Het is onmogelijk data in de cloud te beschermen tegen toegang door overheden. Elk land kan zich toegang verschaffen tot data, ongeacht waar de opslagservers staan. De Amerikanen zijn niet de enigen.
Een onderzoek van het internationale advocatenbureau Hogan Lovells, dat ook een kantoor heeft in Amsterdam, wil bewijzen dat niet alleen de Amerikanen via de Patriot Act toegang hebben tot gegevens van Europese burgers, ongeacht of de servers in de VS staan of in Europa. In het onderzoek worden tevens de juridische mogelijkheden van Europese overheden onder de loep genomen. Die zouden net zo makkelijk data kunnen opeisen.
Het is niet geheel duidelijk of het advocatenbureau het onderzoek op eigen initiatief heeft gedaan of dat het in opdracht is gebeurd. Wel wordt een duidelijke relatie gelegd tussen de "vaak gedebiteerde veronderstelling" dat de Verenigde Staten "alleen staat in het toelaten van overheidstoegang tot data in het kader van opsporing of nationale veiligheidszaken", zo is te lezen in een bijbehorend schrijven. Het bureau reageert hiermee op de oproer die vorig jaar is ontstaan in Europa. De EU bezon zich zelfs op maatregelen.
'Andere landen slechter dan de VS'
Volgens de onderzoekers heeft elke overheid de juridische macht om cloudleveranciers te dwingen data van klanten over te dragen. "De white paper onthult tevens dat in tegenstelling tot in de Verenigde Staten waar cloud data door de wet is beschermd en er een juridische grondslag moet zijn om data vrij te geven, dat in andere landen overheden zonder tussenkomst van de rechter en zonder strafrechtelijk onderzoek data kunnen opeisen", staat verder in het begeleidend schrijven.
Daarom zouden bedrijven zichzelf en hun klanten voor de gek houden als zij geloven dat het beperken van de dataopslag tot een bepaald land toegang tot de data door overheden voorkomt. Volgens de onderzoekers is het niet correct om aan te nemen dat de mogelijkheden van de Amerikaanse overheid om zichzelf toegang te verschaffen tot data in de cloud groter is dan elk ander ontwikkeld land.
Internationale verdragen voor graaien in data
Volgens de twee schrijvers, beiden partner bij het advocatenkantoor, zorgt het Mutual Legal Assistance Treaties (MLAT's) voor de uitwisseling van data tussen landen als dat nodig is voor juridische onderzoeken en opsporing. Daardoor is de fysieke locatie van data of de plaats waar het hoofdkantoor van de cloud provider staat volgens de onderzoekers dus helemaal niet meer relevant. Duitsland bijvoorbeeld heeft een dergelijk verdrag al sinds 2003 met de Verenigde Staten.
Volgens de onderzoekers zijn Duitsland en Japan de enige van de tien onderzochte landen die een limiet hebben gesteld op de hoeveelheid data die door overheden kunnen worden ingezien als die data staat opgeslagen op servers binnen hun landgrenzen. Andere landen laten hun collega's onbekommerd grasduinen in die data.
Bij inzage data wel klant informeren
Het onderzoek heeft de wetten van tien landen onder de loep genomen en niet zo zeer de werkelijke acties van de overheden. Volgens de onderzoekers moeten de meeste landen bij een dergelijke inzageverzoek van een ander land of door de eigen overheid wel de klant informeren. Daarbij weerspreekt het advocatenbureau de algemene aanname dat dat niet hoeft in het kader van de Amerikaanse Patriot Act. "Alle onderzochte landen hebben een sterke wettelijke bescherming op burgerrechten" meldt het rapport.
De meeste landen geven ook data vrijwillig weg, althans niet gedwongen door een gerechtelijk bevel, over hun burgers. Daarbij gaat het niet om 'persoonlijke data' zoals die wettelijk als zodanig is beschreven, maar wel om data die met enige moeite kan worden herleid tot personen.
Data geven zonder morren
"Met andere woorden, overheden kunnen hun overwicht, hun invloed gebruiken om cloud service providers te overtuigen data te overhandigen zonder dat er een juridisch raamwerk omheen hangt", is de technische uitleg. Vrij vertaald betekent dat dat als een overheid om data vraagt, die zonder morren wordt gegeven.
Maar, voegt het advocatenkantoor er aan toe, juist in de Verenigde Staten verbiedt de wet een dergelijke actie en zijn bedrijven juist in overtreding als zij data zonder enig juridisch kader en dus vrijwillig aan de overheid overhandigen. Behalve overigens, als het een zaak betreft van leven of dood.
Webwereld