Het risico van Amerikaanse cloud providers: wie heeft de sleutel tot jouw data?

Stel je voor: je bewaart al je waardevolle spullen in een stevige kluis bij een cloud provider. Je hebt zelf de sleutel, dus alles lijkt veilig. Maar wat als iemand anders – zonder dat je het weet – een reservesleutel heeft? De recente overnames in de beveiligde communicatiemarkt roepen precies deze vraag op. Naast een blog van het Nederlands Cyber Security Center (NSCS) wordt er regelmatig geschreven over de zorgen van de datasoevereiniteit door recente overnames door Amerikaanse partijen. In deze blog vertelt Philip Voogt, medeoprichter van Aangetekend, waarom het steeds urgenter wordt om te weten waar je data staat én wie er nog meer bij kan.

Complexe soevereiniteitspuzzel

Je hoort het vaak: ‘Maak je geen zorgen, jouw data staan veilig op onze Europese servers.’ Het klinkt geruststellend en technisch gezien klopt het ongetwijfeld. Maar de locatie van je data is slechts één puzzelstukje van de soevereiniteitspuzzel.

Denk nog eens aan die kluis met je waardevolle documenten. Die kluis staat veilig op Nederlandse bodem. Maar als iemand anders – een partij buiten je directe invloed, waar ook ter wereld – een reservesleutel heeft, wat stelt jouw beveiliging dan nog voor?

Dit is precies wat er gebeurt wanneer een beveiligde communicatiedienst via Amerikaanse cloud providers onder Amerikaanse wetten valt. Ook al staan alle servers netjes in Europa.

Doe een veiligheidscheck

De CLOUD Act: Het achterdeurtje naar je data

De Amerikaanse CLOUD Act geeft Amerikaanse autoriteiten het recht om toegang te vragen tot data die onder beheer staan van Amerikaanse bedrijven – óók als die data fysiek op Europese servers staat. Zodra een Europese dienstverlener in handen komt van een Amerikaans moederbedrijf, verandert de juridische controle over je data dus direct.

Versleuteling lijkt misschien een geruststelling, maar biedt geen volledige bescherming. Als een buitenlandse overheid besluit een server te blokkeren waarop jouw versleutelde gegevens staan, kun je er als organisatie niet meer bij. In sommige gevallen wordt zelfs druk uitgeoefend op leveranciers om de encryptiesleutels af te staan – waardoor de technische beveiliging alsnog ondermijnd wordt.

De dreiging van dataverlies of toegangsbeperking is dus niet hypothetisch. Er zijn meerdere voorbeelden van Amerikaanse cloud providers – met servers in Europa – die op basis van buitenlandse wetgeving verplicht werden klantdata over te dragen of gebruikers toegang te ontzeggen. In zulke gevallen sta je als Europese organisatie vaak machteloos.

Techniek alleen beschermt je niet volledig

‘Maar we hebben toch end-to-end-encryptie en een zero-access-architectuur?’ Ik hóór het je denken. Ja, deze technische maatregelen zijn zeker waardevol. Ze vormen de basis van goede databeveiliging. Maar techniek alleen lost het probleem niet op.

Een bedrijf (bijvoorbeeld een Amerikaanse cloud provider) dat onder Amerikaanse wetten valt, kan onder druk worden gezet om diensten te beperken of aanpassingen te maken, hoe goed de technische beloftes ook zijn. Zoals we eerder al schreven: het risico zit ‘m niet in de locatie van de data, maar in wie de zeggenschap heeft over de toegang.

Vraag jezelf eens af: wat gebeurt er als een Amerikaans bedrijf moet kiezen tussen het volgen van de Amerikaanse wetten of het beschermen van jouw Europese data?

Veel organisaties in Nederland kozen bewust voor een Nederlandse leverancier om hun data veilig te houden. Bij een overname lijkt de technische inrichting hetzelfde te blijven; de juridische situatie verandert echter compleet.

“Vraag jezelf eens af: wat gebeurt er als een Amerikaanse cloud provider
moet kiezen tussen het volgen van de Amerikaanse wetten
of het beschermen van jouw Europese data?“

Volledige controle met een Nederlandse vertrouwensdienst

Voor bedrijven die zeker willen weten dat ze controle houden over hun data, bestaat er maar één oplossing: kies voor een dienstverlener die volledig onder Nederlandse en Europese wetten valt.

Bij Aangetekend nemen we dit heel serieus. Als één van de negen Nederlandse Qualified Trust Service Providers (qTSP) onder de Europese eIDAS-verordening, zorgen we niet alleen voor technische veiligheid, maar ook voor wettelijke bescherming:

Aangetekend valt onder de Digitale Vitale Infrastructuur van Nederland.
Alle servers staan op Nederlands grondgebied in een datacenter dat eigendom is van een Nederlands bedrijf (BIT in Ede)
Elke klant krijgt een volledig gescheiden omgeving
We voldoen aan de strengste Nederlandse en Europese certificeringen

Dit betekent simpelweg dat wij geen virtuele reservesleutels uitgeven. Niemand anders kan bij jouw data en niemand kan onze dienstverlening beïnvloeden op basis van buitenlandse wetten.

Maak van datacontrole een bewuste keuze

Waar je gegevens staan, is geen technisch detail, maar een strategische beslissing. Nu er steeds meer overnames plaatsvinden in de markt voor beveiligde communicatie, wordt bewustwording hierover steeds belangrijker. Stel jezelf deze vragen:

Hoe ziet de organisatiestructuur van je communicatieprovider eruit?
Bij welk datacenter is je data ondergebracht en onder welke jurisdictie valt dit?
Onder welke wetten valt je communicatieprovider?
Kan een buitenlandse overheid toegang krijgen tot je data?
Wie heeft de “reservesleutel” van jouw datakluis?

Door te kiezen voor een Nederlandse vertrouwensdienst als Aangetekend, houd je de controle volledig in eigen hand – zonder compromissen.

Meer weten?

Wil je meer weten over hoe Aangetekend echte datacontrole garandeert? Neem contact met ons op voor een demonstratie van onze Europese vertrouwensdiensten Aangetekend Mailen, Beveiligd Mailen, Digitaal Ondertekenen en Grote Bestanden Mailen.

Brochure Beveiligd Mailen

Plan een demo

Digitaal. Beveiligd. Rechtsgeldig. Net zo makkelijk als het versturen van een e-mail.