‘Kleine kans’ dat Amerikaanse overheid toegang krijgt tot Europese gegevens op basis van de CLOUD-Act

Weblogbericht | 23-11-2022 | NCSC

De keuze voor de focus op de CLOUD-Act kwam niet voort uit een veronderstelde forse dreiging vanuit die wetgeving. Toch kregen wij na publicatie van het onderzoek verschillende keren de vraag hoe groot het risico is dat informatie in Europa wordt opgevraagd door de Amerikaanse overheid op basis van de CLOUD-act. We hebben Greenberg Traurig gevraagd dit in kaart te brengen.

Risicomanagement vormt het hart van een adequate beveiliging van (persoons)gegevens. De integrale risicoanalyse die daaraan ten grondslag ligt, vereist een heldere inschatting van de kans en impact van de verschillende risico’s. Hiermee kan onderscheid worden gemaakt tussen de hypothetische risico’s en de daadwerkelijke risico’s. Het onderzoek van Greenberg Traurig laat zien dat het risico dat de Amerikaanse overheid toegang krijgt tot Europese (persoons)gegevens, specifiek op basis van de CLOUD-act, weliswaar voorstelbaar, maar in de praktijk ook (heel) klein is.     

Dit inzicht is belangrijk voor organisaties bij het maken van risicoafwegingen rondom de inzet van bepaalde digitale diensten en voorzieningen. Of het hierbij nu gaat om eigen on-prem diensten of, bijvoorbeeld, het gebruik van (public) cloud dienstverlening.

In combinatie met het eerdere onderzoek kunnen we stellen dat het in principe niet uitmaakt of organisaties gegevensverwerkingen en/of -opslag beleggen bij Amerikaanse leveranciers óf dat ze dit doen bij Europese leveranciers onder Amerikaanse jurisdictie. De CLOUD-act is slechts één voorbeeld van extraterritoriale wetgeving die doorwerkt op gegevensverwerkingen in Europa. Ook andere landen kennen dergelijke wetgeving. Wat het daadwerkelijke risico daarvan is, is hiermee niet onderzocht.

Geschreven door:
Paul van den Berg, 
Strategic Vendor Relations Cybersecurity