Servers in de EU, eigen (dubbele) sleutels: helpt het?

Naar aanleiding van veel misverstanden hier een kort stukje over:

  1. Helpt het als Microsoft/Google/Amazon beloven dat mijn gegevens op servers in de EU worden opgeslagen?
  2. Kan ik met “eigen sleutels” / bring your own key / double key encryption / aparte opslag, mijn data in praktische zin beschermen tegen Amerikaanse spionage?
  3. Kan ik me zo beschermen tegen Amerikaanse sancties / dreigementen / Trumpiaanse woedeuitbarstingen?

Het antwoord op alledrie de vragen is helaas “nee”.

Data op servers van Amerikaanse bedrijven

Bij opslag van data op servers of systemen van Amerikaanse bedrijven zijn er drie risico’s, waarbij het niet uitmaakt waar je servers staan:

  1. De meeste Amerikaanse bedrijven hebben een levendige handel in de data van hun klanten. Deze gaat de AI in, of wordt gedeeld met allemaal partners, of wordt gebruikt voor advertentiedoeleinden. Men kan rechtsgeldig beloven dit niet te doen, alleen gaat het toch vaak mis. Ook op de werkplekken van de Rijksoverheid zijn ongevraagd advertenties verschenen, bijvoorbeeld. Ook ging de Microsoft Co-Pilot AI ongevraagd “aan” op sommige van die werkplekken. Maar, hier zijn contractueel op zich nog afspraken over te maken. AWS/Amazon is hier het netste in, overigens, maar het is nog niet helemaal perfect.

  2. De Amerikaanse politie en rechtbanken kunnen je gegevens rechtstreeks opvragen bij de Amerikaanse cloudprovider. Dit met name in verband met strafrechtelijke of civiele zaken. Onder omstandigheden kan dit erg vervelend zijn, bijvoorbeeld voor financiële instellingen. Maar voor een schoenen- of broodjeszaak zal het wel loslopen. Het is mogelijk dat je een notificatie krijgt als een Amerikaanse instantie op deze manier om je data gevraagd heeft.

  3. Je data kan meegaan in de gigantische Amerikaanse afluisterprogramma’s voor hun 65 miljard dollar aan inlichtingendiensten. Dit is met name vervelend als je een overheid bent. Want je interne discussies worden zo externe discussies. Geen gemene dingen zeggen over Trump in de notulen graag. Het is ook vervelend als je meedingt in aanbestedingen. US geheime diensten mogen namelijk wettelijk ook aan bedrijfsspionage doen, en hebben dat bewezen ook vaak genoeg gedaan. Overigens, onder deze spionagewetgeving krijg je dus geen nette notificatie van je cloudprovider, en het staat ook niet in de statistieken.

NSA
Het budget van de Amerikaanse spionagediensten is meer dan 65 miljard dollar. Plaatje (C) National Security Agency

Dat het niet uitmaakt op welke servers je data staat komt door een specifieke wet. Microsoft wilde ooit niet meewerken aan een overheidsverzoek voor data gehost in Ierland, en die rechtszaak liep al een hele tijd. Toen heeft de Amerikaanse overheid via de “Clarifying Lawful Overseas Use of Data Act” (CLOUD Act) verduidelijkt dat hun afluisterwetgeving universeel geldig is. Microsoft gaf het verzet toen op, en overhandigde de data.

Dat de US overheid bij alle data op servers van US bedrijven kan, ongeacht locatie, staat op de volgende drie plekken beschreven:

  1. De Cloud Act Memo opgesteld op verzoek van het Nederlandse NCSC. Hier staat zelfs de aanbeveling dat Europese bedrijven geen Amerikanen in dienst moeten nemen als ze buiten de rijkwijdte van de US CLOUD ACT willen blijven.

  2. Deze set WOO-documenten van het Shared Service Centre-ICT van de overheid. Op pagina 6, “niet uit te sluiten valt dat inzage gevraagd wordt door de Amerikaanse overheid, zoals ook bevestigd door SLM-Rijk in de CTO-raad”.

  3. Promises unkept: The EU-US Data Privacy Framework under fire analyse US afluisterwetgeving, “particularly under Section 702 of the Foreign Intelligence Surveillance Act (FISA) and Executive Order 12333 … The crux of the issue lies in the fact that these laws allow broad data collection by US intelligence agencies, leaving EU data vulnerable to indiscriminate surveillance.”

Over dat laatste, er bestaan zogeheten “standard contractual clauses”, maar die voorkomen niet dat je afgeluisterd wordt. Ze maken het wel een soort legaal, maar daar heb je op zich niets aan.

Overigens geldt de Nederlandse AIVD/MIVD afluisterwetgeving ook internationaal. Als de US overheid z’n email zou stallen op servers in Amerika, maar van een Nederlands bedrijf, dan zou de AIVD die gegevens ook op kunnen vragen. Ook voor onze wet maakt het niet uit waar je server staat. Daarom zet de Amerikaanse overheid zijn email ook niet op servers onder buitenlands beheer. Alleen wij zijn zo onverstandig.

Het is een niet onderbouwde gedachte dat “de servers staan in de EU” iets uitmaakt voor de Amerikaanse wet. Iedereen die dit meldt moet dat vooral nog eens op schrift herhalen. Ik heb paar weken geleden rondgevraagd of iemand deze toezegging ooit op schrift had gekregen van Microsoft, maar niemand bleek hier iets van te kunnen vinden. Vraag er vooral om!

