Welke juridische risico's brengt de Amerikaanse overname van Solvinity met zich mee?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Welke juridische risico's zie jij met betrekking tot het feit dat Solvinity, het cloudbedrijf waar de overheid zowel Digid en Mijn Overheid heeft ondergebracht, door een Amerikaans bedrijf wordt overgenomen?
Heeft de overheid hier steken laten vallen, of had Solvinity niet voorafgaand aan de feitelijke overname transparanter moeten zijn over het feit dat er onderhandeld werd met een Amerikaans bedrijf?
Gezien de reële risico's dat de overheid in de VS invloed heeft op hoe Amerikaanse bedrijven, gezien de Cloud-Act, en reeds aangetoond doordat Microsoft de toegang tot de e-mailbox van de hoofdaanklager van het Europees rechtshof blokkeert. Wat is jouw mening?
Antwoord: Zuiver juridisch bekeken is hier weinig over te zeggen. Het probleem is vooral praktisch en beleidsmatig: dit is "niet handig" om het zachtjes uit te drukken. Maar er is geen wet die dit verbiedt, of die maakt dat het gebruik van deze diensten nu onmogelijk of zeer moeilijk wordt.
Natuurlijk, de AVG (en tot op zekere hoogte de Data Act) verbieden overdracht van gegevens naar buiten de EU, en in Europa gevestigde bedrijven mogen geen gehoor geven aan bevelen onder de CLOUD Act (art. 48 AVG). Maar binnen die grenzen opereren is vooral een papieren kwestie: afspraken vastleggen, service level agreements herzien en auditbevindingen documenteren. Als dat goed uitgewerkt wordt, dan zit je juridisch goed.
Het probleem is dat de zorgen over wat hier mis kan gaan, eigenlijk ongrijpbaar zijn voor de bestaande juridische toetsingskaders. De kern van de angst is niet "er wordt vandaag een wet overtreden", maar "we creëren een afhankelijkheid die ons morgen kwetsbaar maakt". Het is juridisch niet verboden je land kwetsbaar te maken voor buitenlandse druk of invloed.
Iedereen snapt intuïtief dat het ongelukkig is als vitale digitale overheidsinfrastructuur onder de zeggenschap van een buitenlandse – en zeker Amerikaanse – moeder komt te vallen. Maar dat gevoel laat zich niet eenvoudig vertalen naar: dit mag niet of dit had voorkomen moeten worden. Of nou ja: dat kan wel, maar dan moet er een (Nederlandse of Europese) wet komen die dat expliciet zegt. Clouddiensten aan de overheid mogen slechts geleverd worden door een concern naar Nederlands recht, zoiets.
Probleem daarmee is dat dat dan weer tegen algemene regels over eerlijke behandeling bij aanbestedingen aanloopt. Binnen de huidige kaders kun je dit probleem niet adresseren, totdat het een keer echt is misgegaan. Want pas dan is te betogen dat deze partij uitgesloten moet worden, dat deze overname niet mag, et cetera.
En het gegeven dat Microsoft de mailbox van de hoofdaanklager van het Internationaal Strafhof heeft geblokkeerd? Ook daar kun je niet heel veel mee, vrees ik. Het flauwe antwoord is: we weten niet precies waarom, tevens gaat het niet om een EU-instantie dus kun je niet zeggen dat Europees recht geschonden wordt. Ook hier weer, dit is te vaag om met juridische regels naar een verbod te leiden. De enige route is een duidelijke politieke keuze, die dan in een nieuwe wet vastgelegd kan worden. Koopt Nederlandsche Cloud.
Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.
Op kyndryl.com staat Kyndryl Nederland in het rijtje naast nog ontelbare andere 'kyndryl locations' in andere landen...
Ik denk niet dat Kyndryl Nederland op die lijst zou staan als de vestiging in NY niet de meeste aandelen van Kyndryl Nederland zou hebben.
Maar wat je ziet is dat Amerika als land (d.w.z als staat) onder rogue president Trump handelt en zich niets aantrekt van de wet, en dat dan later juridisch of pseudo-juridisch gaat verdedigen als er een rechtszaak tegen komt. Dan zijn er al voldongen feiten geschapen. De aanval op Venezuela om daar macht en olie in handen te krijgen, is het meest recente voorbeeld.
Nederland en de EU zouden op het punt van hun eigen infrastructurele veiligheid dezelfde benadering moeten volgen. Dit betekent dat Nederland en de EU op regeringsniveau zouden moeten erkennen en benoemen dat bepaalde bedrijfsovernames door buitenlandse bedrijven grootschalige onveiligheid veroorzaken voor de eigen bevolking, en daarom met een beroep op staatsraison gestopt moeten worden. Want ja, staatsraison kan ook worden ingeroepen als het gaat om de bescherming van de eigen bevolking. Dat betekent dat de fysieke servers waar Solvinity en Logius gebruik van maken, zonder vooraankondiging door de politie of veiligheidstroepen veilig gesteld moeten worden.
Zonder vooraankondiging om de kans te verkleinen dat alle persoonsgegevens van Nederlanders die daar worden bewaard, door het overgenomen / over te nemen Solvinity nog snel even naar Amerika worden getransporteerd (als dat niet al gebeurd is...).
Natuurlijk krijg je dan een diplomatieke rel met Amerika. Maar het relatieve succes van Canada onder Mark Carney laat zien dat het stellen van grenzen juist ook een positief effect kan hebben op de houding van Amerika onder Trump.
Natuurlijk, Trump chanteert de EU en alle EU-lidstaten met de dreiging van het onthouden van militaire middelen ten behoeve van de verdediging van Oekraïne, en mogelijk ook met het onthouden van "redelijk" geprijst LNG-gas, en met de mogelijkheid van een aanval op Groenland.
De EU en landen als Nederland zullen op enig moment moeten laten zien dat ze zich niet verder laten chanteren. Anders zal de chantage steeds verder gaan, totdat Nederland en de EU bibberend in hun onderbroekje in een hoekje van een donkere steeg staan. Dat lijkt me geen goed plan.
M.J.
Ik kan de cookie-consent niet eens aanklikken of deze verdwijnt; heb daarna 20 cookies op mn systeem die bij die site (en 2 andere) horen, ondanks ghostery en adblockers.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?