Meer dan 1000 overheidsdomeinen buiten de EU

1087 domeinen van waaruit overheden online dienstverlening aanbieden, staan buiten de EU. Hetzelfde geldt voor 410 mailservers. Dat blijkt uit een meting van Basisbeveiliging.nl. Voor het overgrote deel gaat het om servers in de Verenigde Staten. De Internet Cleanup Foundation roept overheden op om alle online dienstverlening waar logisch aan te bieden vanaf servers in de EU, bij voorkeur in Nederland.

EU+GDPR zone

Basisbeveiliging.nl, een website van de Internet Cleanup Foundation, controleert sinds augustus vanuit welk land de overheid online diensten verleent. Met het oog op de Algemene Verordening Gegevensbescherming (AVG, of GDPR) zou dat een land uit de EU+GDPR zone moeten zijn. De AVG geldt niet alleen in de EU, maar ook in de Economische Zone (Noorwegen, IJsland en Liechtenstein). Daarnaast is er een aantal landen dat gelijkwaardige wetgeving heeft en daarom binnen de zone valt, zoals Zwitserland, het Verenigd Koninkrijk en Andorra.

10 procent overheids-mailservers in VS

Zo’n 3 procent van de overheidsdomeinen (1076) komt uit in de Verenigde Staten. Van de mailservers van de overheid staat 10 procent in de Verenigde Staten (407). Overige niet EU+GDPR landen zijn nauwelijks vertegenwoordig en vaak logisch verklaarbaar, bijvoorbeeld een meetproject van het KNMI in Indonesië. Gemeenten hebben 464 domeinen buiten de EU+GDPR zone, waarvan 460 in de Verenigde Staten. Provincies hebben er 50, zonder uitzondering in de Verenigde Staten.

Andere wetten

Gebruikmaken van een server buiten de EU+GDPR zone is niet verboden, maar volgens de Internet Cleanup Foundation is het niet verstandig. In landen buiten de zone gelden andere wetten. Vaak hebben inlichtingendiensten toegang tot de gegevens. Geopolitieke veranderingen kunnen ervoor zorgen dat er ongewenste situaties ontstaan. Daardoor kunnen bijvoorbeeld persoonsgegevens van Nederlandse burgers, maar ook andere gegevens over Nederland, in verkeerde handen vallen.

Oproep tot verhuizing

Wie toch gegevens buiten de zone stalt, heeft bijna jaarlijks te maken met veranderende juridische regelgeving. Nu de Amerikaanse cloudleveranciers ook diensten aanbieden op servers binnen Europa, zijn er weinig argumenten te bedenken om gebruik te willen maken van een Amerikaanse server, schrijft de stichting in een begeleidend artikel. De stichting roept op tot een grote verhuizing: ‘Wij vragen de Nederlandse overheid om alle online dienstverlening, waar het logisch is, aan te bieden vanaf servers in de EU+GDPR zone. Dit betekent dat minstens honderden domeinen en e-mail servers moeten worden verplaatst.’

Dataverdrag

Van de 3957 adressen van mailservers van de overheid staan er 3547 in de EU, 409 in Noord Amerika en 1 in Azië. De meeste Amerikaanse adressen voeren naar Google Servers, gevolgd door Cisco, SendGrid, Amazon.com en Google Cloud. Er is een nieuw verdrag voor het delen van data tussen de VS en Europa, maar het is nog de vraag hoe stabiel het deze keer blijkt te zijn. Privacyorganisatie noyb kondigt aan de afspraken opnieuw aan te vechten. Twee eerdere verdragen sneuvelden op deze manier.

Microsoft Azure meest populair

Uit het onderzoek blijkt ook van welke dienstverleners  voor de Nederlandse overheid binnen Europa overheden het meest gebruikmaken. Microsoft Azure voert de lijst aan, gevolgd door KPN en Amazon.com.

Servers in Ierland

Afgezien van Nederland staan de meeste Europese servers waarvan gemeenten en provincies gebruikmaken in Ierland. Dat kan iets te maken hebben met de gunstige vennootschapsbelasting in dit land (Ierland stemde in 2021 in met een wereldwijd minimumtarief van 15 procent voor grote bedrijven, maar geldt tot de invoering ervan als een belastingparadijs voor multinationals) en de laconieke handhaving van de GDPR aldaar.