Kabinet kan niet uitsluiten dat gegevens uitgewisseld via Zivver in VS terechtkomen
Het demissionaire kabinet kan niet uitsluiten dat via Zivver uitgewisselde gegevens in de Verenigde Staten terechtkomen, zo laat demissionair staatssecretaris Van Marum voor Digitalisering weten. De bewindsman reageerde op Kamervragen over de overname van de Nederlandse databeveiliger door het Amerikaanse bedrijf Kiteworks. Aanleiding voor de vragen van GroenLinks-PvdA is een artikel van Follow the Money waarin wordt gesteld dat door de overname gevoelige informatie over Nederlandse burgers in handen van Kiteworks komt.
Kamerlid Kathmann wilde weten of kan worden uitgesloten dat gegevens die uitgewisseld worden via Zivver in de Verenigde Staten of Israël terechtkomen. "Het kabinet heeft op dit moment geen aanwijzingen dat gegevens in strijd met het gegevensbeschermingsrecht in handen van de overheid in de VS of Israël terechtkomen, maar kan het ook niet met volledige zekerheid uitsluiten", reageert Van Marum.
Zivver wordt veel in de zorg gebruikt, maar ook verschillende overheidsorganisaties wisselen via de dienst informatie uit. De staatssecretaris merkt op dat door de overname Amerikaanse wetgeving, zoals de CloudAct, ook van toepassing kan zijn op de diensten van Zivver. "Verwerkingsverantwoordelijke departementen moeten dit gewijzigde stelsel betrekken in hun risicoafweging bij het gebruik van Zivver", voegt de bewindsman toe.
Kathmann wilde ook weten of het blijven gebruiken van Zivver, nu het in handen van een Amerikaans bedrijf is gekomen, bijdraagt aan de cyberveiligheid en autonomie van Nederland. "Een dergelijke verandering maakt het wenselijk om risico’s opnieuw te beoordelen in de context van het concrete gebruik, de aard van gegevens die worden uitgewisseld, de getroffen beveiligingsmaatregelen, en de specifieke geldende contractuele (juridische) en technische waarborgen", reageert Van Marum.
De staatssecretaris kreeg ook de vraag of het mogelijk is om op korte termijn de diensten van Zivver in te wisselen voor een eigen alternatief. "Binnen de rijksoverheid maken verschillende departementen reeds gebruik van andere oplossingen voor het veilig uitwisselen van bestanden en berichten", luidt het antwoord. Van Marum voegt toe dat er momenteel vanuit de Nederlandse Digitaliseringsstrategie een verkenning loopt naar het opzetten van een overheidsbrede soevereine cloud, waarin mogelijk ook vertrouwelijke gegevensuitwisseling kan gaan plaatsvinden.
Was kennelijk een goede beslissing.
We moeten ook als particulieren onze bijdrage leveren en stoppen met Amerikaanse software.
1. Klassieke soevereiniteit
Het koningschap (later de staat) legitimeerde zichzelf door bescherming.
Bescherming tegen buitenlandse machten, roof, invloed, rechtspraak van buitenaf.
Jurisdictie en geweldsmonopolie waren exclusief nationaal.
2. Moderne equivalent: data en communicatie
Gegevens zijn nu wat land, mensen en belastinginkomsten ooit waren.
Wie toegang heeft tot data, heeft macht: politiek, economisch, juridisch.
CloudAct is géén technisch detail maar een extraterritoriale machtsclaim.
3. Wat het kabinet feitelijk zegt
“We kunnen het niet uitsluiten” = verlies van controle.
Dat is een impliciete erkenning dat Nederlandse rechtsbescherming niet sluitend is.
De verantwoordelijkheid wordt doorgeschoven naar “verwerkingsverantwoordelijken”.
-> Fragmentatie van soevereiniteit.
4. Breuk met het oude beschermingsmodel
Vroeger: centrale macht beschermt collectief.
Nu: individuele organisaties moeten zelf risico’s afwegen tegen buitenlandse wetgeving.
Dat is geen soeverein bestuur, dat is risicodelegatie.
5. Zivver is hier slechts een casus
Het probleem is niet Zivver.
Het probleem is afhankelijkheid van infrastructuur buiten eigen rechtsmacht.
Nationaliteit van eigendom > locatie van servers > juridische afdwingbaarheid.
6. De “soevereine cloud” verkenning
Dit is een late correctie op een structurele fout.
Soevereiniteit achteraf herstellen is altijd duurder en politiek zwakker.
Zonder harde uitsluiting van extraterritoriale claims is het symbolisch.
Conclusie
Wat het koningshuis ooit deed met muren en legers, zou de staat nu moeten doen met:
infrastructuur
cryptografie
eigendom
jurisdictie
Als de staat zegt “we kunnen het niet uitsluiten”, dan erkent hij feitelijk dat hij die rol niet meer volledig vervult. Dat is geen technisch falen, maar een soevereiniteitsvraag.
1. Klassieke soevereiniteit
Het koningschap (later de staat) legitimeerde zichzelf door bescherming.
Bescherming tegen buitenlandse machten, roof, invloed, rechtspraak van buitenaf.
Jurisdictie en geweldsmonopolie waren exclusief nationaal.
2. Moderne equivalent: data en communicatie
Gegevens zijn nu wat land, mensen en belastinginkomsten ooit waren.
Wie toegang heeft tot data, heeft macht: politiek, economisch, juridisch.
CloudAct is géén technisch detail maar een extraterritoriale machtsclaim.
3. Wat het kabinet feitelijk zegt
“We kunnen het niet uitsluiten” = verlies van controle.
Dat is een impliciete erkenning dat Nederlandse rechtsbescherming niet sluitend is.
De verantwoordelijkheid wordt doorgeschoven naar “verwerkingsverantwoordelijken”.
-> Fragmentatie van soevereiniteit.
4. Breuk met het oude beschermingsmodel
Vroeger: centrale macht beschermt collectief.
Nu: individuele organisaties moeten zelf risico’s afwegen tegen buitenlandse wetgeving.
Dat is geen soeverein bestuur, dat is risicodelegatie.
5. Zivver is hier slechts een casus
Het probleem is niet Zivver.
Het probleem is afhankelijkheid van infrastructuur buiten eigen rechtsmacht.
Nationaliteit van eigendom > locatie van servers > juridische afdwingbaarheid.
6. De “soevereine cloud” verkenning
Dit is een late correctie op een structurele fout.
Soevereiniteit achteraf herstellen is altijd duurder en politiek zwakker.
Zonder harde uitsluiting van extraterritoriale claims is het symbolisch.
Conclusie
Wat het koningshuis ooit deed met muren en legers, zou de staat nu moeten doen met:
infrastructuur
cryptografie
eigendom
jurisdictie
Als de staat zegt “we kunnen het niet uitsluiten”, dan erkent hij feitelijk dat hij die rol niet meer volledig vervult. Dat is geen technisch falen, maar een soevereiniteitsvraag.
Tja, het invoeren/doordrammen van een ideologie (welke ideology dan ook) zonder serieus te kijken naar de echte gevolgen zal altijd tot dit leiden. Want we volgen toch allemaal de ideolgie, hebben we onze handtekening onder gezet. Dus wat kan er fout gaan. Jammer dan, niet alle mensen zijn gelijk.
Kijk eens naar Aruba en Curacao nu.. hoe kan de soeverein van het Koninkrijk dat accepteren!?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?