Amerikaanse overheid kan bij e-mail van Nederlandse overheden en kritieke bedrijven
Nederlandse overheden, zogenoemde "vitale" bedrijven, scholen en in mindere mate zorginstellingen besteden hun maildiensten op grote schaal uit aan Amerikaanse bedrijven. Dat blijkt uit onderzoek van de NOS naar het cloudgebruik van ruim 20.000 bedrijven, organisaties en overheden.
De organisaties hebben hun eigen mailservers uitgezet en hun mail naar Microsoft en Google verplaatst. Hoewel de servers vaak in Nederland of elders in de EU staan, kan de Amerikaanse overheid daar toegang toe krijgen.
Microsoft heeft verreweg de meeste e-mail in handen: dat is bij zes op de tien organisaties zo. Daaronder ook e-mail van de Tweede Kamer, de Eerste Kamer, de Autoriteit Financiële Markten en de Nederlandse Zorgautoriteit.
Ook de Nationale ombudsman, het Planbureau voor de Leefomgeving en de Kamer van Koophandel zijn overgestapt op mailservers van Microsoft. En terwijl ministeries hun mail nog op eigen servers hebben staan, heeft meer dan de helft van de gemeenten de overstap naar Microsoft-servers gemaakt.
Dat brengt risico's met zich mee, blijkt uit een kritisch rapport van denktank Clingendael in opdracht van de AIVD, dat vandaag uitkomt. Amerikaanse wetgeving maakt het namelijk mogelijk om mee te kijken in de data, ongeacht waar ze zijn ondergebracht, waarschuwt Clingendael. Zeker voor overheden brengt dat nationale-veiligheidsrisico's met zich mee.
Microsoft benadrukt dat het klanten goed beschermt en zich aan de privacywet AVG houdt. "De wetgeving om data op te vragen heeft specifiek betrekking op uitzonderlijke omstandigheden waarin een vermoeden van een ernstig misdrijf wordt vastgesteld." Microsoft zal zich daar "waar mogelijk" tegen verzetten, aldus het bedrijf.
Voorkomen kan niet
Maar voorkomen kunnen ze het niet, stelt onderzoekster Maaike Okano-Heijmans van Clingendael. "Dat het tot nu toe niet is gebeurd, zegt niet zo veel. Er zijn wetten die Amerikaanse bedrijven verplichten data te overhandigen."
En wetten kunnen gewijzigd worden. "Wie had de coronapandemie of de Russische invasie in Oekraïne voorzien?" Als er iets onvoorstelbaars gebeurt in de relatie tussen de Europese Unie en de Verenigde Staten, is onze grote afhankelijkheid van Amerikaanse diensten een groot risico, benadrukt de onderzoeker. "We moeten Europese alternatieven behouden, omdat we die kunnen gebruiken voor de belangrijkste systemen en het hoogste niveau van privacy."
Tien tot vijftien jaar geleden draaiden bedrijven en organisaties doorgaans zelf een mailserver, ook vaak met software van Microsoft, maar nu is het gebruikelijker om dat uit te besteden aan een extern bedrijf. Dat is goedkoper en makkelijker: zelf een computerserver in de lucht houden vereist investeringen in apparatuur en dure technische kennis. Google en Microsoft doen dat tegen een maandelijks tientje per gebruiker.
Kijk hier zelf naar het marktaandeel van Microsoft en andere grote aanbieders in Nederland:
Niet alleen kleine bedrijven zonder eigen ICT-afdeling voelen zich daartoe aangetrokken, dus ook bijvoorbeeld de Tweede Kamer. "De Tweede Kamer is een te kleine organisatie om zelf een e-maildienst te ontwikkelen en onderhouden", laat de instantie weten in een reactie aan de NOS. "Daarom is na zorgvuldige afweging gekozen voor een gerenommeerde partij, die garant kan staan voor een betrouwbare dienstverlening." Andere overheden en branche-organisaties delen soortgelijke ervaringen.
Ook 63 procent van de circa 3800 grootste bedrijven waarvan de NOS een website kon achterhalen, gebruikt clouddiensten van Microsoft of Google. Daaronder zijn industriegiganten als chipmachinefabrikant ASML, scheepsbouwer Damen, ingenieurs- en adviesbedrijf Royal Haskoning en staalconcern Tata Steel.
Van 110 zogenoemde vitale bedrijven die de NOS onderzocht, draait 60 procent op Microsoft of Google. Daarbij gaat het om bedrijven die cruciaal zijn voor het functioneren van de Nederlandse samenleving. Zo kozen alle netbeheerders voor Microsoft, net als ABN, ING en Rabobank, de meeste drinkwaterbedrijven en luchthaven Schiphol.
Geen Europees alternatief
Die populariteit van Microsoft en Google komt ook doordat een goed Europees alternatief ontbreekt, stelt Clingendael. "Er zijn maar weinig Europese alternatieven, en de diensten die zij aanbieden zijn veel beperkter", stelt Okano-Heijmans.
Tekenend is dat zelfs Nederlandse internetbedrijven voor Microsoft kiezen. Zo hebben telecomproviders KPN, Odido en internetknooppunt NL-IX hun mail bij Microsoft staan. Zeker bij KPN is dat opmerkelijk omdat KPN zelf ook clouddiensten aan zakelijke klanten verkoopt. Het bedrijf reageerde niet op vragen daarover.
Google, Microsoft en ook Amazon hebben daardoor een marktaandeel van 80 procent in Nederland. "De Nederlandse overheid geeft veel geld uit aan ICT, die zou het ook aan Europese bedrijven kunnen geven om ze sterker te maken", stelt Okano-Heijmans.