Na de Patriot Act, nu ook de FAA.
Bij het kiezen van een cloudprovider moet je weten dat de Amerikaanse wetgeving de garanties op vertrouwelijkheid ondergraaft. Van zodra je werkt met een Amerikaanse cloudprovider of met een cloudprovider die werkt met een Amerikaanse onderaannemer kan de Amerikaanse overheid aan je gegevens. De Patriot Act van 2001 vormde een nieuwe basis voor de Amerikaanse intelligence agencies om de data in te kijken in het kader van de bestrijding van terrorisme en zware criminaliteit. Enkel de Amerikaanse burgers (en gelijkgestelden) worden daarbij beschermd door het Fourth Amendment van de Bill of Rights. Wij niet.
De Patriot Act is van toepassing op alle diensten die onder Amerikaanse jurisdictie vallen en dat zou het geval zijn wanneer de entiteit gevestigd is in de VS, een dochteronderneming of kantoor heeft in de VS of op andere wijze continu en systematisch zaken doet in de VS. Dit is duidelijk zeer ruim. De opslaglocatie is niet doorslaggevend.
De Patriot Act wijzigde onder andere de Foreign Intelligence Surveillance Act (FISA) van 1978 die de Amerikaanse burgers bedoelde te beschermen tegen misbruik van de inlichtingendiensten.
De FAA of FISA Amendments Act van 2008, gaat nog een stap verder dan de Patriot Act: er moet zelfs geen sprake zijn van terrorisme of zware criminaliteit. Het kan een louter politieke controle zijn. Het doel moet ook niet meer een buitenlandse mogendheid zijn: de “target” kan een NGO zijn, media organisaties of geografische regio’s (!!) in het buitenland. Het verzamelen van buitenlandse inlichtingen (foreign intelligence information) is voldoende.
De data waarover het gaat zijn de data van “niet-Amerikaanse personen verblijvend in het buitenland”. En de screening kan dan op grote schaal (door nieuwe grote datacenters van de NSA) en stiekem.
Het is zeer duidelijk dat clouddiensten bedoeld zijn: die vallen namelijk onder het criterium “remote computing services”.
De regeling van de FAA gold tot einde 2012, maar werd in januari 2013 voor 5 jaar verlengd, vanwaar de recente interesse in de (gespecialiseerde) media.
Natuurlijk moeten we niet alleen naar Amerika kijken. De Europese veiligheidsdiensten hebben ook onderzoeksmogelijkheden en het zoeken naar evenwichten bij de herziening van de betreffende Europese richtlijn lijkt moeizaam te verlopen.
Desalniettemin, een voorzichtige gegevensbeheerder is er twee waard (en slaapt beter).
Bronnen:
http://www.ivir.nl/publicaties/vanhoboken/Clouddiensten_in_HO_en_USA_Patriot_Act.pdf
http://www.europarl.europa.eu/committees/en/studiesdownload.html?languageDocument=EN&file=79050
Zie ook:
http://datanews.knack.be/ict/opinie/columns/uncle-sam-kijkt-mee/opinie-4000242028059.htm
http://www.net-security.org/secworld.php?id=14215
http://Wolnyinternet.panoptykon.org/sites/default/files/internet_surveillance_caspar_bowden.pdf (recente presentatie op CPDP 2013 op aanvraag)
Contact Anne Teughels – adviseur Vlaamse Toezichtcommissie - toezichtcommissie {at} vlaanderen {dot} be