Risico meegluren VS via DigiD

Deskundigen zijn er niet gerust op: de hosting van tientallen gemeentewebsites en de website van DigiD is in handen van partijen die nauw verwant zijn aan bedrijven uit de VS. De Amerikaanse overheid kan ze dwingen om informatie te leveren.

Hostingbedrijven zijn verantwoordelijk voor de opslag van de data van websites, zo ook de opslag voor gemeentelijke websites, die via contactformulieren en afspraakmodules veel persoonlijke gegevens bevatten. Uit een onderzoek van Binnenlands Bestuur onder alle 393 gemeenten blijkt dat de data van alle gemeentelijke websites in Nederlandse datacentra staan opgeslagen. Dat is op het eerste oog een goed teken, maar het baart deskundigen zorgen dat veel van deze hostingbedrijven vaak sterke banden met Amerika hebben. Dat laatste geldt niet alleen voor de hosting van tientallen gemeentelijke websites, maar ook voor die van authenticatiemiddel DigiD, dat landelijk wordt gebruikt.

Uit de inventarisatie blijkt dat vijftien gemeentelijke websites worden gehost door bedrijven die in handen zijn van Amerikaanse moederbedrijven, zoals Verizon, Equinix en Liberty Global. Daarnaast worden de data van 38 gemeentewebsites gehost door bedrijven met een Europees hoofdkantoor zoals Interoute (16 websites) en Leaseweb (22 websites). Zij zijn echter ook op grote schaal actief in de Verenigde Staten. Opvallend is dat het landelijk gebruikte DigiD, waarin vrijwel alle persoonlijke gegevens zijn terug te vinden van iedere Nederlandse burger, wordt gehost door Virtu, dat in handen is van het Amerikaanse Equinix.

Met de Amerikaanse ‘Freedom Act’, die de verguisde ‘Patriot Act’ onlangs heeft vervangen, kan de Amerikaanse overheid bedrijven dwingen om informatie te leveren om zo de veiligheid van de Amerikaanse burger te waarborgen, aldus advocaat Menno Weij van SOLV.

Wanneer een vestiging van een Amerikaans bedrijf in Nederland opereert, is deze niet verplicht om informatie af te geven aan de overheid. Het kan echter wel zo zijn dat er door het Amerikaans moederbedrijf zelf toch druk wordt uitgeoefend op de Europese dochter, om dit alsnog te doen. ‘Het is de vraag hoe dit bij die bedrijven intern geregeld is. Een Nederlandse dochter is niet gebonden aan de Amerikaanse wet, maar daarmee zijn niet alle bezwaren verdwenen’, zegt Weij.

Zelf nadenken
Volgens Weij moeten gemeenten ‘zelf nadenken’ over de hostingpartij waarmee ze in zee gaan. ‘Bij dochters van Amerikaanse bedrijven moet je je altijd afvragen: waar hangt deze dochter in de bedrijfsstructuur en hoeveel zeggenschap heeft dit bedrijfsonderdeel over zijn eigen gegevens? Dat verschilt namelijk per bedrijf. En de host is enkel een verwerker, de gemeente geeft de opdracht en moet de risico’s zelf inschatten. Ik merk in mijn werkveld dat gemeenten hier niet altijd over nadenken, terwijl zij met de persoonlijke gegevens van burgers in het beheer extra alert horen te zijn.’

Erik Huizer, hoogleraar Internet Toepassingen bij de Universiteit Utrecht, denkt eveneens dat gemeenten zich, ‘ondanks de waarschuwingen in de Baseline Informatiebeveiliging Nederlandse Gemeenten’, onvoldoende bewust zijn van de risico’s van inmenging van een buitenlandse overheid. ‘Dat DigiD en gemeentewebsites gehost worden door Amerikaanse bedrijven vind ik niet slim. Indirect geef je de NSA daarmee directe toegang tot burgergegevens en je mag hopen dat de betrokken partijen zich van de risico’s bewust zijn.’

Bij opslag van data op Amerikaanse grond, of elders bij een Amerikaans bedrijf, kan de Amerikaanse overheid door middel van een beroep op de Freedom Act die data opeisen en gebruiken. ‘Op dit moment strijdt het Amerikaanse bedrijf Microsoft met de Amerikaanse overheid, die data die op Ierse servers staat opgeslagen wil opvragen’, illustreert Huizer.

Microsoft heeft van de Amerikaanse rechtbank eind augustus 2015 zelfs een berisping gehad. Zodoende kan een Amerikaans hostingbedrijf in beginsel geen kwaad in de zin hebben met privégegevens, maar door de overheid toch onder druk worden gezet om ze af te geven.

