Zwitserse autoriteiten waarschuwen voor groeiende afhankelijkheid van Amerikaanse hyperscalers. Volgens toezichthouder Privatim leidt gebruik van internationale saas-oplossingen tot verlies van controle, juridische onzekerheid en risico’s voor gevoelige data.
In Zwitserland maakt men zich nu ook zorgen over die toenemende lokale overheidsafhankelijkheid van Amerikaanse hyperscalers. Hoewel lokale overheden en gemeenten ‘de verwerking aan derden mogen uitbesteden, moeten zij ervoor zorgen dat de bescherming van persoonsgegevens en de informatiebeveiliging gewaarborgd blijven,’ benadrukt de Privatim in een oproep aan de overheid. Deze Zwitserse overheidsorganisatie, die toezicht houdt op gegevensbescherming, stelt dat internationale saas-oplossingen voor gevoelige of geheimhoudingsplichtige data in de meeste gevallen onaanvaardbaar zijn.
Belangrijke redenen zijn het ontbreken van end-to-end-versleuteling en het gebrek aan transparantie bij mondiale aanbieders. Dit leidt tot een ‘aanzienlijk verlies van controle’, aldus de organisatie, waarbij publieke organen de kans op schending van grondrechten niet kunnen beïnvloeden. Contractvoorwaarden kunnen bovendien eenzijdig worden aangepast en juridische onzekerheid blijft bestaan over de uitbesteding van geheimhoudingsplichtige gegevens.
Een belangrijk technisch probleem is dat de meeste saas-oplossingen geen echte end-to-end-versleuteling bieden, stipt de organisatie aan. Daardoor kan de aanbieder toegang houden tot de data in leesbare vorm. Daarnaast bemoeilijken lange ketens van externe onderaannemers de controle op beveiligingsmaatregelen en release-management. Het gebrek aan transparantie maakt het voor Zwitserse autoriteiten onmogelijk om naleving van contractuele verplichtingen rond privacy en beveiliging te verifiëren.
Cloud Act: Washington kijkt al mee
Daarbij komt de Amerikaanse Cloud Act uit 2018, die kan aanbieders verplichten gegevens aan Amerikaanse autoriteiten te overhandigen, zelfs wanneer die in Zwitserse datacenters zijn opgeslagen. Daarmee lopen kantons en gemeenten het risico dat gevoelige informatie buiten hun controle raakt. In de praktijk betekent dit bijvoorbeeld dat Amerikaanse ambtenaren al sinds 2018 toegang hebben tot Zwitserse belastinggegevens. Volgens Privatim is gebruik van dergelijke diensten alleen toegestaan ‘wanneer de gegevens door het verantwoordelijke orgaan zelf worden versleuteld en de cloudaanbieder geen toegang heeft tot de sleutel.’
Toch zitten meerdere kantons in bijvoorbeeld de Microsoft-cloud. Voor niet-gevoelige gegevens zoals namen en adressen vormt dit geen probleem, stelt Privatim, maar bij gevoelige data ontbreekt de garantie dat buitenlandse aanbieders bescherming bieden: burgers weten vaak niet dat hun gegevens toegankelijk zijn voor derden, waardoor zij zich niet kunnen verdedigen.
Saillant detail dat juist de Zwitserse cloud-aanbieder Proton bekend staat om diens streng versleutelde cloud- en e-mailservice en daarom dreigt het land te moeten verlaten. Ook Zwitserland is een eigen ‘cloud act’ aan het opstellen, maar door de versleuteling zou Proton nooit kunnen voldoen aan de verplichting daarin tot datadeling. Ondanks de kant-en-klare-oplossing in eigen land, blijven de grote kantons – zoals Aargau, Basel, Bern, Zürich en binnenkort mogelijk Luzern – toch liever in de Amerikaanse cloud werken: zelfs in Zwitserland is het gras groener aan overkant!
