Europese klanten van cloudaanbieders uit de VS hoeven zich weinig zorgen te maken dat Amerikaanse overheden hun gegevens opvragen op basis van de Cloud Act. Deze Amerikaanse wet maakt het weliswaar voor overheden mogelijk om ook Europese cloudklanten te viseren, maar dit gebeurt in de praktijk vrijwel nooit. Het Nederlandse Nationaal Cyber Security Centrum (NCSC) onderschrijft deze conclusie van Greenberg Traurig, een Amerikaans advocatenkantoor met een vestiging in Amsterdam.
Het NCSC liet aanvullend onderzoek doen naar aanleiding van een eerder rapport over de werking van de Amerikaanse Cloud Act bij dataopslag in de Europese Unie. De wet verplicht Amerikaanse cloudaanbieders om mee te werken als de Amerikaanse overheid toegang wil tot data die hun klanten in Europa hebben opgeslagen. Voor veel Europese organisaties is dit een groot bezwaar en vaak aanleiding om niet met Amerikaanse cloudaanbieders in zee te gaan.
Voorstelbaar, maar kleine kans
De kans dat Amerikaanse autoriteiten daadwerkelijk toegang krijgen tot Europese persoonsgegevens op basis van de Cloud Act, is voorstelbaar maar in de praktijk heel klein. Die conclusie trekt het advocatenkantoor na bestudering van de transparantieverslagen van drie grote Amerikaanse cloudaanbieders, Microsoft, Amazon en IBM. Google, de op twee na grootste cloudaanbieder, is niet meegenomen. De drie onderzochte aanbieders hebben gezamenlijk echter zo’n groot marktaandeel dat de advocaten het aandurven om hun conclusie te veralgemeniseren.
Het komt bij de drie onderzochte cloudaanbieders vrijwel niet voor dat de Amerikaanse overheid een verzoek indient voor de verstrekking van gegevens van Europese klanten. Microsoft ontving sinds maart 2018 twaalf verzoeken, waarvan een onbekend aantal ook nog klanten elders in de wereld betreft. Daarnaast meldde de cloud- en softwareaanbieder in november 2021 nooit aan overheden toegang te hebben verleend tot persoonsgegevens behorend bij organisaties in de publieke sector in de EU.
Twijfel
In 2021 meldde IBM dat de Amerikaanse autoriteiten slechts eenmaal verzochten om de gegevens van klanten in de EU. Het verzoek zou zijn afgewezen. Bij Amazon zou de Amerikaanse overheid nog nooit toegang hebben verleend tot klantgegevens die buiten de VS zijn opgeslagen.
Voor Europese organisaties die toch twijfelen over de impact van de Amerikaanse Cloud Act, hebben de onderzoekers enkele tips. Het gaat om versleuteling van gegevens, beveiligde overdracht naar de cloudaanbieder, gepseudonimiseerde verwerking van de gegevens en beperkte mogelijkheid voor het terug herkenbaar maken van de gegevens.
Het onderzoek werd uitgevoerd in opdracht van het NCSC, dat de conclusies onderschrijft. Volgens het centrum is de Cloud Act slechts een voorbeeld van extraterritoriale wetgeving die doorwerkt op gegevensverwerkingen in Europa. Andere landen kennen vergelijkbare wetgeving.
