De CLOUD Act wordt in het publieke debat vaak gepresenteerd alsof de Amerikaanse overheid met één druk op de knop bij alle zorgdata kan die in Azure staat. Dat beeld verdient nuancering. Je risicoprofiel hangt niet af van het label ’Amerikaanse cloud’, maar van de manier waarop je je IT hebt ingericht.
De CLOUD Act maakt het mogelijk dat de federale rechtshandhaving in de VS technologiebedrijven kan dwingen gevraagde gegevens van gebruikers te verstrekken, ook al zijn die gegevens opgeslagen op buitenlands grondgebied. Belangrijk: dit geldt alleen voor data die de techprovider daadwerkelijk in bezit, bewaring of controle heeft.
Strikte voorwaarden die vaak onbelicht blijven
Een order onder de CLOUD Act moet aan strikte voorwaarden voldoen. Het moet gaan om de opsporing of preventie van ernstige criminaliteit, inclusief terrorisme. De order moet een specifiek persoon, account of apparaat identificeren; een ’fishing expedition’ door een complete database is dus niet toegestaan. Er moet een rechterlijke toetsing aan voorafgaan, en de order moet voldoen aan het binnenlandse recht van het uitvaardigende land.
Bovendien heeft de ontvangende techprovider het recht om de order aan te vechten, met name wanneer er een conflict ontstaat met het recht van het land waar de klant is gevestigd.
Technische toegang is de echte bepalende factor
Minstens zo belangrijk is het technische onderscheid tussen wat een provider wel en niet kan overhandigen. Drie scenario’s laten zien hoe fundamenteel dat kan verschillen.
Bij diensten die de provider direct beheert, zoals Exchange Online of Microsoft Teams, heeft Microsoft technisch toegang tot de inhoud. Een CLOUD Act-order op het e-mailverkeer van een specifieke medewerker is dan technisch gezien uitvoerbaar.
Draai je een eigen applicatie, bijvoorbeeld een EPD, op Azure-infrastructuur, dan ziet Microsoft alleen de onderlaag. De data zit in een applicatiedatabase die door de softwareleverancier en het ziekenhuis wordt beheerd. Wat Microsoft ziet zijn versleutelde blobs, geen patiëntendossiers.
Host je een dienst volledig zelf, bijvoorbeeld een eigen Exchange-server in een Nederlands datacenter, dan is Microsoft puur softwareleverancier. Een CLOUD Act-order levert dan niets op: de wettelijke voorwaarde ’in bezit, bewaring of controle’ wordt niet vervuld.
De praktische les
Jouw CLOUD Act-blootstelling is geen vast gegeven. Je bepaalt die grotendeels zelf door de keuzes die je maakt in de inrichting van je IT-omgeving. Welke diensten neem je af als SaaS, waar de provider bij je data kan? Welke draai je als eigen applicatie op cloudinfrastructuur, waar de provider alleen de onderlaag ziet? En welke host je volledig zelf, waar de provider er helemaal niet bij kan?
Die drie lagen vragen om drie verschillende risicoafwegingen. Het is niet de wet die bepaalt hoe kwetsbaar je bent, maar de combinatie van welke dienst waar draait en wie toegang heeft.
Verder lezen
In ons whitepaper ’Digitale soevereiniteit in het Nederlandse zorglandschap’ werken we deze drie scenario’s verder uit, inclusief concrete voorbeelden van EPD’s, e-mail en zelf-gehoste applicaties. Ook geven we een drielagenmodel waarmee je je eigen dienstenlandschap kunt classificeren.