of 58940 LinkedIn

Gemeentewebsites lopen risico door buitenlandse inmenging

De hosting van tientallen gemeentewebsites en de website van DigiD is in handen van partijen die nauw verwant zijn aan Amerikaanse bedrijven, zo blijkt uit onderzoek van Binnenlands Bestuur. Deskundigen zijn er niet gerust op en waarschuwen voor het gevaar van buitenlandse inmenging.

De hosting van tientallen gemeentewebsites en de website van DigiD is in handen van partijen die nauw verwant zijn aan Amerikaanse bedrijven, zo blijkt uit onderzoek van Binnenlands Bestuur. Deskundigen zijn er niet gerust op en waarschuwen voor het gevaar van buitenlandse inmenging.

Zorgen

Hostingbedrijven zijn verantwoordelijk voor de opslag van de data van websites, zo ook de opslag voor gemeentelijke websites, die via contactformulieren en afspraakmodules veel persoonlijke gegevens verwerken. Uit de inventarisatie van Binnenlands Bestuur bij 393 gemeenten blijkt dat de data van alle gemeentelijke websites in Nederlandse datacentrums staat opgeslagen. Het baart deskundigen zorgen dat veel van deze hostingbedrijven vaak sterke banden met Amerika hebben. Dat laatste geldt niet alleen voor de hosting van tientallen gemeentelijke websites, maar ook voor die van authenticatiemiddel DigiD, dat landelijk gebruikt wordt.

Tientallen Amerikaanse hosts
Uit de inventarisatie blijkt dat vijftien gemeentelijke websites worden gehost door bedrijven die in handen zijn van Amerikaanse moederbedrijven, zoals Verizon, Equinix en Liberty Global. Daarnaast wordt de data van 38 gemeentewebsites gehost door bedrijven met een Europees hoofdkantoor zoals Interoute (16 websites) en Leaseweb (22 websites). Zij zijn echter ook op grote schaal actief in de Verenigde Staten. Opvallend is dat het landelijk gebruikte DigiD, waarin vrijwel alle persoonlijke gegevens zijn terug te vinden van iedere Nederlandse burger, gehost wordt door Virtu, dat sinds enkele jaren in handen is van het Amerikaanse Equinix.

Druk uitoefenen 

Met de Amerikaanse ‘Freedom Act’, die de verguisde ‘Patriot Act’ onlangs heeft vervangen, kan de Amerikaanse overheid bedrijven dwingen om informatie te leveren om zo de veiligheid van de Amerikaanse burger te waarborgen, zo vertelt advocaat Menno Weij van SOLV. Wanneer een vestiging van een Amerikaans bedrijf in Nederland opereert, is deze niet verplicht om informatie af te geven aan de overheid. Het kan echter wel zo zijn dat er door het Amerikaans moederbedrijf zelf toch druk wordt uitgeoefend op de Europese dochter, om dit alsnog te doen. ‘Het is de vraag hoe dit bij die bedrijven intern geregeld is. Een Nederlandse dochter is niet gebonden aan de Amerikaanse wet, maar daarmee zijn niet alle bezwaren verdwenen. Bij dochters van Amerikaanse bedrijven moet je je altijd afvragen, waar hangt deze dochter in de bedrijfsstructuur? Hoeveel zeggenschap heeft dit bedrijfsonderdeel over zijn eigen gegevens?’

Bewustzijn gemeenten

Erik Huizer, hoogleraar Internet Toepassingen bij Universiteit Utrecht, denkt eveneens dat gemeenten zich, ‘Ondanks de waarschuwingen in de Baseline Informatiebeveiliging Nederlandse Gemeenten’, onvoldoende bewust zijn van de risico's van inmenging van een buitenlandse overheid. ‘Dat DigiD en gemeentewebsites gehost worden door Amerikaanse bedrijven vind ik niet slim. Indirect geef je de NSA daarmee directe toegang tot burgergegevens en je mag hopen dat de betrokken partijen zich van de risico's bewust zijn’, aldus Huizer. ‘Op dit moment strijdt het Amerikaanse bedrijf Microsoft met de Amerikaanse overheid, die data die op Ierse servers staat opgeslagen wil opvragen.’ Microsoft heeft van de Amerikaanse rechtbank eind augustus 2015 zelfs een berisping gehad. Zodoende kan een Amerikaans hostingbedrijf in beginsel geen kwaad in de zin hebben met privégegevens, maar door de overheid toch onder druk worden gezet om ze af te geven. De beste oplossing is volgens Huizer ‘Een soort Shared Service Center voor de overheid en gemeenten. Dat lijkt me de enige garantie dat het niet kan worden overgenomen door buitenlandse bedrijven en dat het dus alleen onder Nederlandse wetgeving valt.’

