De grote gevaren voor de privacy van het in de cloud werken

In dit artikel:

Sinds de vroege jaren 2000 verhuizen bedrijven en overheden massaal gegevens naar clouddiensten: online beschikbare rekenkracht, software en opslag op externe servers. Die ontwikkeling begon met de opkomst van SaaS rond 2000 en kreeg verdere vaart toen Amazon (webdiensten vanaf 2005), Google, Microsoft en onderzoeksinstellingen in de jaren daarna grootschalig in cloudinfrastructuur en onderwijs investeerden. Het resultaat: een wereldmarkt die grotendeels in handen is van drie Amerikaanse spelers — Amazon (ongeveer 30% van de capaciteit), Microsoft (circa 20%) en Google (ongeveer 13%) — gezamenlijk goed voor ongeveer 63% van de mondiale cloudcapaciteit.

Die concentratie heeft geopolitieke en privacy-gevolgen. Amerikaanse cloudaanbieders vallen onder de CLOUD Act (een Amerikaanse wet uit de Trump-periode), die hen verplicht gegevens te bewaren en aan de Amerikaanse overheid te overhandigen op verzoek. Daardoor kunnen data die weliswaar in Europa en onder de AVG verwerkt en opgeslagen worden, toch onder Amerikaanse toegangsvragen vallen. Het Nederlandse ministerie van Justitie en Veiligheid waarschuwt dat ook data van Europese bedrijven en opslaglocaties zo blootgesteld kunnen worden aan Amerikaanse wetgeving.

Praktische consequenties zijn concreet: volgens berichtgeving zijn 1.722 Nederlandse (semi)overheidswebsites afhankelijk van minstens één Amerikaanse cloudprovider. Negen van de vijftien ministeries gebruiken Microsoft-clouddiensten; ook provincies, onderdelen van landelijke overheidsorganisaties, de Autoriteit Financiële Markten, het Veiligheidsberaad en de Tweede Kamer vertrouwen op Amerikaanse infrastructuur. Hierdoor ontstaat het risico dat Amerikaanse inlichtingen- en opsporingsdiensten gevoelige informatie — tot staatsgeheimen aan toe — kunnen inzien. ICT-specialist Bert Hubert vatte de zorg scherp samen: “Ze kunnen bovendien terugzoeken: doe mij maar mailtjes van de Tweede Kamer van twintig jaar geleden.”

Tegelijkertijd worstelt Europa met zijn eigen reactie. De EU kwam relatief laat met een industriële strategie (rond 2017) en werkt nu aan een pakket hervormingen dat regels als de AVG, de AI Act, de ePrivacy-richtlijn en de Data Act moet stroomlijnen. Critici vrezen dat die plannen grote uitzonderingen creëren voor technologiebedrijven en hen ruimte geven om persoonsgegevens — ook bijzondere categorieën zoals politieke overtuiging of gezondheid — te gebruiken voor AI-training op basis van een ‘gerechtvaardigd belang’. Privacyorganisaties waarschuwen dat zo de bescherming van burgers wordt uitgehold en dat Europa meer ruimte biedt aan grote techspelers.

Kortom: technologische voorsprong en schaalwinst van Amerikaanse cloudreuzen, gecombineerd met Amerikaanse wetgeving en EU-beleidskeuzes, hebben geleid tot een situatie waarin veel Nederlandse en Europese data kwetsbaar zijn voor buitenlands inzien en waarin bestaande privacybescherming onder druk staat. De kwestie raakt niet alleen technische keuzes maar ook soevereiniteit, wetgeving en de vraag wie werkelijk de controle heeft over gevoelige informatie van burgers en de staat.