‘Voor andere landen zoals China en Rusland gelden gelijkwaardige overwegingen’, stelt Huizer. De inmenging lijkt hem onwenselijk voor persoonsgegevens onder beheer van een gemeente. ‘Opslag van gegevens door een Europees bedrijf zou altijd de voorkeur moeten hebben. Maar ja, als dat nou morgen wordt overgenomen door Google? De beste oplossing lijkt dan een soort Shared Service Center voor de overheid en gemeenten. Dat lijkt me de enige garantie dat het niet kan worden overgenomen door buitenlandse bedrijven en dat het dus alleen onder Nederlandse wetgeving valt.’

Beveiliging gegevens
Het College Bescherming Persoonsgegevens (CBP) verklaart dat het in beginsel niet onverantwoord hoeft te zijn om met een bedrijf dat buiten de landsgrenzen gevestigd is te werken, mits deze buitenlandse partij zich aan de Nederlandse privacywetgeving houdt. Dat houdt in ieder geval in dat de verwerkte gegevens goed beveiligd moeten worden en er een overeenkomst getekend is die onder meer regelt hoe toegang, beveiliging en gebruik van de gegevens is georganiseerd. En dat voor gebruikers transparant wordt gemaakt wat er met de gegevens gebeurt.

Dat betekent in ieder geval informeren over de identiteit, gegevensverwerking en de doeleinden. Volgens Equinix is er voor hun klanten geen sprake van enige dreiging door de Freedom Act of andere vergelijkbare wetgeving. ‘De Freedom Act is niet van toepassing op de zakelijke activiteiten die momenteel gaande zijn in Nederland’, zo verklaart een woordvoerder van het bedrijf. ‘Amerikaanse wetshand­havingsinstanties kunnen de openbaarmaking van gegevens niet dwingen. Dat is op grond van het feit dat het data­centrum van Equinix in Nederland staat.’

De bedrijfsstructuur van Equinix is daarnaast ingericht ‘via lokaal geregistreerde entiteiten’, dat betekent dat alleen lokale medewerkers en lokaal management toegang hebben tot de Nederlandse Equinix-diensten. Daarnaast heeft Equinix geen toegang of controle over de data van klanten die staat opgeslagen op de servers, op enkele zeer gelimiteerde uitzonderingen na. De activiteiten van Equinix zouden volgens het bedrijf zodoende buiten het bereik blijven van de Freedom Act.

Welwillend opstellen
Niets aan de hand dus, als de informatie die Equinix geeft klopt. Maar de Microsoft-zaak toont dat bedrijven niet alles voor het zeggen hebben. De Amerikaanse overheid blijft veelvuldig data van Europese datacentra opvragen. Bedrijven als AT&T, Apple en Verizon hebben daarbij openlijk steun geuit voor Microsoft, aangezien zij ook veel data hebben opgeslagen in Europa, maar ze lijken niet opgewassen tegen de lange arm der wet. Uit het resultaat van de Microsoft-zaak blijkt immers dat de Amerikaanse rechtbank bij botsende conflicten toch vaak op de hand is van de overheid, omdat ‘veiligheid’ van de Amerikaanse burger vaak een groter belang dient dan die van het bedrijf.

Microsoft verklaarde dat het bevel geen ‘extraterritoriale’ kracht had, maar de Amerikanen maken handig gebruik van langlopende rechtshulpverdragen. Met Nederland hebben de Verenigde Staten zo’n verdrag in 2004 getekend. Beide landen moeten zich daardoor naar elkaar welwillend opstellen wanneer er sprake is van wetshandhavingsdoeleinden.

BritsIP-adres
Het opvragen van de hostingbedrijven achter gemeentewebsites deed Binnenlands Bestuur op basis van IP-adressen. Alle hosts bleken in Nederland te staan, op die van zestien gemeenten na, die hun websites laten hosten door Interoute. Het IP-adres gaf aan dat de host zich in Londen begeeft. Navraag bij de gemeenten en bij softwarebedrijf Green Valley, aan wie zij de webhosting hebben uitbesteed, leert dat de data toch in Nederland staan opgeslagen en wel in Schiphol-Rijk. ‘Waarom je wel een IP-adres in Londen krijgt als je de host opvraagt? Dat komt omdat de registratie van de websites door een moederbedrijf in Londen is gedaan. De data zelf staan met zekerheid opgeslagen bij een Nederlandse server. Wanneer er een incident plaats­vindt, geldt dan met absolute zekerheid ook de Nederlandse wetgeving en niet de Britse’, aldus een woordvoerder van Green Valley.