Overslaan naar inhoud

Geen grenzen voor Data


De US CLOUD Act

De Clarifying Lawful Overseas Use of Data (CLOUD) Act uit 2018 veranderde de spelregels voor Amerikaanse techreuzen (zoals Microsoft, AWS en Google).


  • Wereldwijde reikwijdte: Voorheen konden bedrijven weigeren data over te dragen die op servers buiten de VS stonden (zoals in een datacenter in Amsterdam). De CLOUD Act stelt dat Amerikaanse bedrijven verplicht zijn data te overhandigen die onder hun beheer vallen, ongeacht waar de server fysiek staat.


  • De link met encryptie: Als een Amerikaanse provider de encryptiesleutels beheert (bijvoorbeeld bij standaard cloudopslag), zijn ze wettelijk verplicht deze te gebruiken om de data leesbaar over te dragen aan de autoriteiten na een geldig bevel.
us a flag on gray concrete building

PRISM en Section 702 (FISA)

PRISM is een programma onder de Foreign Intelligence Surveillance Act (FISA), specifiek sectie 702. 

Waar de CLOUD Act vooral gericht is op strafrechtelijk onderzoek, richt PRISM zich op buitenlandse intelligentie.

  • Directe toegang: Onder PRISM kunnen Amerikaanse inlichtingendiensten (zoals de NSA) communicatie verzamelen die door de servers van Amerikaanse internetbedrijven stroomt.


  • Gedwongen medewerking: Bedrijven kunnen in het geheim worden gedwongen om technische "backdoors" te creëren of sleutels te delen, vaak vergezeld van een gag order (een spreekverbod waardoor ze de klant niet mogen informeren).

De Paradox van Cloud-beveiliging

Hoewel encryptie vaak als een universele oplossing wordt gezien, bepaalt de manier waarop de sleutels worden bewaard of je juridisch beschermd bent tegen Amerikaanse wetgeving zoals de CLOUD Act.

Encryption at Rest

Standaard Cloud-encryptie

In dit scenario beheert de cloudprovider de gehele beveiligingsketen. De data is weliswaar versleuteld op hun schijven, maar de provider heeft zelf de sleutel in handen om die data te ontsleutelen voor onderhoud of back-ups.



Het risico:  Omdat de provider de technische middelen heeft om de data leesbaar te maken, zijn ze onder de CLOUD Act wettelijk verplicht om de data ontsleuteld te overhandigen als de Amerikaanse overheid daar een bevel voor geeft. Dit vormt een hoog risico voor de soevereiniteit van je data.

Bring Your Own Key - BYOK

Je eigen sleutel meebrengen

Hierbij genereer je als organisatie zelf een sleutel en "leent" deze uit aan de cloudprovider zodat zij jouw applicaties kunnen draaien. Dit voelt veiliger, maar er zit een addertje onder het gras: de sleutel bevindt zich nog steeds in de infrastructuur van de provider om de data te kunnen verwerken.

Het risico: De provider heeft nog steeds functionele toegang. In een juridisch conflict kunnen zij gedwongen worden om de sleutel die in hun systeem draait te gebruiken om toegang te verschaffen. Het risico is daarom gemiddeld: je hebt meer controle, maar de juridische kwetsbaarheid blijft bestaan.

(Hold Your Own Key - HYOK)

De sleutel in eigen beheer houden

Dit is de enige methode waarbij de organisatie de sleutel volledig buiten de cloudomgeving houdt. De data wordt versleuteld vóórdat deze de eigen veilige omgeving verlaat en naar de cloud gaat. 

De cloudprovider krijgt alleen onleesbare "ruis" te zien en heeft nooit de beschikking over de sleutel.



Het risico: Dit scenario biedt een laag risico. Zelfs als de provider een dwangbevel krijgt, kunnen zij de data simpelweg niet ontsleutelen. Ze kunnen alleen een stapel versleutelde bestanden overhandigen waar de Amerikaanse diensten zonder jouw sleutel niets mee kunnen.

Voor organisaties die gebonden zijn aan strikte Europese privacyregels (AVG), is de overstap van "vertrouwen op de provider" naar HYOK vaak de enige manier om de juridische reikwijdte van de VS effectief te blokkeren.

Datalek