 
Nederlandse wetgeving telt 

Volgens Equinix is er voor hun klanten geen sprake van enige dreiging door de  De Freedom Act of andere vergelijkbare wetgeving. ‘De Freedom Act is niet van toepassing op de zakelijke activiteiten die momenteel gaande zijn in Nederland, zo verklaart een woordvoerder van het bedrijf aan Binnenlands Bestuur. ‘Amerikaanse wetshandhavingsinstanties kunnen de openbaarmaking van gegevens niet dwingen. Dat is op grond van het feit dat het datacentrum van Equinix in Nederland staat.’  De bedrijfsstructuur van Equinix is daarnaast ingericht ‘via lokaal geregistreerde entiteiten’, dat betekent dat alleen lokale medewerkers en lokaal management toegang hebben tot de Nederlandse Equinix-diensten.’

Zaak Microsoft 

De praktijk toont dat bedrijven niet alles voor het zeggen hebben. De Amerikaanse overheid blijft veelvuldig data van Europese datacentrums opvragen. Microsoft kreeg onlangs een bevel van de Amerikaanse overheid om in Ierland opgeslagen data te overhandigen, maar verleende geen medewerking, waarna er een zaak tussen de techreus en de overheid volgde die Microsoft verloor. Bedrijven als AT&T, Apple en Verizon hebben daarbij openlijk steun geuit voor Microsoft maar ze lijken niet opgewassen tegen de lange arm der wet.  Microsoft verklaarde dat het Amerikaanse bevel geen ‘extraterritoriale’ kracht had, maar de Amerikanen maken handig gebruik van langlopende rechtshulpverdragen. Met Nederland hebben de Verenigde Staten zo’n verdrag in 2004 getekend. Beide landen moeten zich daardoor naar elkaar welwillend opstellen wanneer er sprake is van wetshandhavingsdoeleinden.

 

Lees het gehele verhaal met uitgebreide reacties in de papieren versie van Binnenlands Bestuur.

Verstuur dit artikel naar Google+

Gerelateerde artikelen

Reageer op dit artikel
















Even geduld a.u.b.

Reactie op dit bericht

Door Robin op
@Dick: Voor de zomer is wetgeving gepasseerd waarmeede belastingdienst komend jaar iedereen dwingt digitaal met hun te communiceren.
Door Informatie analist op
Wat ik een heel veel zeggende uitspraak vind is die die Equinix deed: "De Freedom Act is niet van toepassing op de zakelijke activiteiten die MOMENTEEL gaande zijn in Nederland." Dat klinkt voor mij alsof ze er wel rekening mee houden dat dat gaat veranderen! En dan? Gaan ze dan wel alle informatie die ze beheren overdragen aan de US? Of gaan ze daar eerst de gemeenten voor waarschuwen? Dat gaat ze dan wel klanten kosten, dus is niet in hun bedrijfsbelang en dan vraag ik me af wat zwaarder weegt...

Nee, als je echt zeker wil zijn dat de Nederlandse data niet langer "legaal" via een juridisch achterdeurtje in de wetgeving van een ander land ondersteund door een verdrag wat nooit daarvoor bedoeld is, in handen komt van het buitenland, zorg er dan voor dat je het beheer en de opslag van die data in eigen, volledig Nederlandse handen houdt! Alle andere wijzen waarop de US dan aan de gegevens komt zijn dan of doodordinair crimineel (hacken) of via de openlijke juridische weg door netjes bij de overheid aan te kloppen, uit te leggen waarvoor ze welke data nodig hebben en dan keurig wachten op de afweging die de Nederlandse overheid maakt. Al verwacht ik wat dat betreft niet al te veel ruggegraat van Nederlandse politici, maar dat is een ander issue.
Door een I&A ambtenaar op
Het lijkt me sterk wat u hier stelt "Opvallend is dat het landelijk gebruikte DigiD, waarin vrijwel alle persoonlijke gegevens zijn terug te vinden". Volgens mijn weten is DigiD een gemeenschappelijk authenticatie-systeem waarbij het systeem zelf maar over een heel beperkte set aan gegevens beschikt. Net genoeg om de authenticatie goed te laten verlopen. Dat neemt niet weg dat gezien de huidige wetgeving in de VS het beschreven risico groot is. Echter heb ik de indruk dat ook zonder Patriot Act het risico groot is. Zoals blijkt laat de NSA zich niet door wetten tegen houden.
Door Dick (Adviseur) op
Het is helaas nog steeds niet voor niets dat ik geen DigiD heb. Dat ik daardoor bij bepaalde verzekeringsmaatschappijen niet terecht kan, en mijn belastingaangifte nog op papier moet doen, neem ik daarvoor graag voor lief.

