De hosting van tientallen gemeentewebsites en de website van DigiD is in handen van partijen die nauw verwant zijn aan Amerikaanse bedrijven, zo blijkt uit onderzoek van Binnenlands Bestuur. Deskundigen zijn er niet gerust op en waarschuwen voor het gevaar van buitenlandse inmenging.
Zorgen
Hostingbedrijven zijn verantwoordelijk voor de opslag van de data van websites, zo ook de opslag voor gemeentelijke websites, die via contactformulieren en afspraakmodules veel persoonlijke gegevens verwerken. Uit de inventarisatie van Binnenlands Bestuur bij 393 gemeenten blijkt dat de data van alle gemeentelijke websites in Nederlandse datacentrums staat opgeslagen. Het baart deskundigen zorgen dat veel van deze hostingbedrijven vaak sterke banden met Amerika hebben. Dat laatste geldt niet alleen voor de hosting van tientallen gemeentelijke websites, maar ook voor die van authenticatiemiddel DigiD, dat landelijk gebruikt wordt.
Tientallen Amerikaanse hosts
Uit de inventarisatie blijkt dat vijftien gemeentelijke websites worden gehost door bedrijven die in handen zijn van Amerikaanse moederbedrijven, zoals Verizon, Equinix en Liberty Global. Daarnaast wordt de data van 38 gemeentewebsites gehost door bedrijven met een Europees hoofdkantoor zoals Interoute (16 websites) en Leaseweb (22 websites). Zij zijn echter ook op grote schaal actief in de Verenigde Staten. Opvallend is dat het landelijk gebruikte DigiD, waarin vrijwel alle persoonlijke gegevens zijn terug te vinden van iedere Nederlandse burger, gehost wordt door Virtu, dat sinds enkele jaren in handen is van het Amerikaanse Equinix.
Druk uitoefenen
Met de Amerikaanse ‘Freedom Act’, die de verguisde ‘Patriot Act’ onlangs heeft vervangen, kan de Amerikaanse overheid bedrijven dwingen om informatie te leveren om zo de veiligheid van de Amerikaanse burger te waarborgen, zo vertelt advocaat Menno Weij van SOLV. Wanneer een vestiging van een Amerikaans bedrijf in Nederland opereert, is deze niet verplicht om informatie af te geven aan de overheid. Het kan echter wel zo zijn dat er door het Amerikaans moederbedrijf zelf toch druk wordt uitgeoefend op de Europese dochter, om dit alsnog te doen. ‘Het is de vraag hoe dit bij die bedrijven intern geregeld is. Een Nederlandse dochter is niet gebonden aan de Amerikaanse wet, maar daarmee zijn niet alle bezwaren verdwenen. Bij dochters van Amerikaanse bedrijven moet je je altijd afvragen, waar hangt deze dochter in de bedrijfsstructuur? Hoeveel zeggenschap heeft dit bedrijfsonderdeel over zijn eigen gegevens?’
Bewustzijn gemeenten
Erik Huizer, hoogleraar Internet Toepassingen bij Universiteit Utrecht, denkt eveneens dat gemeenten zich, ‘Ondanks de waarschuwingen in de Baseline Informatiebeveiliging Nederlandse Gemeenten’, onvoldoende bewust zijn van de risico's van inmenging van een buitenlandse overheid. ‘Dat DigiD en gemeentewebsites gehost worden door Amerikaanse bedrijven vind ik niet slim. Indirect geef je de NSA daarmee directe toegang tot burgergegevens en je mag hopen dat de betrokken partijen zich van de risico's bewust zijn’, aldus Huizer. ‘Op dit moment strijdt het Amerikaanse bedrijf Microsoft met de Amerikaanse overheid, die data die op Ierse servers staat opgeslagen wil opvragen.’ Microsoft heeft van de Amerikaanse rechtbank eind augustus 2015 zelfs een berisping gehad. Zodoende kan een Amerikaans hostingbedrijf in beginsel geen kwaad in de zin hebben met privégegevens, maar door de overheid toch onder druk worden gezet om ze af te geven. De beste oplossing is volgens Huizer ‘Een soort Shared Service Center voor de overheid en gemeenten. Dat lijkt me de enige garantie dat het niet kan worden overgenomen door buitenlandse bedrijven en dat het dus alleen onder Nederlandse wetgeving valt.’
Nederlandse wetgeving telt
Volgens Equinix is er voor hun klanten geen sprake van enige dreiging door de De Freedom Act of andere vergelijkbare wetgeving. ‘De Freedom Act is niet van toepassing op de zakelijke activiteiten die momenteel gaande zijn in Nederland, zo verklaart een woordvoerder van het bedrijf aan Binnenlands Bestuur. ‘Amerikaanse wetshandhavingsinstanties kunnen de openbaarmaking van gegevens niet dwingen. Dat is op grond van het feit dat het datacentrum van Equinix in Nederland staat.’ De bedrijfsstructuur van Equinix is daarnaast ingericht ‘via lokaal geregistreerde entiteiten’, dat betekent dat alleen lokale medewerkers en lokaal management toegang hebben tot de Nederlandse Equinix-diensten.’
Zaak Microsoft
De praktijk toont dat bedrijven niet alles voor het zeggen hebben. De Amerikaanse overheid blijft veelvuldig data van Europese datacentrums opvragen. Microsoft kreeg onlangs een bevel van de Amerikaanse overheid om in Ierland opgeslagen data te overhandigen, maar verleende geen medewerking, waarna er een zaak tussen de techreus en de overheid volgde die Microsoft verloor. Bedrijven als AT&T, Apple en Verizon hebben daarbij openlijk steun geuit voor Microsoft maar ze lijken niet opgewassen tegen de lange arm der wet. Microsoft verklaarde dat het Amerikaanse bevel geen ‘extraterritoriale’ kracht had, maar de Amerikanen maken handig gebruik van langlopende rechtshulpverdragen. Met Nederland hebben de Verenigde Staten zo’n verdrag in 2004 getekend. Beide landen moeten zich daardoor naar elkaar welwillend opstellen wanneer er sprake is van wetshandhavingsdoeleinden.