Wat kan je zelf doen tegen de Patriot Act om je gegevens te beschermen?

0
366

Door de Patriot Act kan de Amerikaanse overheid toegang vorder tot data op cloudservers Amerikaanse bedrijven. De Nederlandse overheid heeft daar geen invloed op. Inmiddels neemt ook de bezorgdheid over de reikwijdte van de Patriot Act toe in de zorg omdat Amerikaanse rechtshandhavers data van derde partijen via Amerikaanse bedrijven kunnen onderscheppen. Maar hoe kunnen zorgverleners en zorginstellingen hun clouddienst als ‘een veilige haven, buiten het bereik van de Amerikaanse Patriot Act’ houden? Afgelopen vrijdag kon de woordvoerder van CSC kon commentaar geven op de vraag of de data op de servers van zijn bedrijf, zelfs die buiten de VS,  veilig zijn voor de Amerikaanse overheid. Maar een publieke verklaring zich niet te conformeren aan de Patriot Act blijft vooralsnog uit.

VZVZ liet in een persbericht weten niet ongerust te zijn omdat de Patriot Act, in de 10 jaar dat de wet bestaat, nog nauwelijks gebruikt. En CSC heeft verklaard dat ze, in het zeer onwaarschijnlijke geval dat CSC van de Amerikaanse overheid een vraag krijgt in het LSP te kijken, alle wettelijke middelen zal inzetten om dit tegen te gaan, inclusief een gang naar de rechter.

Maar ondanks de “geruststellingen” van VZVZ is er wel degelijk reden tot ongerustheid. Joris van Hoboken, onderzoeker aan het Instituut voor Informatierecht aan de UvA, noemt die geruststelling van VZVZ geen garantie. “Naar de Nederlandse rechter stappen kan nou juist niet. Dat is het kenmerk van de Patriot Act. Lokale wetgeving wordt door de Amerikanen niet serieus genomen. De Patriot Act geeft ze vergaande bevoegdheden.”

En sinds de totstandkoming van de Patriot Act is de wetgeving op verschillende manieren misbruikt heeft de wet steeds meer bevoegdheden gekregen waardoor privacy geschaadt mag worden. De Amerikaanse overheid heeft enkele recherchebevoegdheden uitgebreid die al bestonden binnen de Amerikaanse rechtshandhaving. Om toegang te krijgen tot data in de cloud wordt gebruikgemaakt van de Foreign Intelligence Surveillance Act (FISA) Orders en National Security Letters. Langs beide wegen kan de cloudaanbieder worden verboden zijn klanten in te lichten over het dataverzoek van de overheid, zo weet Webwereld te vertellen. In een artikel geeft IBTimes een uitgebreide analyse van deze wetgeving.

Dus alleen als een Europese organisatie niets doet in de VS en de Europese cloudaanbieder evenmin, dan kan data buiten het bereik van de Patriot Act vallen. De beste beveiliging is gewoon om gevoelige informatie niet in een cloud te zetten.