De overheid heeft geen idee welke Russische roulettespelletjes ze allemaal speelt met haar onderdanen (niet alleen DigiD, ook Suwinet, beschikbaar stellen medische gegevens aan gemeenten in het kader van zorgdeclaraties, vrijwel onbeperkte uitwisseling persoonsgegevens in de jeugdzorg, volkomen ondoorzichtig electronisch patiëntendossier, enz., enz.).

Niet één, maar een hele serie 'disasters in the making'.
Door Dyan Koning (Marketing Executive, LeaseWeb Global Services ) op
Het artikel verwoordt goed de juridische factoren waar hosting providers mee te maken hebben die internationaal opereren. LeaseWeb Netherlands B.V. heeft dan ook maatregelen genomen om klantdata te beschermen.

LeaseWeb is in 1997 opgericht als Nederlandse hostingprovider. Sindsdien is de naam LeaseWeb uitgegroeid tot een internationaal merk, met zelfstandige opererende entiteiten in Europa, Azië en Amerika. Deze LeaseWeb entiteiten zijn juridisch strikt en volledig van elkaar gescheiden. Zo worden Nederlandse activiteiten gedreven vanuit LeaseWeb Netherlands B.V. terwijl de Amerikaanse onderneming gevoerd wordt door LeaseWeb USA, Inc.

Bij de uitbreiding naar de Verenigde Staten is bewust gekozen voor een bedrijfsstructuur die de USA Patriot/Freedom Act buiten de deur houdt van LeaseWeb Netherlands B.V. Drie maatregelen zijn hierbij van belang:

1. LeaseWeb Netherlands B.V. heeft geen datacenters, kantoren of medewerkers in de Verenigde Staten of andere landen. Buitenlandse autoriteiten hebben daardoor geen rechtsmacht over de Nederlandse entiteit.

2. Het uiteindelijke moederbedrijf van de verschillende LeaseWeb entiteiten is Nederlands.. De LeaseWeb entiteiten onderscheiden zich daardoor van veel andere hostingproviders, die een Amerikaanse moedermaatschappij hebben.

3. De individuele LeaseWeb entiteiten hebben geen toegang tot de gegevens van elkaars klanten, doordat de gebruikte IT-systemen volledig gescheiden zijn. Hierdoor is het onmogelijk voor bijvoorbeeld een medewerker van LeaseWeb USA, Inc. om te voldoen aan een verzoek voor een andere LeaseWeb entiteit.

Uiteraard zullen autoriteiten altijd trachten data op te vragen, ongeacht de bedrijfsstructuur. De LeaseWeb bedrijven beoordelen echter altijd eerst de rechtmatigheid van een overheidsverzoek. Indien deze onrechtmatig wordt bevonden, bijvoorbeeld wanneer afkomstig van een buitenlandse autoriteit, wordt het verzoek afgewezen. Hierdoor worden buitenlandse overheden gedwongen internationale rechtshulpverzoeken in te dienen wanneer zij data willen opvragen.

Uiteraard houden de LeaseWeb bedrijven nauwlettend de juridische ontwikkelingen in de gaten in de landen waar zij actief zijn. Waar nodig nemen zij de vereiste stappen om de data van hun klanten te blijven beschermen, nu en in de toekomst.
Door Jantje op
En je moet je DigiD steeds vaker gebruiken. Ook voor je zorgverzekering om te kunnen inloggen. Wat zullen de Amerikanen blij met ons zijn!
Door August Biels (gewezen ICT ambtenaar) op
Daar is minstens in 2010 al voor gewaarschuwd. Zo niet eerder. En er is door de overheid nog nooit eerder adekwaat op gereageerd.