Ernst Lopes Cardozo
	Ernst Lopes Cardozo is principal consultant bij Aranea Consult en helpt organisaties bij het ontwerpen en implementeren van ICT infrastructuren. De beveiliging van netwerken speelt een steeds grotere rol in zijn adviespraktijk. Ernst publiceert regelmatig over zowel de technische als organisatorische aspecten van ICT, onder meer als vaste columnist voor Infosecurity.nl en Storage Magazine.

We gaan – heel zorgvuldig – de cloud in. We kiezen voor een Nederlandse provider die zijn servers in Nederlandse datacenters heeft staan. Het personeel is gescreend, er is een strak beveiligingsbeleid, aan alles is gedacht. Dat moet ook wel, want onze internationale onderwijsinstelling heeft studenten van vele nationaliteiten. Privacy is voor hen soms een kwestie van leven of dood. Gelukkig beschermen de ‘Data Protection Directive 95/46/EU’ en de daarop gebaseerde nationale wetten hen tegen ongewilde uitwisseling van gegevens met landen buiten de Europese Economische Zone (de Europese Unie plus een aantal landen in de regio).

Zoals gezegd: onze zorgvuldig geselecteerde cloudprovider heeft alles onder controle. Alles, behalve haar aandeelhouders. Op een goede dag krijgen die een aanbod dat te goed is om te weigeren: een buitenlandse partij wil onze cloudprovider overnemen en is bereid een forse premie op de laatste beurskoers te betalen. Doen! De stukken worden massaal aangeboden en luttele maanden later is het zover. Niet alleen de (voormalige) aandeelhouders zijn blij, ook de medewerkers en klanten zien een glorierijke toekomst. Er is genoeg geld om te investeren en de Amerikaanse moeder introduceert goede ideeën en technieken. En dan wordt duidelijk dat onze zorgvuldig geselecteerde cloudprovider onderdeel is van een Amerikaanse multinational. Oké, de VS is geen schurkenstraat – no problem.

Dan komt er een e-mail uit het hoofdkantoor in de VS, gericht aan de directie van onze hostingprovider. Daarin wordt opdracht gegeven om de gegevens van één van zijn klanten – ónze gegevens dus – ter inzage te geven. Een ongebruikelijk verzoek, maar de rest van de e-mail is ronduit schokkend. Als onderdeel van een Amerikaans bedrijf zijn directie en medewerkers van onze cloudprovider wettelijk verplicht om mee te werken aan dit ‘onderzoek naar activiteiten die mogelijk de belangen van de VS zouden kunnen schaden’. En, volgens dezelfde Amerikaanse wet, is het ten strengste verboden om de persoon of de organisatie waarvan gegevens worden opgevraagd, daar toestemming voor te vragen, of zelfs maar over in te lichten. Een ‘gaging order’ heet dat heel plastisch.

Hè? Een Amerikaanse wet die hier in Nederland onze landgenoten verplicht om gegevens van derden te kopiëren en hen verbiedt het slachtoffer toestemming te vragen of zelfs maar iets te vertellen – kan dat zomaar? Yes, we can.

De ‘Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001’, door liefhebbers aangeduid als de ‘USA Patriot Act’, stamt uit 2001 en werd onder president George W. Bush aangenomen naar aanleiding van de terreuraanslagen van 11 september van dat jaar. De wet zou voor vijf jaar gelden. In 2006 werden grote delen voor nog eens vijf jaar verlengd en in mei 2011 werd een aantal onderdelen van de wet met vier jaar verlengd. Eén van die onderdelen is het stiekem verzamelen van informatie uit documenten in allerlei vormen.

Toen eerder dit jaar aan Gordon Frazer, de baas van Microsoft UK, werd gevraagd of hij kon verklaren dat de gegevens uit zijn datacenter onder geen beding aan de VS zouden worden uitgeleverd, gaf hij een eerlijk en helder antwoord: “Nee, die garantie kunnen wij niet geven”.
 

Ernst Lopes Cardozo
e.lopescardozo@aranea.nl