Er is overigens nog een extra ironisch iets. Amerikanen hebben zelf al niet al te veel privacy onder hun eigen recht, maar nog wel een beetje. Als er in bulk is afgeluisterd moeten de US inlichtingendiensten een beetje hun best doen om het verkeer van Amerikanen te “masken”. Dit soort regels gelden niet voor verkeer van Europeanen. Fascinerend is dat we door onze data op aparte EU servers te zetten, we ze juridisch gezien onder Amerikaans recht veel makkelijker afluisterbaar maken - zitten geen Amerikanen op!

Eigen sleutels, bring your own key, double key encryption, speciale oplossingen

Het zou zo mooi en makkelijk zijn als je een manier kon vinden om je data “gewoon in de cloud” te zetten zonder privacygezeur. Regelmatig wordt daarom beweerd dat je met “eigen sleutels” dit nirvana zou kunnen bereiken.

Het enige wat echt bestaat wat dit in theorie kan doen is Microsoft Purview Double Key Encryption (DKE). Dit vergt de allerduurste “E5” licentie van Microsoft 365 (M365). Het is alleen wel heel lastig in gebruik: “DKE isn’t for every organization, nor for all of your data. As mentioned, Double Key Encryption is intended for your [5%] most sensitive data that is subject to the strictest protection requirements. You should do due diligence in identifying the right data to cover with this solution before you deploy. In some cases, you might need to narrow your scope and use other solutions”.

Deze kritische woorden over DKE komen niet van mij of van een criticaster, het is wat Microsoft zelf zegt.

DKE is lastig in gebruik en legt veel beperkingen op. Je documenten worden ontoegankelijk op een hoop apparaten, en zijn ook niet meer doorzoekbaar, wat vervelend uit kan pakken (als je een bonnetje niet meer kan vinden bijvoorbeeld). Ook is de installatie en het beheer van Double Key Encryption enorm lastig en vergt het speciale apparatuur en dat is nou net niet waarom we naar de cloud wilden gaan.

Onder beperkte omstandigheden is het wel mogelijk je data 100% te coderen in de Microsoft-cloud. Dit kan met sommige databases. De Nederlandse overheidscoöperatie Wigo4it doet dit bijvoorbeeld. Maar zodra je die data (intern) probeert te versturen per email, of omzet naar een Excel-sheet, is het over met de pret en/of wordt alles ingewikkeld.

Verder is het zo dat ‘aparte systemen voor vertrouwelijke communicatie’ in de praktijk erg weinig gebruikt worden. Om te beginnen weet men vaak slecht welke documenten precies gevoelig zijn. Vervolgens kom je daar ook nog veel te laat achter, en dan is “de geest al uit de fles”.

Er is een grote geschiedenis van bijzondere software/hardware voor vertrouwelijke communicatie die dan nooit gebruikt wordt. Want onbekend maakt onbemind en het werkt ook lastiger. Je ziet bijvoorbeeld nooit iemand van de overheid bellen met z’n Sectra speciaal beveiligde telefoon. Wel zet men graag z’n eigen iPad in, want is makkelijker.

Als iemand beweert dat het “met eigen sleutels” mogelijk is om gewoon naar de cloud te gaan en dat de Amerikaanse overheid dan niet bij je data kan, vraag een demonstratie van hoe goed dat werkt. Zoek ook een referentieklant die erover kan vertellen. In de praktijk is het dus zo dat zelfs Microsoft nog zegt dat het veel gedoe is en je het alleen moet doen voor je 5% vertrouwelijkste data.

Wat als er ruzie is?

‘“Maijoor (DNB) haalde tijdens de perstoelichting de val van Amsterdam Trade Bank aan. Die kleine bank, met Russische aandeelhouders, werd in 2022 failliet verklaard. Niet omdat de bank geen geld meer had, maar als gevolg van Amerikaanse sancties die ervoor zorgden dat Microsoft en Amazon geen clouddiensten meer mochten leveren aan de bank. „Hierdoor kon de bank geen diensten meer verlenen aan klanten, geen e-mails meer versturen en geen transacties meer doen.”’ - NRC, DNB: banken moeten zich voorbereiden op ‘gure geopolitieke tijden’, 11 november 2024

En niet alleen dat, Microsoft werkte ook niet mee aan het afronden van het faillissement van de Amsterdam Trade Bank omdat de Amerikaanse overheid sancties had uitgevaardigd tegen de bank.

Hieruit blijkt dat als men in Amerika ruzie met je heeft dit grote gevolgen heeft in Nederland. Zelfs onze rechtbanken blijken dan lang machteloos. En denk ook aan het dreigement van de aanstaande (vice) president JD Vance: De EU moet aardig zijn tegen X/Twitter, want anders stappen we uit de NAVO.

Het is goed om te weten dat het ook hiervoor niet uitmaakt of de servers in de EU staan. En ook helpt extra versleuteling je hier juist niet bij, want dat maakt alles fragieler.

Samenvattend, en wat nu?

De locatie van de server maakt echt niks uit. En mogelijk zijn “aparte EU servers” onder Amerikaans recht zelfs eenvoudiger af te luisteren (!).

Allerhande manieren van eigen sleutels en dubbele encryptie zijn lastig in gebruik, en zullen ook niet zoveel gebruikt worden. Zelfs Microsoft zegt dat het voor je 5% spannendste data is, maar je weet vaak pas achteraf welk mailtje dat was. En dan is het te laat.

Afsluitend, de locatie van je server, or je gebruik van extra sleutels, beschermt je niets tegen ruzie met Microsoft of specifieker, ruzie met de Amerikaanse overheid. Daar zul je blijvend rekening mee moeten houden.

Als je ondanks het bovenstaande je communicatie en bestanden via een US cloud wilt doen, dan kan dat best. Maar schrijf dan expliciet op “we denken dat de Amerikanen ons niet interessant genoeg vinden om af te luisteren, of als ze het wel doen vinden we het niet erg”. Dat is het eerlijke verhaal.