Amerikaanse bedrijven en cloud

Drie maal Antwoord op kamervragen van Minister Opstelten (Veiligheid en Justitie) inzake Amerikaanse bedrijven die in Europese clouddata kan meekijken
Aanhangelsen II, 3514, vergaderjaar 2010–2011, nr. 3178 
Aanhangelsen II, 3515, vergaderjaar 2010–2011, nr. 3180
Aanhangelsen II, 3516, vergaderjaar 2010–2011, nr. 3182

Een selectie uit nr. 3182
Vraag 3 Wordt er door de Nederlandse overheid, door Nederlandse agentschappen of door Nederlandse instellingen behorende tot de semi-overheid data opgeslagen door (of in samenwerking met) een Amerikaans bedrijf (of meerdere Amerikaanse bedrijven)? Zo ja, welke onderdelen van de (semi-)overheid of welke agentschappen zijn dit?

Antwoord 3 Ja, enkele onderdelen van de Rijksdienst experimenteren met Google Docs en Dropbox. Voor de Rijksdienst is uit een inventarisatie gebleken, dat de datacentra van de Rijksdienst zich op Nederlands grondgebied bevinden. Het is op dit moment niet bekend welke van deze datacentra (mede) worden beheerd door Amerikaanse bedrijven. Dit wordt op korte termijn uitgezocht.
Voorts kan gezien de omvang van de rest van de overheid en de semi-overheid ook niet worden uitgesloten dat overheidsinformatie is opgeslagen door of in samenwerking met een Amerikaans bedrijf.

Vraag 6 Is er beleid ontwikkeld om te voorkomen dat de Nederlandse overheid gegevens beheert of gaat/laat beheren op dusdanige wijze dat vreemde mogendheden (op basis van welke vorm van wetgeving dan ook) zonder nadrukkelijke toestemming van de Nederlandse overheid bij deze gegevens kunnen komen? Zo nee, waarom niet en bent u voornemens dat alsnog te ontwikkelen? Gaat de Nederlandse overheid bedrijven of instellingen waarschuwen voor het gebruik van cloud-data vanuit het perspectief van bijvoorbeeld bedrijfsspionage? Zo nee, waarom niet?

Antwoord 6 Er is nog geen beleid ontwikkeld dat specifiek gericht is op de mogelijke gevolgen van de toepassing van buitenlandse wetgeving. Wel houdt de Minister van Binnenlandse Zaken en Koninkrijksrelaties in het beleid rekening met de mogelijke consequenties van de toepassing van buitenlandse wetgeving.
Aan uw Kamer is toegezegd dat gegevens van de overheid binnen de grenzen van Nederland moeten worden opgeslagen, en dat de Rijksdienst van een gesloten Rijkscloud gebruik zal maken.
Om te voorkomen, dat gegevens van de overheid (ook over burgers) in het kader van de Patriot Wet door de Verenigde Staten kunnen worden opgevraagd kan bij uitbesteding van rekencentra in het programma van eisen een eis worden opgenomen, dat het de leverancier nooit is toegestaan gegevens van de overheid (ook over Burgers) in het kader van de Patriot Wet aan de Verenigde Staten te leveren. Dit betekent feitelijk, dat bedrijven uit de Verenigde Staten bij dergelijke aanbestedingen en opdrachten worden uitgesloten.
Wat betreft bedrijfsspionage heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties in 2010 brochures uitgebracht om instellingen en bedrijven hiervoor te waarschuwen.

Selectie uit nr. 3178:
Vraag 2 Bent u op de hoogte van het feit dat de autoriteiten van de VS zich met beroep op de Patriot Act toegang verschaffen tot persoonsgegevens opgeslagen op EU-grondgebied, door bedrijven met hoofdzetel in de VS?2 3

Antwoord 2 Het kan niet worden uitgesloten dat de relevante Amerikaanse wetgeving (zoals bijvoorbeeld 18 U.S.C. § 2703) een zodanige werking heeft dat bedrijven die een (hoofd)vestiging in de Verenigde Staten hebben verplicht kunnen worden tot het verstrekken van gegevens die door hen worden verwerkt, of waarover zij anderszins de beschikking hebben, ongeacht waar die gegevens zich bevinden. De desbetreffende wetgeving bevat geen bepalingen met betrekking tot de territoriale reikwijdte. Bovendien is het bekend dat Amerikaanse wetgeving niet zelden uitgaat van een ruime opvatting over de bescherming van Amerikaanse belangen en Amerikaanse staatsburgers. Vorderingen om toegang te krijgen tot persoonsgegevens worden doorgaans uitgevaardigd in de vorm van een rechterlijk bevel, soms na toetsing door een Grand Jury. Daarbij kan ter bescherming van onderzoeksbelangen degene tot wie het bevel zich richt worden verboden daarover enige mededeling aan derden te doen. Het niet naleven van die verplichting is met straf bedreigd. Mede om die reden is mij niet bekend of en hoe vaak de Amerikaanse autoriteiten dergelijke vorderingen hebben gedaan ten aanzien van binnen de EU opgeslagen gegevens, buiten de gebieden waarvoor een specifieke regeling bestaat, zoals passagiersgegevens en gegevens over het betalingsverkeer.

Vraag 6 Welke stappen gaat u ondernemen om deze situatie te corrigeren en om juridische duidelijkheid te scheppen voor bedrijven en burgers over de bescherming van persoonsgegevens opgeslagen binnen de EU?

Antwoord 6 Het conflict van plichten dat kan ontstaan ten gevolge van de toepassing van Amerikaanse wetgeving is niet beperkt tot Nederland, maar treft alle lidstaten van de EU op vergelijkbare wijze. Het ligt daarom op de weg van de Europese Commissie om hiervoor een oplossing te vinden in overleg met de Amerikaanse autoriteiten. De Europese Commissie is van deze problematiek op de hoogte.