek. De Nederlandse Bank (DNB) had banken eerder verboden om clouddiensten af te nemen, maar het akkoord met Microsoft heeft dat veranderd. Een onafhankelijke derde partij dient nog een IT Audit uit te voeren om de kwaliteit van de infrastructuur te beoordelen voordat de overeenkomst van kracht wordt.
In dit kader blijft het nuttig om mijn artikel over archivering in de ‘cloud’ te raadplegen, waarin ook de maatregelen voor een ideaal contractmodel zijn opgenomen.