VS heeft toegang tot cloudgegevens

Door redacteur politie en justitie Ilan Sluis

Nederlandse gebruikers van clouddiensten lopen een groter risico dan tot nu toe gedacht, omdat Amerikaanse opsporingsdiensten toegang hebben tot die gegevens, blijkt uit onderzoek. Dat komt door de verstrekkende mogelijkheden die de Amerikaanse Patriot Act, een stelsel van wetgeving op het gebied van toegang tot gegevens voor justitie, politie en veiligheidsdiensten, die diensten biedt.

Steeds meer consumenten maken gebruik van 'de cloud' voor het plaatsen van gegevens op externe servers. Bedrijven als Google, Microsoft en Apple bieden diverse diensten aan. Het lijkt handig om een backup te hebben waar gebruikers overal ter wereld bij kunnen. Maar de eigenaar is niet de enige die er makkelijk bij kan, blijkt nu (.pdf).

Het onderzoek van het Instituut voor Informatierecht (IViR) toont aan dat in ieder geval de Amerikaanse opsporingsdiensten zeer makkelijk toegang hebben tot de gegevens. Het instituut nam de toegang van overheden tot data die in de cloud is opgeslagen onder de loep. Daarbij werden voornamelijk de wetten die vallen onder de Patriot Act helemaal uitgeplozen. Het onderzoek is uitgevoerd op verzoek van SURF, de ICT-organisatie voor hoger onderwijs en onderzoek.

Patriot Act

Uit het onderzoek blijkt dat de Amerikaanse wet zeer verstrekkende mogelijkheden biedt voor Amerikaanse opsporingsdiensten om te speuren in de cloud, met name naar gegevens van niet-Amerikanen. De Patriot Act geeft niet-Amerikanen veel minder rechten dan Amerikanen, zeggen de onderzoekers. Daardoor is het makkelijk om snel grote hoeveelheden data van niet-Amerikanen te doorzoeken.

Daarbij maakt het niet uit of de clouddienst vanuit de Verenigde Staten opereert, of bijvoorbeeld in Nederland. Want, zo blijkt uit de studie, een bedrijf valt al onder de reikwijdte van de Patriot Act als het activiteiten in Amerika ontplooit. Dus een Nederlands bedrijf dat een backup server in Amerika heeft, valt er onder. Amerikaanse opsporingsdiensten mogen dan ook snuffelen in de servers die buiten Amerika staan, bijvoorbeeld in Nederland.

'Makkelijk toegankelijk'

Het instituut onderzocht de mogelijkheden voor universiteiten en hogescholen om hun digitale gegevens in de cloud te zetten. Daar zitten dus nogal wat haken en ogen aan. Gevoelige gegevens, bijvoorbeeld die van nucleair onderzoek, zijn volgens de onderzoekers makkelijk toegankelijk voor Amerikaanse autoriteiten. "Maar dat geldt dus ook voor bedrijfsgevoelige gegevens, of zelfs staatsgevoelige informatie van de overheid", zegt onderzoeker Axel Arnbak.

Het betekent dat ook consumenten zich moeten afvragen wat zij in de cloud zetten. "Het lijkt natuurlijk handig als je je belastingformulier ergens zet, zodat je er ook op je werk bij kan. Maar dat betekent wel dat Amerikaanse opsporingsdiensten er ook bij kunnen. Je bent dan niet meer per definitie beschermd door Nederlandse privacywetten of andere regelgeving", waarschuwt Arnbak.

Het is nog onduidelijk wat de universiteiten met de studie gaan doen.