Overheidsdata in de cloud: hoe wordt de privacy gewaarborgd?

Author info

Steeds meer bedrijven stappen over op gegevensopslag in de cloud. Zodoende is informatie altijd en overal beschikbaar. Bij gegevensopslag in de cloud is de veiligheid en betrouwbaarheid van clouddiensten van groot belang. Zeker bij de opslag van overheidsgegevens kunnen er diverse complicaties optreden in juridisch-politieke context. Waar moet een overheid rekening mee houden als het gegevens wil opslaan in de cloud?

Veiligheidseisen voor clouddiensten

Een onderzoek naar de veiligheid van clouddiensten impliceert het aftoetsen of 3 kernprincipes van de informatieveiligheid worden gerespecteerd:

  • confidentialiteit, zodat de informatie enkel ter kennis wordt gesteld van zij die er gerechtigd zijn toegang tot te nemen;
  • integriteit, de eigenschap dat de informatie accuraat en onveranderd is ten aanzien van een origineel;
  • beschikbaarheid, zodat de informatie op ieder moment en op iedere plaats toegankelijk is.

Een kandidaat-cloudaanbieder moet kunnen waarborgen dat deze drie kernprincipes integraal en essentieel deel uitmaken van de door hen geleverde diensten.

Juridisch-politieke gevaren

Cloud services zijn wereldwijd aan een indrukwekkende opmars bezig. Ze bieden significante voordelen voor de optimalisatie van de beschikbare IT resources en zowel particulieren, bedrijven als overheden opteren er voor om hun gegevens toe te vertrouwen aan gespecialiseerde dienstverleners. De gevaren die hieraan verbonden zijn, zijn niet alleen technisch of economisch van aard maar evenzeer juridisch-politiek.

De recente Snowden-onthullingen hebben immers duidelijk aangetoond dat de Amerikaanse overheid haar bevoegdheden tot kennisname in de praktijk ook succesvol weet aan te wenden. Dit betekent voor iedereen die gevoelige gegevens in de cloud wil plaatsen dat zij moet nagaan:

  • welke cloudaanbieders met een bevel tot overlegging geconfronteerd kunnen worden,
  • op welke gronden en onder welke voorwaarden dit gebeurt, en
  • hoe men de gevolgen van een dergelijke overlegging kan vermijden dan wel beperken in het licht van de verplichtingen uit het nationale recht.

Het risico op kennisname door buitenlandse mogendheden

De bevoegdheden tot kennisname van cloudgegevens door buitenlandse mogendheden heeft in de meeste gevallen een wettelijke grondslag in de interne juridische orde van de desbetreffende Staat. Dat is een gevolg van het soevereiniteitsbeginsel. Maar de daadwerkelijke uitoefening van deze bevoegdheden kan een schending impliceren van de soevereiniteit van een andere Staat, wanneer er overheidsgegevens of gegevens betreffende de burgers van deze laatste Staat worden afgevangen.

Er zijn verschillende juridische bekommernissen die in conflict kunnen komen met deze buitenlandse bevoegdheden, in het bijzonder  de Amerikaanse onderzoeksbevoegdheden, omdat nu eenmaal de meeste cloudaanbieders Amerikaans zijn. De gemaakte aanbevelingen moeten de overheidsdiensten in staat stellen om weloverwogen voor een cloudoplossing voor kritische en minder kritische overheidsgegevens te kiezen of niet.

De extraterritoriale bevoegdheden van de VS

In het interne Amerikaanse recht is een bevoegdheid opgenomen die toelaat dat de Amerikaanse overheid gegevens van buitenlandse oorsprong capteert en er kennis van neemt. Deze bevoegdheid is bedreigender dan de mogelijkheden uit internationale verdragen voor wederzijdse rechtshulp. Daarin hebben soevereine Staten aan elkaar toegezegd dat zij informatie kunnen overdragen als het bedoeld is ter bestrijding van misdrijven en ter preventie van terrorisme. Immers, bij dergelijke verdragen behoudt de geviseerde staat zelf ook enige inspraak over de uitoefening van een opeising van data.

