Een juridisch advies over de AWS European Sovereign Cloud concludeert dat de VS technisch toegang kan krijgen tot metadata van Nederlandse overheidsinstellingen. Hoewel de kans als onwaarschijnlijk wordt omschreven, blijft technische toegang mogelijk via Amerikaanse wetgeving.
Het Nederlandse ministerie van Justitie en Veiligheid liet advocatenkantoor Greenberg Traurig onderzoek doen naar het aanbod van AWS. De conclusie is helder: de VS kan toegang krijgen tot data en diensten opschorten, maar de kans dat dit gebeurt is klein.
De kern van het vraagstuk draait om drie scenario’s. Kan de VS toegang krijgen tot Nederlandse overheidsdata? Kunnen sancties of regelgeving leiden tot opschorting van diensten? En zijn er informele manieren waarop de Amerikaanse overheid AWS onder druk kan zetten? Op alle drie antwoordt het advocatenkantoor bevestigend, zij het met kanttekeningen.
Metadata blijft bereikbaar onder Amerikaanse wetten
Het memo stelt dat de VS toegang kan krijgen tot metadata van Nederlandse overheidsinstanties, maar niet tot de daadwerkelijke klantdata op EC2-servers. Dat komt door het ontwerp van het AWS Nitro System, dat fysieke toegang tot klantdata blokkeert. De precieze omvang van de metadata waartoe toegang is blijft onduidelijk, al verwacht men dat het beperkt blijft tot gebruikersnamen en e-mailadressen.
De kans dat dit ook daadwerkelijk gebeurt, wordt als onwaarschijnlijk bestempeld. Met de kanttekening: niet onmogelijk, maar ook niet waarschijnlijk. Het volledige advies beschrijft dat sancties iets waarschijnlijker zijn dan dataclaims, maar nog steeds in de categorie ‘onwaarschijnlijk’ vallen.
De European Sovereign Cloud werd door AWS gelanceerd als antwoord op Europese zorgen over datasoevereiniteit. De infrastructuur is fysiek gescheiden van mondiale AWS-regio’s. Vanaf een toekomstige datum werken er alleen EU-burgers met woonplaats in de EU. Ook bevat het contract een verplichting voor AWS om juridische verzoeken om data aan te vechten.
Toch kunnen deze maatregelen het risico niet tot nul reduceren. Google, AWS en Microsoft hebben grote contracten met de Amerikaanse overheid die theoretisch als drukmiddel gebruikt kunnen worden. “De kans op dergelijke bedreigingen lijkt onwaarschijnlijk”, oordeelt het rapport.
Sancties theoretisch mogelijk, praktisch onwaarschijnlijk
De Amerikaanse president en het Congres kunnen sancties opleggen aan buitenlandse landen, hoewel de presidentiële bevoegdheden constitutioneel beperkt zijn. Executive Orders kunnen geen Amerikaanse wet buiten de landsgrenzen uitbreiden, tenzij het Congres daar expliciet toestemming voor geeft. De huidige focus van Amerikaanse sancties ligt op Iran, Cuba, Noord-Korea, Venezuela en delen van Oekraïne en Rusland.
Een nationale noodsituatie zou nodig zijn om via Executive Orders toegang te krijgen tot Nederlandse overheidsdata of clouddiensten te onderbreken. Eerdere noodsituaties betroffen vooral terrorisme, volksgezondheid en handelstekorten. “De kans dat de president een nationale noodtoestand uitroept die de in dit memorandum beschreven toepassingssituatie wezenlijk beïnvloedt, lijkt onwaarschijnlijk”, stellen de juristen.
Het juridisch memo concludeert dat gebruik van de AWS European Sovereign Cloud mogelijk compatibel is met de Nederlandse Visie op Digitale Autonomie en Digitale Soevereiniteit. Maar omdat aspecten van die visie nog gedefinieerd moeten worden, valt nu geen definitieve uitspraak te doen.
De advocaten benadrukken dat hun memo geen volledige risicoanalyse bevat. Het beoordeelt alleen de waarschijnlijkheid van gebeurtenissen, niet de impact. Overheidsinstellingen moeten zelf risicobeoordelingen maken voor hun specifieke gebruik.