‘Kleine kans’ dat Amerikaanse overheid toegang krijgt tot Europese gegevens op basis van de CLOUD-Act
Expertblogs
In augustus heeft het NCSC een onderzoeksrapport over de CLOUD-act gepubliceerd, opgesteld door het advocatenkantoor Greenberg Traurig. Het rapport beschrijft de invloed van extraterritoriale wetgeving van buíten Europa op de beveiliging van dataverwerkingen ín Europa (bij Europese digitale dienstverleners). Voor dat onderzoek is specifiek naar de Amerikaanse CLOUD-act gekeken omdat dit een breed bekend en goed gedocumenteerd voorbeeld is van extraterritoriale wetgeving.
De keuze voor de focus op de CLOUD-Act kwam niet voort uit een veronderstelde forse dreiging vanuit die wetgeving. Toch kregen wij na publicatie van het onderzoek verschillende keren de vraag hoe groot het risico is dat informatie in Europa wordt opgevraagd door de Amerikaanse overheid op basis van de CLOUD-act. We hebben Greenberg Traurig gevraagd dit in kaart te brengen.
Risicomanagement vormt het hart van een adequate beveiliging van (persoons)gegevens. De integrale risicoanalyse die daaraan ten grondslag ligt, vereist een heldere inschatting van de kans en impact van de verschillende risico’s. Hiermee kan onderscheid worden gemaakt tussen de hypothetische risico’s en de daadwerkelijke risico’s. Het onderzoek van Greenberg Traurig laat zien dat het risico dat de Amerikaanse overheid toegang krijgt tot Europese (persoons)gegevens, specifiek op basis van de CLOUD-act, weliswaar voorstelbaar, maar in de praktijk ook (heel) klein is.
Dit inzicht is belangrijk voor organisaties bij het maken van risicoafwegingen rondom de inzet van bepaalde digitale diensten en voorzieningen. Of het hierbij nu gaat om eigen on-prem diensten of, bijvoorbeeld, het gebruik van (public) cloud dienstverlening.
In combinatie met het eerdere onderzoek kunnen we stellen dat het in principe niet uitmaakt of organisaties gegevensverwerkingen en/of -opslag beleggen bij Amerikaanse leveranciers óf dat ze dit doen bij Europese leveranciers onder Amerikaanse jurisdictie. De CLOUD-act is slechts één voorbeeld van extraterritoriale wetgeving die doorwerkt op gegevensverwerkingen in Europa. Ook andere landen kennen dergelijke wetgeving. Wat het daadwerkelijke risico daarvan is, is hiermee niet onderzocht.
Geschreven door:
Paul van den Berg,
Strategic Vendor Relations Cybersecurity
Meer weblogberichten
Documenten
Reactie toevoegen
U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.
Reacties
Er zijn nu geen reacties gepubliceerd.