Gemeentewebsites lopen risico door buitenlandse inmenging
De hosting van tientallen gemeentewebsites en de website van DigiD is in handen van partijen die nauw verwant zijn aan Amerikaanse bedrijven, zo blijkt uit onderzoek van Binnenlands Bestuur. Deskundigen zijn er niet gerust op en waarschuwen voor het gevaar van buitenlandse inmenging.
De hosting van tientallen gemeentewebsites en de website van DigiD is in handen van partijen die nauw verwant zijn aan Amerikaanse bedrijven, zo blijkt uit onderzoek van Binnenlands Bestuur. Deskundigen zijn er niet gerust op en waarschuwen voor het gevaar van buitenlandse inmenging.
Zorgen
Hostingbedrijven zijn verantwoordelijk voor de opslag van de data van websites, zo ook de opslag voor gemeentelijke websites, die via contactformulieren en afspraakmodules veel persoonlijke gegevens verwerken. Uit de inventarisatie van Binnenlands Bestuur bij 393 gemeenten blijkt dat de data van alle gemeentelijke websites in Nederlandse datacentrums staat opgeslagen. Het baart deskundigen zorgen dat veel van deze hostingbedrijven vaak sterke banden met Amerika hebben. Dat laatste geldt niet alleen voor de hosting van tientallen gemeentelijke websites, maar ook voor die van authenticatiemiddel DigiD, dat landelijk gebruikt wordt.
Tientallen Amerikaanse hosts
Uit de inventarisatie blijkt dat vijftien gemeentelijke websites worden gehost door bedrijven die in handen zijn van Amerikaanse moederbedrijven, zoals Verizon, Equinix en Liberty Global. Daarnaast wordt de data van 38 gemeentewebsites gehost door bedrijven met een Europees hoofdkantoor zoals Interoute (16 websites) en Leaseweb (22 websites). Zij zijn echter ook op grote schaal actief in de Verenigde Staten. Opvallend is dat het landelijk gebruikte DigiD, waarin vrijwel alle persoonlijke gegevens zijn terug te vinden van iedere Nederlandse burger, gehost wordt door Virtu, dat sinds enkele jaren in handen is van het Amerikaanse Equinix.
Druk uitoefenen
Met de Amerikaanse ‘Freedom Act’, die de verguisde ‘Patriot Act’ onlangs heeft vervangen, kan de Amerikaanse overheid bedrijven dwingen om informatie te leveren om zo de veiligheid van de Amerikaanse burger te waarborgen, zo vertelt advocaat Menno Weij van SOLV. Wanneer een vestiging van een Amerikaans bedrijf in Nederland opereert, is deze niet verplicht om informatie af te geven aan de overheid. Het kan echter wel zo zijn dat er door het Amerikaans moederbedrijf zelf toch druk wordt uitgeoefend op de Europese dochter, om dit alsnog te doen. ‘Het is de vraag hoe dit bij die bedrijven intern geregeld is. Een Nederlandse dochter is niet gebonden aan de Amerikaanse wet, maar daarmee zijn niet alle bezwaren verdwenen. Bij dochters van Amerikaanse bedrijven moet je je altijd afvragen, waar hangt deze dochter in de bedrijfsstructuur? Hoeveel zeggenschap heeft dit bedrijfsonderdeel over zijn eigen gegevens?’
Bewustzijn gemeenten
Erik Huizer, hoogleraar Internet Toepassingen bij Universiteit Utrecht, denkt eveneens dat gemeenten zich, ‘Ondanks de waarschuwingen in de Baseline Informatiebeveiliging Nederlandse Gemeenten’, onvoldoende bewust zijn van de risico's van inmenging van een buitenlandse overheid. ‘Dat DigiD en gemeentewebsites gehost worden door Amerikaanse bedrijven vind ik niet slim. Indirect geef je de NSA daarmee directe toegang tot burgergegevens en je mag hopen dat de betrokken partijen zich van de risico's bewust zijn’, aldus Huizer. ‘Op dit moment strijdt het Amerikaanse bedrijf Microsoft met de Amerikaanse overheid, die data die op Ierse servers staat opgeslagen wil opvragen.’ Microsoft heeft van de Amerikaanse rechtbank eind augustus 2015 zelfs een berisping gehad. Zodoende kan een Amerikaans hostingbedrijf in beginsel geen kwaad in de zin hebben met privégegevens, maar door de overheid toch onder druk worden gezet om ze af te geven. De beste oplossing is volgens Huizer ‘Een soort Shared Service Center voor de overheid en gemeenten. Dat lijkt me de enige garantie dat het niet kan worden overgenomen door buitenlandse bedrijven en dat het dus alleen onder Nederlandse wetgeving valt.’
Nederlandse wetgeving telt
Volgens Equinix is er voor hun klanten geen sprake van enige dreiging door de De Freedom Act of andere vergelijkbare wetgeving. ‘De Freedom Act is niet van toepassing op de zakelijke activiteiten die momenteel gaande zijn in Nederland, zo verklaart een woordvoerder van het bedrijf aan Binnenlands Bestuur. ‘Amerikaanse wetshandhavingsinstanties kunnen de openbaarmaking van gegevens niet dwingen. Dat is op grond van het feit dat het datacentrum van Equinix in Nederland staat.’ De bedrijfsstructuur van Equinix is daarnaast ingericht ‘via lokaal geregistreerde entiteiten’, dat betekent dat alleen lokale medewerkers en lokaal management toegang hebben tot de Nederlandse Equinix-diensten.’
