De Amerikaanse CLOUD-Act is ook van toepassing op Europese organisaties, zelfs als data in Europa staat en je geen Amerikaanse moedermaatschappij hebt. De CLOUD-Act gaat primair over opgeslagen data. Real-time interceptie kan alleen als er een speciaal verdrag (executive agreement) is, en dat heeft Nederland niet. Bescherming tegen CLOUD Act kan daardoor maar op twee manieren:
De discussie over de risico’s van de Amerikaanse CLOUD-Act woedt volop. Vaak gaat die discussie al snel over het gebruik van Amerikaanse leveranciers: “Als we geen Amerikaanse cloudprovider gebruiken, zijn we veilig.” Maar dat beeld is misleidend.
De CLOUD-Act kan namelijk óók gelden voor Europese organisaties zonder Amerikaanse moedermaatschappij, simpelweg omdat zij minimale contacten met de VS onderhouden – zoals een Engelstalige website, enkele klanten in de VS of het ontbreken van een blokkade voor Amerikaanse gebruikers. De gevolgen kunnen aanzienlijk zijn wanneer niet de juiste maatregelen zijn getroffen, ook als je uitsluitend met Europese providers werkt.
De Clarifying Lawful Overseas Use of Data Act (CLOUD-Act) is een Amerikaanse wet die bepaalt dat Amerikaanse autoriteiten data mogen opvragen bij aanbieders van elektronische communicatiediensten of cloudproviders die onder Amerikaanse jurisdictie vallen – óók als die data buiten de VS, bijvoorbeeld in Europa, is opgeslagen.
Het Nationaal Cyber Security Centrum (NCSC) schrijft hierover:
"Ook Europese bedrijven met dataverwerkingen in Europa vallen soms onder de werking van de Amerikaanse CLOUD-Act. Hierdoor kan in Europa opgeslagen data toegankelijk zijn voor de Amerikaanse overheid."
(bron: NCSC-blog, bovenaan de pagina)
Let ook op dat het NCSC praat over opgeslagen data. Onder CLOUD-Act is er geen mogelijkheid om live-interceptie of aftappen van communicatie te eisen, omdat hiervoor een Executive Agreement tussen landen nodig is, en op dit moment nog geen enkel lid van de EU een dergelijke EA heeft. Zie verderop meer hierover.
Het NCSC heeft een uitgebreid juridisch memorandum laten opstellen over de CLOUD-Act, waarin precies wordt beschreven hoe de wet werkt en welke risico’s dit oplevert voor Europese organisaties (Cloud Act Memo).
Belangrijk daarin is de constatering dat de toepasselijkheid soms verrassend ruim kan zijn. Het gaat niet alleen om Amerikaanse bedrijven of hun dochters in Europa. Op pagina 7 wordt een casus beschreven die dit duidelijk illustreert:
Een Duits bedrijf zonder Amerikaanse vestiging, zonder Amerikaanse collega’s en met contracten uitsluitend onder Duits recht, viel tóch onder Amerikaanse jurisdictie. De reden? De website was in het Engels, er was geen blokkade voor Amerikaanse gebruikers en in drie jaar tijd waren er 156 klanten in de VS met een omzet van nog geen $200.000. Het hof oordeelde dat het bedrijf redelijkerwijs had moeten voorzien dat het Amerikaanse recht van toepassing kon zijn.
Dit voorbeeld laat zien dat de CLOUD-Act niet alleen bedrijven treft die ‘Amerikaanse banden’ hebben, maar ook Europese spelers die (onbedoeld) minimale contacten met de VS onderhouden.
Er zijn maar twee manieren om écht buiten de werking van de CLOUD-Act te blijven:
De CLOUD-Act is encryptie-neutraal. Dat betekent dat de wet niet vereist dat een provider in staat is om data te ontsleutelen. In de NCSC-memo staat hierover (onderaan pagina 3):
"Even assuming that the U.S. governmental entity is successful in asserting personal jurisdiction, it must also establish the EU Entity is in “possession, custody or control” of the data sought. (…) The CLOUD Act (…) is “encryption-neutral” and does not require providers to be capable of decrypting their data. Thus, to the extent the EU Entity is storing encrypted data, and it is not in possession of the keys necessary to decrypt the data, the EU Entity would not be in a position to determine whether it has data sought by the warrant."
Samengevat: als jij als leverancier de sleutel niet hebt (BYOK), kun je terecht stellen dat je de gevraagde data niet in bezit hebt. Dit is de belangrijkste juridische en technische verdedigingslinie tegen de CLOUD-Act.
Een tweede manier is data niet in de cloud van een van de Amerikaanse Hyperscalers, zoals Azure, Google, AWS, Oracle, IBM, etc. op te slaan, maar volledig On-Premise te draaien, in je eigen datacenter of bij een lokale partner. Ook hier geldt: idealiter in combinatie met BYOK-encryptie, zodat risico’s door insider threats of hacks worden gemitigeerd.
Soms wordt gedacht dat de CLOUD-Act ook de Amerikaanse autoriteiten het recht geeft om live-communicatie van Europeanen af te luisteren. Hier is nuance nodig.
De European Data Protection Board (EDPB) en de European Data Protection Supervisor (EDPS) benadrukken dat de CLOUD Act primair ziet op opgeslagen data. Real-time interceptie of aftappen van communicatie kan alleen wanneer de Verenigde Staten en een andere staat een zogenoemd executive agreement hebben gesloten. In zo’n verdrag kan expliciet geregeld worden dat buitenlandse autoriteiten rechtstreeks een bevel tot interceptie mogen geven aan een Amerikaanse provider. Zonder zo’n overeenkomst kan de CLOUD Act dus niet gebruikt worden voor afluisteren.
“The US CLOUD Act opens the possibility for service providers to ‘intercept or disclose the contents of a wire or electronic communication in response to an order from a foreign government’ (…) under the condition that this foreign government has entered into an executive agreement with the US.”
— EDPB/EDPS Joint Annex, 10 juli 2019
Nederland heeft géén dergelijke overeenkomst met de VS. Dat betekent dat voor Nederlandse organisaties het CLOUD Act-risico in de praktijk alleen over opgeslagen data gaat. Daarmee blijft de kernboodschap overeind: bescherming is er alleen via BYOK-encryptie of On-Premise hosting.
De discussie over de CLOUD-Act moet helder gevoerd worden: het gaat niet om het eigenaarschap of de nationaliteit van de leverancier. Het gaat om de vraag of een organisatie onder Amerikaanse jurisdictie valt en of data in bezit of onder controle kan worden geacht. Ook gaat het om opgeslagen data, niet om het 'aftappen', omdat Nederland geen executive agreement met de VS heeft.
Zelfs Europese bedrijven zonder Amerikaanse moeder kunnen eronder vallen. Dat betekent dat simpelweg “geen Amerikaanse leverancier gebruiken” géén bescherming biedt.
De enige echte oplossingen zijn:
Zivver biedt volledige BYOK-encryptie en is daarmee niet gevoelig voor de CLOUD-Act. Ook biedt Zivver de mogelijkheid op oplossingen voor onder andere e-mailencryptue On-Premise te hosten. Daarmee combineren we het beste van twee werelden: beveiliging tegen juridische risico’s van de CLOUD-Act én bescherming tegen technische bedreigingen.
Voor wie dieper in de risico’s van Amerikaanse cloudopslag wil duiken, verwijs ik graag naar onze eerdere blog: De échte risico’s van de Amerikaanse cloud.