TPO Talk

Cloud, data over de grens, en het belang van transparante regels

13-05-2015 11:03

Begin juni 2013 kwam het eerste nieuws naar buiten over de NSA-documenten onthuld door Edward Snowden. Wereldwijd zijn discussies over gegevensbescherming en privacy in het digitale tijdperk sindsdien in een ongekende stroomversnelling geraakt. Dit debat – hoe divers ook – draait eigenlijk allemaal om maar één ding: vertrouwen.

Vertrouwen voor consumenten dat gegevens veilig worden opgeslagen, vertrouwen dat de privacy van burgers wordt geborgd, en vertrouwen dat het investeren door bedrijven en organisaties in nieuwe technologie en cloud computing de moeite waard is.

De impact van de politiek op dat vertrouwen moet niet worden onderschat. De realiteit daarbij is dat de razendsnelle ontwikkeling van technologie helaas niet kan worden bijgebeend door diezelfde politiek. De moeizame relatie van Europese overheden tot een innovatie als taxiapp Uber is daarvan een goed voorbeeld. Het internet is inmiddels zo diep in de haarvaten van onze economie en samenleving doorgedrongen, dat het voor politici en overheden niet langer is vol te houden dat op internet andere regels zouden moeten gelden dan in de ‘echte’ wereld. Maar zolang bestaande wetgeving niet wordt aangepast, worden de enorme mogelijkheden van bijvoorbeeld die cloud voor het sneller, efficiënter, goedkoper en ook veiliger werken en leven niet optimaal benut.

Het is dus van groot belang dat overheden hun regelgeving moderniseren, zodat de spelregels van de rechtstaat online precies zo gelden als ze dat offline doen. Zo vindt Microsoft het voor het vertrouwen in de cloud cruciaal dat landen heldere afspraken maken over hoe ze informatie opvragen uit datacentra als ze die nodig hebben voor strafrechtelijk onderzoek. Als die afspraken niet duidelijk zijn, weten burgers en consumenten niet precies wat er met hun gegevens gebeurt, en blijft het vertrouwen achter.

Hotmail-gebruiker

Vorig jaar heeft Microsoft daarom de zogenoemde ‘warrant case’ gestart. Deze zaak begon met het verzoek van de Amerikaanse overheid aan Microsoft om gegevens van een Hotmail-gebruiker te overhandigen voor gebruik bij een opsporingsonderzoek. Die gegevens staan echter op een Microsoft-server in Ierland. Omdat we als bedrijf willen afdwingen dat de Amerikaanse overheid altijd de lokale wetgeving – in dit geval Ierland – respecteert bij het opvragen van gegevens die op servers buiten de VS zijn opgeslagen, hebben we het specifieke verzoek om deze gegevens aangevochten bij een Amerikaanse rechter. Tientallen bedrijven, academici, NGO’s en andere organisaties hebben Microsoft gesteund in deze zaak, waarin de uitspraak waarschijnlijk later dit jaar volgt. Op de website http://digitalconstitution.com/ is meer achtergrondinformatie beschikbaar.

Microsoft heeft de afgelopen jaren ook zelf aan vertrouwen proberen bij te dragen door zo transparant mogelijk te zijn over de hoeveelheden reguliere verzoeken van overheden om onze klantendata. Zo publiceren we al enkele jaren het zogenoemde Law Enforcement Request Report met inzicht in de hoeveelheden politie- en justitieverzoeken om gegevens aan Microsoft overal ter wereld. Afgelopen vrijdag is de laatste versie van dit rapport gepubliceerd, waarbij per land – dus ook Nederland – weer te bekijken is hoeveel verzoeken het betreft.

Juridische toets

Voor consumentendata betrof het in Nederland in de tweede helft van 2014 een totaal van 381 verzoeken, waarvan het overgrote deel (81.4 procent) alleen registratie- en transactiedata was, zoals email- en IP-adressen. De rest van de informatie was niet langer vindbaar, of hebben we geweigerd te overleggen op basis van onze juridische toets van de geldigheid van het verzoek: niet éénmaal is in Nederland dus de inhoud van communicatie verstrekt gedurende deze periode. Het totaal aantal verzoeken aan Microsoft door de Nederlandse overheid voor het hele jaar 2014 is daarmee ten opzichte van 2013 gedaald van 749 naar 734. Wereldwijd daalde het aantal verzoeken ook: van 72.000 naar 65.500. En als voorbeeld van de zeer beperkte schaal waarop dat voor zakelijke cloudklanten gebeurt: over de tweede helft van 2014 heeft Microsoft wereldwijd maar 3 verzoeken gekregen om informatie van zakelijke cloudklanten, en in slechts één geval is informatie daadwerkelijk verstrekt, maar pas op aangeven van de klant.

De hoeveelheid overheidsverzoeken om data van cloudklanten is dus zeer beperkt, maar dat is vaak onbekend bij gebruikers. Het geven van zoveel als mogelijk transparantie daarover is van groot belang voor vertrouwen. Als daar bovenop duidelijkere regels gelden tussen landen over de overdracht van gegevens, kan de economische en sociale potentie van nieuwe technologie en cloud computing pas tot volle wasdom komen.