Geen rechtsbescherming voor buitenlanders

In de drie instrumenten die de belangrijkste bevoegdheden bevatten in de Verenigde Staten (Executive Order 12333, Foreign Intelligence Surveillance Act en Electronic Communications Privacy Act) is de rol van de cloudaanbieder dan wel verschillend, maar de conclusie is dezelfde. Namelijk dat de rechtsbescherming voor buitenlanders in het Amerikaanse recht zo goed als onbestaande is. Bovendien kan men als buitenlander niet rekenen op de grondwettelijke bescherming geboden door de Amerikaanse Grondwet, en ook de bescherming geboden door het statutaire recht is weinig effectief voor buitenlanders.

Daarom is het een illusie om te denken dat standaard publieke clouddiensten een ‘veilige haven’ kunnen bieden waarin men gevoelige gegevens kan opslaan zonder dat deze blootstaan aan de mogelijkheid tot kennisname door een vreemde overheid.

Een cloudaanbieder hoeft echter niet afgeschreven te worden louter omwille van het feit dat deze onderworpen is aan het Amerikaanse recht. Dat komt omdat ook verschillende andere landen zichzelf extraterritoriale bevoegdheden hebben toegekend met betrekking tot kennisname van gegevens opgeslagen in de cloud.

Privacy bij overheidsgegevens

Tegenover de hierboven aangehaalde bevoegdheden tot kennisname uit het buitenlandse recht staan de vertrouwelijkheidsverplichtingen uit het eigen recht, waarmee ook de Vlaamse overheidsdiensten zich geconfronteerd weten. Het zijn deze plichten die de keuze van een welbepaalde cloudoplossing in belangrijke mate beperken. Voor de persoonsgegevens waarover de overheid het beheer voert, zal zij de verplichtingen van de bescherming van de privacy in de Belgische wetgeving moeten naleven, ook in een cloud-context.

Beveiligingsmaatregelen

De cloudaanbieder zal de verplichting hebben om de veiligheid van de persoonsgegevens te waarborgen middels contractueel vastgelegde technische en organisatorische beveiligingsmaatregelen. Daardoor moeten de gegevens beschermd wordentegen toevallige of ongeoorloofde vernietiging, toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens.

Wettelijk beschermde gegevens, zoals bijvoorbeeld die uit het Rijksregister, verdienen een bijzondere aandacht, gelet op de centrale positie die hen wordt toebedeeld – zowel op Belgisch als op regionaal niveau - in het kader van het elektronische bestuurlijke gegevensverkeer en dienstenintegratie. Dit impliceert dat standaardovereenkomsten met (publieke) cloudaanbieders niet mogelijk zijn voor dergelijke gegevens, en dat een overeenkomst met een aanbieder met een voldoende systematische band met de VS hiervoor moeilijk lijkt.

Cloud in eigen beheer

De overheid moet daarom kritische gegevens bijhouden bij een cloudaanbieder die volledig in eigen beheer is, op servers gelegen in eigen land, met een uitstekende versleuteling, zonder betrokkenheid van aanbieders die onderworpen zijn aan bevelen van een vreemde overheid tot overlegging van deze gegevens. 

Dat zou overigens geen unieke situatie opleveren: ook in Duitsland kondigde de overheid inmiddels aan om te evolueren naar een nationaal cloudsysteem waarbij gegevens steeds in Duitsland zouden blijven, en buiten bereik van andere overheden.

Met dergelijk adequaat niveau van encryptie zou het mogelijk zijn om in heel wat gevallen te voldoen aan de wettelijk opgelegde en contractueel uitgewerkte vertrouwelijkheidsverplichtingen.

Wat met de gegevens van uw onderneming in de cloud?

Het is echter niet altijd mogelijk om een cloud volledig in eigen beheer te houden. Betekent dit dat u uw gegevens beter niet in de cloud zet? Dat is wellicht wat kort door de bocht.

Voor elke onderneming - en overheidsdienst -  is het heel belangrijk om een realistische inschatting te maken van uw veiligheidsnoden en confidentialiteitsvereisten. Krijgt u voldoende veiligheidsgaranties in de praktijk? En is overheidsinterventie een reëel risico voor uw data? Voordat u overschakelt naar een cloud provider kunt u het antwoord op die vragen onderzoeken, en onderzoeken of uw gegevens of diensten onderworpen zijn aan specifieke wettelijke vereisten. Ook een goede service level agreement (SLA) en afspraken over wie wat mag doen met uw gegevens moet vooraf geregeld worden in een contract.  

Wilt u advies over uw specifieke situatie? Neem contact op met time.lex, een advocatenkantoor dat zich richt op de digitale maatschappij.