Europese servers, Amerikaanse regels. De valkuil van datasoevereiniteit

Stel je voor: je ondertekent belangrijke contracten digitaal via een Amerikaanse dienst, in de veronderstelling dat je gegevens veilig in Europa opgeslagen staan. Maar wist je dat de Amerikaanse overheid, ongeacht waar die data zich fysiek bevindt, toch toegang kan eisen? Deze toenemende zorg over datasoevereiniteit zorgt dat steeds meer Nederlandse organisaties overstappen naar Europese alternatieven. In deze blog deelt Wido den Hollander, CTO bij Your.Online, zijn visie op de risico’s van Amerikaanse techdiensten en waarom Europese alternatieven steeds belangrijker worden.

De Cloud Act maakt fysieke datalocatie irrelevant

Veel organisaties denken dat als hun data fysiek in Europa staat, deze onder Europese wetgeving valt. Dit is een veel voorkomend misverstand. “Als je gebruikmaakt van Amerikaanse clouddiensten, speelt de geografische locatie van je data geen rol,” stelt Wido. “Iedereen die zegt ‘ja, maar ik heb mijn data bij Amazon in Frankfurt of bij Microsoft in Amsterdam staan’, geloof me, dat is irrelevant. De Cloud Act zegt simpelweg dat wanneer je gegevens bij een Amerikaans provider zoals Microsoft, Google of Amazon hebt opgeslagen, de Amerikaanse overheid tegen deze bedrijven kan zeggen: ‘en nu wil ik die data hebben’. En die medewerker kan vanuit de VS gewoon inloggen op een server in Frankfurt en de gevraagde data ophalen.”

Wido den Hollander is CTO bij Your.Online, een toonaangevend onlineservicesplatform die partnerschappen aangaat met gepassioneerde tech-ondernemers en zich specialiseert in online presence.

“Alle certificeringen en contractuele beloften zijn niets waard
als de overheid je data kan opvragen. Een Amerikaans bedrijf
kan beloven je gegevens niet te delen, maar de Cloud Act zegt iets anders.”

Het hoofdscout-probleem: badges zijn geen garantie

Wido gebruikt een treffende analogie: “We hebben vroeger allemaal Donald Duck gelezen. Daar had je Hopman Breedborst, de leider van de Jonge Woudlopers. De borst van deze hoofdscout hing vol met medailles en insignes die zijn status, ervaring en talloze prestaties symboliseren. Die vergelijking trek ik vaak met Microsoft en andere grote partijen. Ze zwaaien met allemaal contracten en certificeringen. Maar ook de hoofdscout kan stiekem geheimen doorvertellen. Alle certificeringen en contractuele beloften zijn uiteindelijk niets waard als de overheid je data kan opvragen.”

Voor vertrouwelijke documenten wil je het risico uitsluiten dat dit überhaupt kan gebeuren. “Amerikaanse bedrijven die digitale ondertekeningsoplossingen bieden, kunnen uiteraard beweren dat hun voorwaarden het delen van gegevens verbieden, maar de Cloud Act zegt iets anders. Als de overheid erom vraagt, moeten ze die data toch verstrekken.”

Voor welke bedrijven is dit echt een probleem?

Niet elke organisatie hoeft zich evenveel zorgen te maken over datasoevereiniteit. “Elk bedrijf moet zijn eigen keuzes maken,” zegt Wido. Your.Online maakt zelf ook gebruik van de Microsoft-omgeving. ” We kennen de risico’s, hebben onze afwegingen gemaakt en kijken goed welke data we er opslaan. Dit bekijken we ook met regelmaat. Het gaat erom dat je bewust bent van de feiten en daar rekening mee houdt.”

“Voor overheden of semi-overheidsorganisaties vind ik het een ander verhaal dan voor een commercieel bedrijf. Hier wil je echt geen enkel risico met data lopen. Een land is heel iets anders dan een bedrijf. Dat de data van ons parlement en kabinet daadwerkelijk op de Microsoft-omgeving staat, dat vind ik echt van een andere orde.”

“Met Europese diensten zoals Aangetekend krijg je dezelfde
functionaliteit als bij Amerikaanse aanbieders, maar dan met de extra
zekerheid dat je data volledig onder Europese jurisdictie blijft.
Voor bedrijven die de controle over hun gegevens
serieus nemen, maakt dit een wereld van verschil.”

Digitaal ondertekenen: voordelen van Europese alternatieven

Voor het ondertekenen van belangrijke documenten en contracten is een Europees alternatief zoals Digitaal Ondertekenen van Aangetekend een veiligere keuze. “In praktische zin is er weinig verschil,” legt Wido uit. “Het basisconcept – documenten digitaal ondertekenen – blijft hetzelfde, maar het grote voordeel is dat de data in Nederland staat, gewaarborgd onder Nederlandse en Europese wetgeving.”

Dit biedt een hogere vertrouwelijkheid omdat je bepaalde risico’s zoals de Cloud Act kunt uitsluiten. Bovendien valt een Nederlands bedrijf onder Nederlandse jurisdictie. “Aangetekend is in Nederland gevestigd. Als er toch iets zou gebeuren, kun je het bedrijf voor een Nederlandse rechtbank slepen. Dat is anders dan dat je een grote partij in de VS moet gaan aanklagen, wat als buitenstaander verdraaid moeilijk is.”

De vertrouwensdiensten van Aangetekend – Aangetekend Mailen, Beveiligd Mailen, Digitaal Ondertekenen en Grote Bestanden Mailen – voldoen aan zowel Europese als nationale regelgeving zoals eIDAS en AVG. Als een van de weinige Europese aanbieders heeft Aangetekend zelfs de status van Qualified Trust Service Provider (qTSP) verworven, wat de hoogste graad van betrouwbaarheid en rechtsgeldigheid garandeert.

“Met deze Europese diensten krijg je dezelfde functionaliteit als bij Amerikaanse aanbieders zoals DocuSign, PandaDoc of Adobe Acrobat Sign,” legt Wido uit, “maar dan met de extra zekerheid dat je data volledig onder Europese jurisdictie blijft. Voor bedrijven die de controle over hun gegevens serieus nemen, maakt dit een wereld van verschil.”

“Voor het ondertekenen van belangrijke documenten en contracten
is een Europees alternatief zoals Aangetekend simpelweg een veiligere keuze.
Het basisconcept blijft hetzelfde, maar je data blijft
beschermd onder Europese wetgeving.“

Meer weten?

Wil je meer weten over veilige en rechtsgeldige digitale communicatie? Neem contact op met Aangetekend voor een demonstratie van hun Europese vertrouwensdiensten Aangetekend Mailen, Beveiligd Mailen, Digitaal Ondertekenen en Grote Bestanden Mailen.