Softwarepakketten.nl
Urios
Centralservices

Onderzoek

Rapport IViR, op verzoek van SURF, biedt inzicht in rol Patriot Act bij gebruik cloud computing

Plaatsingsdatum 12-10-2012

Het Instituut voor Informatierecht (IViR) heeft onafhankelijk onderzoek gedaan naar de toegang van overheden tot data die zich in de cloud bevinden. Het onderzoek is uitgevoerd op verzoek van SURF, de ICT samenwerkingsorganisatie voor hoger onderwijs en onderzoek. Belangrijkste aanleiding voor het onderzoek zijn veelgestelde vragen over de Amerikaanse Patriot Act 1). Hoofdconclusie van het onderzoek is dat het voor hogeronderwijsinstellingen in Nederland zaak is zicht te krijgen en te houden op de condities waaronder justitie en veiligheidsdiensten toegang hebben tot data en de daarmee samenhangende risico’s. Er moet daarbij verder worden gekeken dan de Patriot Act, die symbool staat voor meer wet- en regelgeving van de VS over overheidstoegang tot (cloud)data.

Amerikaanse jurisdictie
De huidige wetgeving in zowel de Verenigde Staten als in Nederland zorgt ervoor dat bevoegde instanties de mogelijkheid hebben om gegevens van kennisinstellingen op te vragen. Het maakt daarbij in principe niet uit of die gegevens in het eigen datacenter of in de cloud staan. Wanneer de gegevens in een cloud staan bij een leverancier die onder Amerikaanse jurisdictie valt, kunnen de gegevens direct vanuit de VS bij de betreffende onderneming/instelling opgevraagd worden. Is dat niet het geval dan kan een verzoek tot inzage worden gedaan via de Nederlandse justitie of veiligheidsdiensten. Het is juridisch gezien niet mogelijk om tegen te houden dat bepaalde data worden opgevraagd door de overheid als deze een relatie legt met staatsveiligheid of strafvordering.

Joris van Hoboken, onderzoeker van het IViR voegt hieraan toe: “De actuele kwestie rond de Patriot Act is nauwelijks grondig onderzocht. Hierdoor zijn in het maatschappelijke debat over cloud computing flink wat onjuistheden geslopen. Het maakt bijvoorbeeld in beginsel niet uit of cloudgegevens in de VS of ergens anders in de wereld zijn opgeslagen. Als een Nederlandse cloudaanbieder structureel zaken doet in de VS, dan geeft VS wet- en regelgeving al de mogelijkheid voor VS autoriteiten om gegevens op te vragen vanuit Nederland. Voor afnemers van clouddiensten zullen zulke relaties in de praktijk moeilijk te achterhalen zijn en door overnames in de sector kan de situatie opeens veranderen.”

Gegevensclassificatie voor de cloud
Op basis van dit onderzoek en eerder verschenen onderzoek naar het gebruik van de cloud en privacy, is SURF van mening dat per soort gegevens bekeken moet worden wat de risico’s zijn. Op basis van een dergelijke classificatie kan worden vastgesteld waar public clouddiensten van marktpartijen ingezet kunnen worden. Om optimale rechtsbescherming te garanderen in geval van gegevens met een te hoog risico, kan het nodig zijn om bepaalde afgeschermde community clouddiensten speciaal voor het hoger onderwijs in te richten.
De hogeronderwijsinstellingen hebben binnen SURF gekozen voor een strategie waarin cloud computing een belangrijke rol speelt. Ze werken actief samen aan gemeenschappelijk beleid, onderzoekstrajecten en adoptieprojecten voor een weldoordacht gebruik van de cloud.

*)
De Patriot Act uit 2001 is onderdeel van een complex geheel aan Amerikaanse wetgeving op het gebied van toegang tot gegevens voor justitie, politie en veiligheidsdiensten. Andere belangrijke wetgeving op dit gebied is de FISA uit 1978 en de FAA uit 2008. De Patriot Act is aangenomen in reactie op de aanslagen van 11 september 2001 in de Verenigde Staten.

Categorie(n) Assuring (incl. certificeren en compliance), Branche > Financials, SAAS, Cloud Computing, Cybersecurity, Soort > ICT Beheer en Beveiliging, Branche > Juridisch

Automatisch op de hoogte blijven?
Schrijf u in voor onze gratis periodieke nieuwsbrief.

Terug


Onerzoeksbureau GBNED