Zaak Microsoft
De praktijk toont dat bedrijven niet alles voor het zeggen hebben. De Amerikaanse overheid blijft veelvuldig data van Europese datacentrums opvragen. Microsoft kreeg onlangs een bevel van de Amerikaanse overheid om in Ierland opgeslagen data te overhandigen, maar verleende geen medewerking, waarna er een zaak tussen de techreus en de overheid volgde die Microsoft verloor. Bedrijven als AT&T, Apple en Verizon hebben daarbij openlijk steun geuit voor Microsoft maar ze lijken niet opgewassen tegen de lange arm der wet. Microsoft verklaarde dat het Amerikaanse bevel geen ‘extraterritoriale’ kracht had, maar de Amerikanen maken handig gebruik van langlopende rechtshulpverdragen. Met Nederland hebben de Verenigde Staten zo’n verdrag in 2004 getekend. Beide landen moeten zich daardoor naar elkaar welwillend opstellen wanneer er sprake is van wetshandhavingsdoeleinden.
Lees het gehele verhaal met uitgebreide reacties in de papieren versie van Binnenlands Bestuur.
Reacties: 7
U moet ingelogd zijn om een reactie te kunnen plaatsen.
LeaseWeb is in 1997 opgericht als Nederlandse hostingprovider. Sindsdien is de naam LeaseWeb uitgegroeid tot een internationaal merk, met zelfstandige opererende entiteiten in Europa, Azië en Amerika. Deze LeaseWeb entiteiten zijn juridisch strikt en volledig van elkaar gescheiden. Zo worden Nederlandse activiteiten gedreven vanuit LeaseWeb Netherlands B.V. terwijl de Amerikaanse onderneming gevoerd wordt door LeaseWeb USA, Inc.
Bij de uitbreiding naar de Verenigde Staten is bewust gekozen voor een bedrijfsstructuur die de USA Patriot/Freedom Act buiten de deur houdt van LeaseWeb Netherlands B.V. Drie maatregelen zijn hierbij van belang:
1. LeaseWeb Netherlands B.V. heeft geen datacenters, kantoren of medewerkers in de Verenigde Staten of andere landen. Buitenlandse autoriteiten hebben daardoor geen rechtsmacht over de Nederlandse entiteit.
2. Het uiteindelijke moederbedrijf van de verschillende LeaseWeb entiteiten is Nederlands.. De LeaseWeb entiteiten onderscheiden zich daardoor van veel andere hostingproviders, die een Amerikaanse moedermaatschappij hebben.
3. De individuele LeaseWeb entiteiten hebben geen toegang tot de gegevens van elkaars klanten, doordat de gebruikte IT-systemen volledig gescheiden zijn. Hierdoor is het onmogelijk voor bijvoorbeeld een medewerker van LeaseWeb USA, Inc. om te voldoen aan een verzoek voor een andere LeaseWeb entiteit.
Uiteraard zullen autoriteiten altijd trachten data op te vragen, ongeacht de bedrijfsstructuur. De LeaseWeb bedrijven beoordelen echter altijd eerst de rechtmatigheid van een overheidsverzoek. Indien deze onrechtmatig wordt bevonden, bijvoorbeeld wanneer afkomstig van een buitenlandse autoriteit, wordt het verzoek afgewezen. Hierdoor worden buitenlandse overheden gedwongen internationale rechtshulpverzoeken in te dienen wanneer zij data willen opvragen.
Uiteraard houden de LeaseWeb bedrijven nauwlettend de juridische ontwikkelingen in de gaten in de landen waar zij actief zijn. Waar nodig nemen zij de vereiste stappen om de data van hun klanten te blijven beschermen, nu en in de toekomst.
De overheid heeft geen idee welke Russische roulettespelletjes ze allemaal speelt met haar onderdanen (niet alleen DigiD, ook Suwinet, beschikbaar stellen medische gegevens aan gemeenten in het kader van zorgdeclaraties, vrijwel onbeperkte uitwisseling persoonsgegevens in de jeugdzorg, volkomen ondoorzichtig electronisch patiëntendossier, enz., enz.).
Niet één, maar een hele serie 'disasters in the making'.
Nee, als je echt zeker wil zijn dat de Nederlandse data niet langer "legaal" via een juridisch achterdeurtje in de wetgeving van een ander land ondersteund door een verdrag wat nooit daarvoor bedoeld is, in handen komt van het buitenland, zorg er dan voor dat je het beheer en de opslag van die data in eigen, volledig Nederlandse handen houdt! Alle andere wijzen waarop de US dan aan de gegevens komt zijn dan of doodordinair crimineel (hacken) of via de openlijke juridische weg door netjes bij de overheid aan te kloppen, uit te leggen waarvoor ze welke data nodig hebben en dan keurig wachten op de afweging die de Nederlandse overheid maakt. Al verwacht ik wat dat betreft niet al te veel ruggegraat van Nederlandse politici, maar dat is een ander issue.