Cloud computing - Gebruik - Beveiliging - Privacy
informatiebeveiliging
computernetwerk
informatiedienstverlening
gegevensbescherming
eerbiediging van het privé-leven
Verenigde Staten
geheime dienst
13/1/2014 | Verzending vraag |
27/2/2014 | Antwoord |
Steeds meer consumenten en bedrijven maken gebruik van de "cloud" voor het plaatsen van gegevens op externe servers. Het lijkt handig om over een back-up te beschikken, waar gebruikers overal ter wereld bij kunnen. Maar de eigenaar is niet de enige die er gemakkelijk bij kan. Uit onderzoek van het Instituut voor Informatierecht (IViR) uit Nederland blijkt in ieder geval dat de Amerikaanse opsporingsdiensten zeer gemakkelijk toegang hebben tot die gegevens. De Patriot Act biedt zeer verstrekkende mogelijkheden voor Amerikaanse opsporingsdiensten om te speuren in de cloud, met name naar gegevens van niet-Amerikanen. Volgens de onderzoekers geeft de wet niet-Amerikanen veel minder rechten dan Amerikanen. Zelfs indien men opereert vanuit Belgisch of Europees grondgebied, is men niet per definitie beschermd door Belgische of Europese privacywetten of andere regelgeving. Zelfs wanneer er alleen maar op enige manier een zakelijke verbondenheid met de Verenigde Staten (VS) bestaat, is er volgens de Patriot Act een verplichting om informatie te verstrekken.
Recente onthullingen hebben dat dubbel en dik bevestigd.
Ik heb deze vraag aanvankelijk gesteld aan de minister van Justitie (5-7199) en de minister van Economie (5-7188), maar zij verwezen voor enkele vragen door naar de staatssecretaris.
Hierover de volgende vragen:
1) Is het waar dat bij het opvragen van gegevens door de Amerikaanse veiligheidsdiensten buitenlandse onderdanen over minder rechten beschikken dan de Amerikaanse en dat Belgische en Europese privacywetten in dat geval van generlei waarde zijn? Deelt de geachte staatssecretaris de opvatting dat het gebrek aan aandacht in de VS voor de belangen van vertrouwelijkheid van gegevens van niet-Amerikanen zeer problematisch is?
2) Op welke wijze wordt de Belgische cloudgebruiker beschermd en acht staatssecretaris die bescherming afdoende? Beoordeelt de staatssecretaris de praktijken van de Verenigde Staten als strijdig met de Belgische wet? Zo ja, zal hij iets ondernemen om een einde te maken aan die situatie?
3) Maakt de Belgische overheid gebruik van de cloud om gegevens op te slaan? Zo ja, acht de staatssecretaris die informatie voldoende beschermd en houdt men daarbij genoeg rekening met de risico's die daaraan verbonden zijn?
4) Heeft de staatssecretaris een zicht op de mate waarin gegevens van Belgische burgers, overheden en bedrijven reeds in het bezit zijn van de VS? Wordt ons land geïnformeerd door de Amerikaanse autoriteiten wanneer zij gegevens over Belgische onderdanen, bedrijven en overheden opvragen bij cloudservers? Of beaamt de staatssecretaris dat hierover zeer weinig transparantie bestaat?
5) Volgens het Comité I België beschikt ons land niet over een globaal beleid betreffende informatieveiligheid. In tegenstelling tot zijn buurlanden, is er in België geen orgaan belast met de bescherming van informatiesystemen. De bevoegdheid wordt verdeeld over verschillende federale overheidsdiensten die hun inspanningen niet coördineren. Is de geachte staatssecretaris van mening dat de Belgische overheid over genoeg kennis beschikt en voldoende up-to-date is inzake (digitale) informatiebeveiliging? Zo neen, gaat hij akkoord dat daar dringend in moet worden geïnvesteerd?
1) De Federale overheidsdienst Informatie- en Communicatietechnologie (FEDICT) – heeft geen informatie hierover.
2) Het is eigen aan een clouddienst dat er een grensoverschrijdend karakter is. In die zin is een rechtskeuzebeding en de ondubbelzinnige aanduiding van de bevoegde rechtbank zeer belangrijk in de contracten van de klant met de aanbieder van de clouddienst. Op die manier kan het Belgische recht van toepassing gemaakt worden.
Het is zo dat de Belgische Wet Verwerking Persoonsgegevens (omzetting van de Richtlijn 95/46/EG) van toepassing is op elke verwerking van persoonsgegevens in het kader van activiteiten op het Belgisch grondgebied. Dit betreft verwerkingen van persoonsgegevens die worden verricht in het kader van de effectieve en daadwerkelijke activiteiten van een vaste vestiging van de verantwoordelijke voor de verwerking op het Belgisch grondgebied. De Belgische wet is ook van toepassing op verwerkingen van persoonsgegevens waarbij gebruik wordt gemaakt van middelen op het Belgisch grondgebied. Indien een website bijvoorbeeld gebruik maakt van cookies zal de uitbater van de website vaak aan de Europese wetgeving inzake verwerking van persoonsgegevens onderworpen zijn, omdat hij gebruik maakt van de computer van de websitebezoeker.
Men moet een onderscheid maken tussen ongeoorloofde informatieverzameling en wettelijk toegestane informatieverzameling bijvoorbeeld via Patriot-Act. Ook de Belgische overheid kan, in het kader van een gerechtelijk onderzoek, informatie opvragen over niet-Belgen. Er zijn in 2013 een aantal opvragingen gebeurd door de Belgische overheid bij Amerikaanse bedrijven in het kader van zo’n gerechtelijk onderzoek. De wetgeving van de Verenigde Staten is anders dan de Belgische en zal dus op een aantal punten (onder andere bescherming van de privacy) afwijken van de Belgische.
De Belgische burger is vrij om gebruik te maken van deze diensten maar dient zich bewust te zijn van de mogelijke risico’s. Het is daarom belangrijk om de Belgische burger te sensibiliseren en te leren om de juiste beslissingen te nemen in verband met de mogelijke risico’s. Een oplossing bestaat er in om de gegevens die men in de cloud bewaart, te versleutelen zodat ze niet leesbaar zijn voor derden. Als de overheid zou gebruik maken van clouddiensten zou ze allicht deze oplossing voorop stellen.
3) Fedict maakt geen gebruik van de cloud om gegevens op te slaan.
4) Fedict heeft geen zicht hierop. Dit lijkt meer een vraag voor de Federale Overheidsdienst (FOD) Justitie (inlichtingendiensten) en/of de FOD Buitenlandse Zaken.
5) In tegenstelling tot zijn buurlanden, werd er in België geen orgaan belast met de bescherming van informatiesystemen. De bevoegdheid wordt verdeeld over verschillende federale overheidsdiensten die hun inspanningen niet coördineren.
De Belgische overheid heeft met de beslissing rond het oprichten van een Centrum voor Cybersecurity (beslissing van ministerraad op 19 december 2013) duidelijk aangegeven dat zij de bescherming van informatiesystemen efficiënter wil organiseren. Hiervoor zijn de nodige middelen op de begroting 2014 vrijgemaakt.