Gearchiveerde publicatie
Deze publicatie wordt niet meer actief onderhouden. De informatie in deze publicatie kan daarom verouderd zijn.
CLOUD Act Memo en CLOUD Act Requests
Publicaties en rapporten
Cloud
Het NCSC heeft in 2022 door advocatenkantoor Greenberg Traurig onderzoek laten doen naar de invloed van extraterritoriale wetgeving van buíten Europa op de beveiliging van dataverwerkingen ín Europa (bij Europese digitale dienstverleners). Hierbij werd de Amerikaanse CLOUD-Act (The Clarifying Lawful Overseas Use of Data-Act) als voorbeeld gekozen, omdat dit de meest bekende en best geanalyseerde van dit soort wetten was. In een vervolgonderzoek werd gekeken naar het risico dat informatie in Europa wordt opgevraagd door de Amerikaanse overheid op basis van de CLOUD-act.
De analyses lieten zien dat het, alleen al in het geval van de US CLOUD-Act, heel lastig is voor een gegevenseigenaar of verwerkingsverantwoordelijke om vast te stellen of er bij een dienst of dienstverlener sprake is van extraterritoriale invloeden van niet-Europese wetgeving. Dit wordt niet alleen bepaald door verschillende factoren bij de leverancier, maar is ook afhankelijk van de leveranciersketen en de bedrijven die daarin actief zijn. Dit vraagt om gedegen risicoanalyses maar ook om het besef dat niet mogelijk is extraterritoriale invloeden volledig uit te sluiten. Het vervolgonderzoek liet zien dat het risico dat de Amerikaanse overheid toegang krijgt tot Europese (persoons-)gegevens, op basis van specifiek de CLOUD-Act, op het moment van schrijven (2022) weliswaar voorstelbaar, maar in de praktijk ook (heel) klein was. Een soortgelijke conclusie is getrokken in een analyse die Greenberg Traurig in 2026 heeft uitgevoerd voor SLM-Rijk.
Toegang tot data op basis van extraterritoriale wetgeving is één van de aspecten die je als organisatie mee moet nemen in je risicoanalyse en je aanpak van leveranciersmanagement. Het is belangrijk om risico’s van extraterritoriale wetgeving mee te nemen in de risicoanalyse van jouw organisatie. Dit komt doordat buitenlandse wetten directe gevolgen kunnen hebben voor organisaties die internationaal actief zijn of met buitenlandse partijen samenwerken. Deze wetgeving kan verplichtingen, sancties of conflicterende regels opleggen die impact hebben op de bedrijfsvoering en reputatie van jouw organisatie. Door deze risico’s expliciet te analyseren, kunnen organisaties tijdig passende beheersmaatregelen treffen en onverwachte juridische of financiële schade voorkomen.
Belangrijk is om hierbij te beseffen dat de geopolitieke context door de jaren heen onderhevig is aan constante verandering: relaties en belangen verschuiven, en wat vandaag een partner is, kan morgen een risico vormen. Door hiermee rekening te houden, kun jouw organisatie beter anticiperen op veranderende machtsverhoudingen.
Wil je meer weten over hoe je jouw organisatie passend kan beschermen tegen dreigingen vanuit de toeleveringsketen?
Meer informatie vind je in de volgende artikelen: