Overheidsdata in de cloud
Transcript of Overheidsdata in de cloud
OVERHEIDSDATA
IN DE CLOUD De impact van conflicterende rechtstelsels op de
keuze voor een cloudoplossing
ABSTRACT Een analyse van de impact van Amerikaanse
regelgeving op de keuze voor een bepaalde
cloudoplossing voor de Vlaamse overheid, gelet
op specifieke verplichtingen omtrent
gegevensverwerking in het nationale recht.
time.lex
i
EXECUTIVE SUMMARY
In dit advies wordt gekeken in welke mate de keuze van de Vlaamse overheidsdiensten voor een
bepaalde cloudoplossing beïnvloed wordt door het buitenlandse en binnenlandse recht. In het bijzonder
identificeren we de conflicten die ontstaan wanneer Amerikaanse overheidsbevoegdheden tot
kennisname van gegevens in de cloud de verplichtingen van de Vlaamse overheid met betrekking tot de
vertrouwelijkheid en beschikbaarheid van overheidsgegevens doorkruisen. De Snowden-
onthullingen hebben immers duidelijk aangetoond dat de Amerikaanse overheid haar bevoegdheden tot
kennisname in de praktijk ook succesvol weet aan te wenden. Dit betekent voor een Vlaamse
overheidsdienst dat zij met deze bevoegdheden rekening zal moeten houden indien zij de cloudoplossing
van één of meerdere aanbieders overweegt. Het veronderstelt dat men nagaat welke cloudaanbieders
met een bevel tot overlegging geconfronteerd kunnen worden, op welke gronden en onder welke
voorwaarden dit gebeurt en hoe men de gevolgen van een dergelijke overlegging kan vermijden dan wel
beperken in het licht van de verplichtingen uit het nationale recht.
Confidentialiteit
Bevoegdheden tot kennisname in het recht van de VS
Het onderhavige advies bekijkt in wezen twee verschillende juridische wegen die de Amerikaanse
overheidsdiensten kunnen benutten om kennis te nemen van gegevens bijgehouden in een cloud. Een
eerste weg is deze van de extraterritoriale bevoegdheden, waarbij in het nationale recht van de VS
bepalingen zijn opgenomen die het de Amerikaanse overheidsdiensten mogelijk maken de facto buiten
het eigen grondgebied op te treden. Een tweede weg is deze van de rechtshulpverdragen, waarbij de
Amerikaanse overheid op basis van verdragen gesloten op Europees en Belgisch niveau de federale
overheid tot overlegging van bepaalde gegevens kan verzoeken.
Wat de extraterritoriale bevoegdheden betreft, identificeren we drie instrumenten die de belangrijkste
bevoegdheden bevatten. Als eerste komt Executive Order 12333 aan bod, waarin de Amerikaanse
inlichtingendiensten de gelegenheid wordt gegeven om zelf – onder toezicht van de Attorney General –
data kwalificerend als foreign intelligence te capteren en te analyseren. We besluiten daarbij dat a) het
begrip foreign intelligence erg ruim is, b) het toezicht eerder beperkt is en c) het instrument zeker
bruikbaar is om als inlichtingendienst gegevens van een buitenlandse overheid opgeslagen in een cloud
te capteren. We benadrukken wel dat onder dit Executive Order de rol van de cloudaanbieder beperkt
is.
Een tweede instrument dat aan bod komt, is de Foreign Intelligence Surveillance Act (FISA). Deze
federale wet laat de overheidsdiensten toe om bepaalde dienstverleners te bevelen a) foreign intelligence
ii
information over te leggen dan wel b) hun medewerking te verlenen ter verkrijging van dergelijke
informatie. De conclusie hier luidt dat:
cloudaanbieders onder deze wet met een bevel tot overlegging van foreign intelligence
information geconfronteerd kunnen worden;
de cloudaanbieder niet noodzakelijk een Amerikaanse onderneming moet zijn om met het bevel
geconfronteerd te worden maar dat een systematische band met de VS volstaat;
dat de Amerikaanse overheidsdiensten het bevel kunnen koppelen aan een
geheimhoudingsplicht, zodat de cloudaanbieder de eigenaar van de gegevens niet op de hoogte
mag brengen van de overlegging;
buitenlandse overheidsgegevens in een cloud kwalificeren als foreign intelligence information;
dat men geen specifieke persoon dient te viseren, maar dat een algemeen doelwit (zoals een
overheid) volstaat;
het toezicht in hoofdzaak wordt uitgeoefend door de Attorney General en de Director of
National Intelligence en dat de rol van de Foreign Intelligence Surveillance Court eerder
beperkt is;
dat deze wet gelet op het voorgaande zeer ruime kennisnamebevoegdheden voor Amerikaanse
overheidsdiensten vooropstelt die een zeer groot deel van cloudmarkt treffen.
Een derde en laatste instrument dat geanalyseerd wordt, is de Eletronic Communications Privacy Act
(ECPA). Deze wetgeving regelt voornamelijk bevoegdheden die vergelijkbaar zijn met de
tapbevoegdheden in het Belgische strafprocesrecht. Ook onder deze wet kunnen cloudaanbieders
bevolen worden om gegevens dan wel metagegevens over te leggen, maar dan enkel in de sfeer van de
criminaliteitsbestrijding door politie en justitie. Het bevel kan de vorm aannemen van een
huiszoekingsbevel, een administratief dwangbevel dan wel een specifiek gerechtelijk bevel. Voor ieder
van deze vormen gelden andere vereisten, met als meest relevante onderscheidingscriterium of men de
betrokkene al dan niet op de hoogte mag/moet brengen van het bevel. We wijzen er evenwel op dat het
in de praktijk vooral de FISA zal zijn die de grootste problemen opwerpt ten aanzien van het opslaan
van (Vlaamse) overheidsgegevens in de cloud.
Ten aanzien van ieder van deze drie instrumenten moet men vaststellen dat de rechtsbescherming voor
buitenlanders in het Amerikaanse recht zo goed als onbestaande is. Zo zal men als buitenlander niet
kunnen rekenen op de grondwettelijke bescherming geboden door het Fourth Amendment, maar ook de
bescherming geboden door het statutaire recht is weinig effectief hoewel buitenlanders dit in theorie wel
zouden kunnen inroepen.
Wat de rechtshulpverdragen betreft, volstaat het hier van te stellen dat deze van een eerder ondergeschikt
belang zijn. Men moet als verzoekende Staat immers steeds langs de competente overheid van de
aangezochte Staat, wat betekent dat de Vlaamse overheid toezicht zal kunnen houden op welke gegevens
iii
via deze weg tot bij de Amerikaanse overheidsdiensten komen. In de rest van de analyse gaan we ervan
uit dat de Amerikaanse overheidsdiensten in hoofdzaak een beroep zullen doen op de bevoegdheden
zoals voorzien in de FISA.
Vertrouwelijkheidsvereisten voor overheidsgegevens
Tegenover de hierboven aangehaalde bevoegdheden tot kennisname, plaatsen we de
vertrouwelijkheidsverplichtingen uit het eigen recht waarmee de Vlaamse overheidsdiensten zich
geconfronteerd weten wanneer zij bepaalde types gegevens verwerken. Het zijn deze plichten die de
keuze van een welbepaalde cloudoplossing in belangrijke mate beperken.
Een eerste categorie van gegevens waarvan de opslag in de cloud juridisch toch wel wat vragen opwerpt,
is deze van de persoonsgegevens. De Belgische Wet Verwerking Persoonsgegevens legt immers een
heel amalgaam aan voorwaarden op waaraan voldaan moet worden wanneer men als zgn.
‘verantwoordelijke voor de verwerking’ gegevens wenst op te slaan in de cloud. Daarbij moet men
uiteraard eerst nagaan in welke rol de overheidsdienst en de eventuele cloudaanbieder aantreden. Het
besluit hier luidt dat de cloudaanbieder een verwerker is die in opdracht en onder verantwoordelijkheid
handelt van de verantwoordelijke, in casu de relevant Vlaamse overheidsdienst. Gelet op deze
rolverdeling zal de Vlaamse overheidsdienst een aantal zaken met de cloudaanbieder contractueel
moeten vastleggen, hieronder begrepen de veiligheid van de te verwerken persoonsgegevens. Eén en
ander leidt tot de conclusie dat:
men de nodige technische en organisatorische waarborgen kan bieden ongeacht buitenlandse
extraterritoriale bevoegdheden;
standaardcontracten veelal problematisch zullen zijn daar een aantal zaken er wettelijk verplicht
in geregeld moeten worden en deze contracten in lijn moeten zijn met het Vlaamse
veiligheidsbeleid;
een publieke of virtueel private cloudoplossing vragen doet rijzen ten aanzien van de
transparantie van de geboden oplossing, transparantie die nodig is voor de verantwoordelijke
om na te kunnen gaan of de verwerking door de verwerker gebeurt in overeenstemming met de
wet;
de vereiste van transparantie moeilijk te rijmen valt met de mogelijke geheimhoudingsplicht die
de Amerikaanse overheid kan koppelen aan een bevel tot overlegging;
dat men zou kunnen overwegen om zoveel mogelijk aan de verplichtingen van de wet te voldoen
door sterke encryptie te implementeren vooraleer men gegevens overdraagt aan de
cloudaanbieder en dit combineert met sterke waarborgen op organisatorisch niveau.
iv
Een tweede categorie van gegevens die onder de loep wordt genomen, is deze van de gegevens
opgeslagen in authentieke bronnen. De besluiten die we hier trekken, komen grotendeels overeen met
deze die gelden voor persoonsgegevens. Opnieuw lijken standaardovereenkomsten uitgesloten, werpt
de vereiste van transparantie hindernissen op, en leiden strikt geformuleerde
vertrouwelijkheidsverplichtingen voor gegevens verwerkt door de Vlaamse Dienstenintegrator tot de
conclusie dat publieke en virtuele private cloudoplossingen misschien wel uit den boze zijn (zie evenwel
verder).
Een derde categorie van gegevens waarvoor specifieke vertrouwelijkheidsplichten gelden, is deze van
de gegevens uit het Rijksregister. Gegevens uit het Rijksregister en in het bijzonder het
Rijksregisternummer nemen een centrale plaats in binnen dienstenintegratie en – ruimer –
gegevensverwerking door de overheid, wat maakt dat deze categorie niet kan ontbreken in de
onderhavige analyse. Voor deze categorie van gegevens kunnen we stellen dat de
vertrouwelijkheidsplicht, waarvan de contouren omschreven worden door het beroepsgeheim, ertoe
noopt dat deze gegevens in een strikt private cloud in eigen beheer worden bijgehouden.
Een vierde en laatste categorie die we hier behandelen, is deze van de geografische gegevens. Voor
deze categorie van gegevens geldt een lichtere vertrouwelijkheidsplicht, maar opnieuw zal men zich niet
kunnen verbinden met behulp van standaardovereenkomsten. Andere hindernissen lijken echter
beperkter daar veel van deze gegevens een publiek karakter hebben en waar het persoonsgegevens
betreffen gelden de conclusies van hierboven.
Tot besluit van het deel over vertrouwelijkheidsplichten, gaan we na of we deze plichten niet functioneel
kunnen benaderen. Het argument luidt dat de vertrouwelijkheidsplicht maar zover reikt als haar
doelstelling, te weten het feit dat een derde zonder toelating geen kennis kan nemen van de inhoud van
de gegevens. Een dergelijke invulling van de vertrouwelijkheidsplicht zou betekenen dat, wanneer de
gegevens versleuteld aan de cloudaanbieder worden overgedragen en deze laatste de sleutel niet bezit,
noch de Vlaamse overheid noch de cloudaanbieder de vertrouwelijkheidsplicht kan schenden bij
overlegging van de gegevens. Immers, de Amerikaanse overheid zal geen kennis kunnen nemen van de
inhoud, maar krijgt een verzameling onbegrijpelijke data. We geven aan dat deze redenering ook al in
de huidige Belgische wetgeving terug te vinden is.
v
Beschikbaarheid
In het deel over beschikbaarheid geven we aan dat er een aantal specifieke bepalingen zijn opgenomen
in bijvoorbeeld de wetgeving betreffende de Vlaamse dienstintegratie en het Rijksregister die een
permanente beschikbaarheid van de gegevens vooropstellen. Zo moet de overheid gegevens
bijvoorbeeld kunnen vernietigen in oorlogstijd. Dergelijke bekommernissen doen ons concluderen dat
men van de cloudaanbieder moet kunnen vereisen dat a) er voldoende transparantie wordt geboden met
betrekking tot de geleverde cloudoplossing en b) de gegevens op het Belgisch territorium worden
opgeslagen. Dit betekent tevens dat men goede Service Level Agreements zal moeten afsluiten en dat
standaardovereenkomsten niet mogelijk zijn.
Dit analyse in dit advies geeft aanleiding tot het formuleren van een aantal concrete aanbevelingen, die
u terugvindt in het laatste hoofdstuk (4).
INHOUDSOPGAVE
1 Inleiding........................................................................................................................................... 1
1.1 Algemeen................................................................................................................................. 1
1.2 Het begrip ‘cloud’ ................................................................................................................... 3
1.2.1 Definitie ........................................................................................................................... 3
1.2.2 Verschijningsvormen ....................................................................................................... 4
1.2.3 Rollen .............................................................................................................................. 4
2 Confidentialiteit ............................................................................................................................... 6
2.1 Algemeen................................................................................................................................. 6
2.2 Bevoegdheden tot kennisname in het recht van de VS ........................................................... 7
2.2.1 Inleiding ........................................................................................................................... 7
2.2.2 De extraterritoriale bevoegdheden .................................................................................. 8
2.2.3 Beschermingsbepalingen in het recht van de VS .......................................................... 13
2.2.4 Rechtshulpverdragen ..................................................................................................... 14
2.3 Vertrouwelijkheidsvereisten voor overheidsgegevens .......................................................... 16
2.3.1 Algemeen ....................................................................................................................... 16
2.3.2 Persoonsgegevens .......................................................................................................... 16
2.3.3 Gegevens uit een authentieke gegevensbron ................................................................. 22
2.3.4 Gegevens uit het Rijksregister ....................................................................................... 24
2.3.5 Geografische gegevens .................................................................................................. 26
2.3.6 Functionele invulling van de vertrouwelijkheidsplicht ................................................. 28
3 Beschikbaarheid ............................................................................................................................ 31
4 Aanbevelingen ............................................................................................................................... 33
1
1 INLEIDING
1.1 ALGEMEEN
1. Cloud services wereldwijd zijn aan een indrukwekkende opmars bezig. Verschillende studies wijzen
los van elkaar op een sterke groei van de markt voor clouddiensten in de komende jaren, en dan in het
bijzonder voor wat betreft het zogenaamde Software-as-a-Service (doorgaans afgekort tot SaaS).1 Zowel
particulieren, bedrijven als overheden opteren er voor om hun gegevens – in de meest ruime zin, dus
ook e-mailcommunicatie, word processing of beheertoepassingen – toe te vertrouwen aan
gespecialiseerde dienstverleners die hun diensten via het internet ter beschikking stellen. Bovendien
groeit het cloudaanbod exponentieel, worden veel diensten geïntegreerd aangeboden bij de aanschaf van
hardware (bv. een mobiele telefoon, tablet of laptop) en is het soms zelfs – op het eerste zicht althans –
uitermate goedkoop om van clouddiensten gebruik te maken. 2 Uiteenlopende redenen kunnen ten
grondslag liggen aan een – al dan niet doorgedreven – externalisering van wat men dikwijls toch wel
mag beschouwen als basis IT-diensten van een organisatie, gaande van kostenbesparingen en
schaalvoordelen tot verbeterde toegankelijkheid of verhoogde performantie.
2. Dat cloudoplossingen significante voordelen kunnen impliceren voor wat betreft de optimalisatie van
de beschikbare IT resources zal waarschijnlijk niemand meer betwisten. Dat er evenwel ook heel wat
risico’s aan verbonden zijn, is ondertussen ook al meermaals aangekaart. Deze risico’s kunnen zich
situeren in a) technisch-praktische richting (bv. verlies of diefstal van gegevens, onbeschikbaarheid van
de clouddienst als gevolg van onderhoud, etc.), b) economische richting (bv. zwakke
onderhandelingspositie ten aanzien van een wereldwijd actieve cloudaanbieder, een vendor lock-in,
onbeschikbaarheid van gegevens als gevolg van een faillissement van de cloudaanbieder, etc.) en c)
juridisch-politieke richting (onbeschikbaarheid van de gegevens als gevolg van overheidsblokkages,
restrictieve wetgevende verplichtingen ten aanzien van bepaalde gegevens en/of actoren, etc.).
3. Wat betreft de risico’s van juridisch-politieke aard moet men vaststellen dat recente gebeurtenissen
vragen doen rijzen naar de veiligheid en betrouwbaarheid van clouddiensten bij verschillende soorten
afnemers. De Snowden-onthullingen met betrekking tot de zeer uitgebreide afluisterprogramma’s van
in het bijzonder de VS, in samenwerking met enkele van haar internationale partners, hebben aanleiding
1 Zie onder meer L. COLUMBUS, “Roundup of Cloud Computing Forecasts And Market Estimates, 2015”, Forbes,
http://www.forbes.com/sites/louiscolumbus/2015/01/24/roundup-of-cloud-computing-forecasts-and-market-
estimates-2015/ (consultatie 25 februari 2015). 2 Verschillende cloud providers bieden gebruikers immers een starterspakket aan dat in vele gevallen gratis is
(denk bijvoorbeeld aan Dropbox, Google Drive, Apple’s iCloud of Microsoft’s OneDrive). Slechts wanneer men
bv. meer opslag wil of een meer professioneel gericht aanbod zal men moeten intekenen op een betalend aanbod.
2
gegeven tot protest zowel in binnen- als buitenland.3 Bevoegdheden tot kennisname door buitenlandse
mogendheden ten aanzien van informatie die beschikbaar wordt gesteld via het internet heeft echter in
veel gevallen een wettelijke grondslag in de interne juridische orde van de desbetreffende Staat. Dat is
gewoon een gevolg van het soevereiniteitsbeginsel. Het neemt echter niet weg dat de daadwerkelijke
uitoefening van deze bevoegdheden een schending kan impliceren van de soevereiniteit van een andere,
getroffen Staat, bijvoorbeeld wanneer er overheidsgegevens of gegevens betreffende de burgers van
deze laatste Staat worden afgevangen. Eén en ander is een rechtstreeks gevolg van de discongruentie
die er bestaat tussen het op territorialiteit gestoelde soevereiniteitsbeginsel en de essentiële
grenzeloosheid van het internet.
4. Dit is echter slechts één voorbeeld van hoe wettelijk verankerde bevoegdheden van de één kunnen
leiden tot significante risico’s bij de overstap naar de cloud voor een ander. Er zijn evenwel andere,
misschien minder zichtbare maar daarom niet minder belangrijke wettelijke bevoegdheden en
verplichtingen denkbaar die aanleiding geven tot risico’s wanneer men de overstap naar de cloud waagt.
De risicogevoeligheid zal verschillen naargelang de aard van de entiteit die de overstap naar de cloud
overweegt en naargelang de aard van de gegevens die men in de cloud denkt te plaatsen. Risico’s voor
overheden treden vooral op wanneer men overweegt om kritische overheidsgegevens in de cloud op te
slaan. Het mag dan ook niet verwonderen dat de overheden van verschillende ons omringende landen
reeds werk maakten van een zogenaamde “cloud strategie” die hen in staat moeten stellen om aan de
hand van concrete beleidslijnen onderbouwde keuzes met betrekking tot gebruik van clouddiensten te
maken.4
5. Dit advies tracht een aantal centrale juridische bekommernissen uit het nationale recht aan te kaarten
die in conflict komen met buitenlandse bevoegdheden. De Vlaamse overheidsdiensten zullen zich
immers met deze juridische conflictsituaties geconfronteerd weten wanneer zij bepaalde gegevens in
een (publieke) cloud wensen bij te houden. In dit advies is het de ambitie om bepaalde rechtsregels zeer
concreet in kaart te brengen, te analyseren op hun implicaties en een aantal aanbevelingen te formuleren
die het de overheidsdiensten mogelijk moeten maken om weloverwogen voor een cloudoplossing te
kiezen of niet. Zowel op het niveau van de Europese Unie als op Lidstatelijk niveau werden er reeds
gelijkaardige oefeningen gedaan.5
3 Zie bijvoorbeeld het Council of Europe Report on Mass Surveillance (http://website-
pace.net/documents/19838/1085720/20150126-MassSurveillance-EN.pdf/df5aae25-6cfe-450a-92a6-
e903af10b7a2) naar aanleiding van de onthullingen van Snowden, waar de Council of Europe de implicaties van
dergelijke praktijken voor de mensenrechten onder de aandacht brengt. 4 Voor een bondig overzicht: K. VERSLYPE, “Cloud-Strategieën bij Buitenlandse overheden (update)”, Smals
Research Note, december 2013,
https://www.smalsresearch.be/download/research_reports/research_note/cloud_strategieen_govs_buitenland%20
NL%20-%20update.pdf (consultatie 25 februari 2015). 5 Op Europees niveau willen we verwijzen naar het werk verricht in het kader van het Cloud For Europe project,
in het bijzonder naar L. HELLEMANS, “D2.1. Legal Implications on Cloud Computing”, EC FP7 Cloud For
Europe Project, 1 mei 2014,
3
6. De structuur van dit advies volgt (een gedeelte van) de zogenaamde ‘CIA triad’. Dit model voor
informatieveiligheid bestaat uit drie kernprincipes: confidentialiteit, integriteit en beschikbaarheid.6 Een
kandidaat-cloudaanbieder moet kunnen waarborgen dat deze drie kernprincipes een integraal en
essentieel deel uitmaken van de geleverde dienst. In de volgende bladzijden gaan we in op de juridische
bepalingen die betrekking hebben op de confidentialiteit en de beschikbaarheid. In de context van
clouddiensten zijn het namelijk vooral deze twee principes waarover juridische vragen bestaan.
1.2 HET BEGRIP ‘CLOUD’
1.2.1 Definitie
7. Een wettelijke definitie van cloud (of voluit: cloud computing) is tot op heden niet voor handen, noch
in de Belgische noch in de Europese regelgeving. Men vindt wel omschrijvingen terug in bepaalde
beleidsteksten zoals in de EU Cloud Strategy7, maar voornamelijk zal men moeten terugvallen op de
definities die ontwikkeld werden door de standaardisatie-instituten NIST (VS) en ETSI (EU). Waar het
ETSI zich voornamelijk geconcentreerd heeft op de definitie van de verschillende rollen8 binnen de
cloud context, heeft het NIST getracht de essentie van ‘cloud computing’ op zich te capteren:
Cloud computing is a model for enabling ubiquitous, convenient, on-demand, network
access to a shared pool of configurable computing resources (e.g. networks, servers,
storage, applications, and services) that can be rapidly provisioned and released with
minimal management effort or service provider interaction.9
Vrij vertaald:
Cloud computing is een model dat het mogelijk maakt om via een alomtegenwoordige,
handige en op vraag gebaseerde netwerktoegang te beschikken over een gedeelde
http://www.cloudforeurope.eu/documents/10179/40740/Legal+implications+of+cloud+computing/7d1e7dbf-
cb67-41bf-ac8a-77842648d010?version=1.0 (consultatie 26 februari 2015). In Nederland werd gelijkaardig wer
verricht in opdracht van de overheid in A. HENDRIKS, E. MEERSHOEK et al., “Cloud Computing, FUNDAMENT
OP ORDE”, Verdonck, Klooster & Associates, p. 39 e.v., http://www.rijksoverheid.nl/bestanden/documenten-
en-publicaties/rapporten/2012/03/15/cloud-computing-fundament-op-orde/cloud-computing-fundament-op-orde-
vka-v1-1.pdf (consultatie 25 februari 2015). 6 Confidentialiteit heeft betrekking op de capaciteit om informatie enkel ter kennis te stellen van zij die er
gerechtigd zijn toegang tot te nemen. Integriteit heeft te maken met de eigenschap dat de informatie accuraat en
onveranderd is ten aanzien van een origineel. Beschikbaarheid ten slotte betekent dat de informatie op ieder
moment toegankelijk is voor diegene die er gerechtigd is toegang tot te nemen. 7 Volgens de Europese Commissie kan men cloud computing omschrijven als:
“[…] the storing, processing and use of data on remotely located computers accessed over the internet”, wat men
vrij zou kunnen vertalen als “het op afstand opslaan, verwerken en aanwenden van gegevens op
informaticasystemen toegankelijk via het internet”, COM(2012) 529 final, p. 2. 8 ETSI, “Cloud Standards Coordination – Final Report”, november 2013, p. 3,
http://www.etsi.org/images/files/Events/2013/2013_CSC_Delivery_WS/CSC-Final_report-013-
CSC_Final_report_v1_0_PDF_format-.PDF (consultatie 26 februari 2015). 9 P. MELL en T. GRANCE, “The NIST Definition of Cloud Computing – Recommendations of the National Institute
of Standards and Technology”, NIST Special Publication 800-145, september 2011, p. 2.
4
verzameling van configureerbare computing resources (zoals netwerken, servers,
opslag, applicaties en diensten) die snel geleverd en ter beschikking gesteld kan worden
met minimale beheerinspanningen of interactie met de dienstverlener.
In de rest van het onderhavige advies wordt ‘cloud computing’ in de zin van deze definitie begrepen, zij
het dat we steeds verkort van ‘de cloud’ zullen spreken.
1.2.2 Verschijningsvormen
8. Uit bovenstaande definitie kan men reeds afleiden dat er uiteenlopende cloudoplossingen bestaan
voor verschillende toepassingen en die tegemoet komen aan onderscheiden behoeften. Meestal stelt men
dat er vier grote types van dienstenmodellen voor cloudoplossingen zijn, met name (1) Software-as-a-
Service (SaaS), (2) Platform-as-a-Service (PaaS), (3) Infrasructure-as-a-Service (IaaS) en (4) Hardware-
as-a-Service (HaaS).10 Verder maakt men een onderscheid tussen private clouds, publieke clouds en
hybride clouds. Bij een private cloud worden diensten exclusief ter beschikking gesteld van vertrouwde
gebruikers van een enkele klant (wat niet betekent dat bepaalde infrastructuur componenten niet gedeeld
kunnen zijn). In het geval van een publieke cloud worden de diensten aan het ruime publiek aangeboden
en worden de gebruikers standaard als niet-vertrouwd aangemerkt. Hybride clouds combineren dan weer
het private en het publieke model.
In dit advies wordt aangenomen dat de Vlaamse overheidsdiensten kiezen tussen het Iaas-, PaaS- en
SaaS-aanbod van een cloudaanbieder. De nadruk ligt voornamelijk op de implicaties van bepaalde
juridische bevindingen voor een publiek dan wel een virtueel privaat cloudaanbod.11 Bovendien zal het
in de praktijk veelal gaan om een aanbieder van Amerikaanse oorsprong, zoals Microsoft, HP, Google,
Dropbox etc., wat het belang van onderstreept om het Amerikaans recht mee te nemen in de analyse.
1.2.3 Rollen
9. Uit de bovenstaande inleiding kan men reeds afleiden dat het kiezen voor een cloudoplosssing, alsook
het effectief uitrollen van een oplossing naar een bepaalde klant, een complexe aangelegenheid is. Als
gevolg van deze complexiteit zijn er op de markt tussenpersonen actief. Deze tussenpersonen assisteren
klanten bij het maken van een selectie uit het uitgebreide aanbod van clouddiensten. Tevens kunnen zij
klanten begeleiden bij de integratie van de verschillende diensten wanneer een heterogene12 oplossing
uitgerold wordt. Dit alles maakt dat het landschap van actoren in de cloudcontext vrij gevarieerd is en
dat er voor een amalgaam van dienstverleners onderscheiden rollen weggelegd zijn.
10 Voor een gedetailleerde omschrijving en voorbeelden verwijzen we naar N. ROBINSON ̧L. VALERI, J. CAVE, T.
STARKEY, H. GRAUX, S. CREESE en P. HOPKINS, “The Cloud: Understanding the Security, Privacy and Trust
Challenges”, Final Report for the European Commission, 30 november 2010, p. 13 e.v. 11 Virtueel private clouds zijn clouds die op een publieke infrastructuur draaien maar die door middel van
virtualisatie toch de karakteristieken van een private cloud bieden. 12 Hiermee bedoelen we dat een cloudoplossing kan bestaan uit diensten van verschillende aanbieders die
uiteindelijk geïntegreerd aan de klant worden aangeboden.
5
10. Om deze verscheidenheid aan rollen toch enigszins gestructureerd te kunnen benaderen, werd door
het ETSI een generische taxonomie ontwikkeld. Deze taxonomie zal ook in dit advies waar nodig
gehanteerd worden.13 Er worden vier rollen gedefinieerd:
klant: diegene die clouddiensten afneemt voor eigen gebruik;
aanbieder: diegene die clouddiensten aanbiedt aan klanten;
partner: de tussenpersoon die helpt om clouddiensten aan te bieden, dan wel af te nemen;
overheid (niet als klant maar in een regulerende capaciteit).
13 Supra voetnoot 8.
6
2 CONFIDENTIALITEIT
2.1 ALGEMEEN
11. Het confidentialiteitsprincipe, dat inhoudt dat enkel de bevoegde entiteit toegang heeft tot bepaalde
gegevens, is juridisch gezien waarschijnlijk het meest complexe principe in de cloudcontext.
Uiteenlopende materies geven het concreet vorm maar hebben niet zelden tegengestelde objectieven.
Ten aanzien van de klant zal het privacyrecht eisen stellen betreffende de veiligheid van
persoonsgegevens. Ook kunnen bepaalde publiekrechtelijke instrumenten eisen stellen met betrekking
tot de veiligheid van gegevens van algemeen of strategisch belang.
Ten aanzien van de aanbieder kunnen er dan weer vragen/bevelen komen van – al dan niet buitenlandse
– autoriteiten, steunende op bevoegdheden uit het eigen recht, om bepaalde informatie vrij te geven. De
klant zal bij het overwegen van een cloudoplossing rekening moeten houden met het feit dat de aanbieder
met een dergelijk bevel geconfronteerd kan worden.
12. In dit hoofdstuk zullen in een eerste onderdeel de wettelijke bepalingen aan bod komen die het de
Amerikaanse overheidsdiensten mogelijk maken om kennis te nemen van Belgische gegevens
bijgehouden in een cloud. In een tweede onderdeel zullen dan de federale en Vlaamse wettelijke
verplichtingen en modaliteiten aan bod komen die de vertrouwelijkheid van overheidsgegevens
betreffen. Deze verplichtingen en modaliteiten zullen in belangrijke mate de keuze van de Vlaamse
overheidsdiensten voor een welbepaalde cloudoplossing sturen en beperken, zeker wanneer men ze
kadert tegen de achtergrond van de Amerikaanse kennisnamebevoegdheden zoals besproken in het
eerste onderdeel.
7
2.2 BEVOEGDHEDEN TOT KENNISNAME IN HET RECHT VAN DE VS
2.2.1 Inleiding
13. In de nasleep van de onthullingen door Edward Snowden werd het Amerikaanse (en Britse) recht in
allerhande artikelen, verslagen en rapporten onder de loep genomen. Zo werden de mogelijkheden voor
de Amerikaanse overheid tot kennisname van communicatie en informatie verzonden via onder meer
het internet beter in kaart gebracht.14 In wezen onderscheidt men daarbij twee verschillende soorten van
juridische wegen om tot dergelijke kennisname over te gaan. Enerzijds zijn er de bepalingen in het
interne Amerikaanse recht die de overheid een extraterritoriale onderzoeksbevoegdheid geven. Op deze
basis kan de Amerikaanse overheid besluiten om gegevens van buitenlandse oorsprong te capteren en
er kennis van te nemen. Anderzijds zijn er de zogenaamde bi- en multilaterale verdragen voor
wederzijdse rechtshulp waarbij soevereine Staten aan elkaar toezeggen onder bepaalde voorwaarden
kennis en informatie te zullen overdragen ter bestrijding van misdrijven en ter preventie van terrorisme.
14. Men dient overigens op te merken dat niet alleen de Amerikaanse en Britse overheden op basis van
hun nationale recht extraterritoriale onderzoeksbevoegdheden hebben. Ook heel wat Europese Lidstaten
hebben zich gelijkaardige bevoegdheden toebedeeld, België incluis.15 Het doet bepaalde auteurs dan ook
besluiten dat het een illusie is te denken dat er zoiets bestaat als een ‘veilige haven’ waar men gegevens
kan opslaan in een (publieke) cloud zonder dat deze blootstaan aan enige kennisname door een vreemde
overheid.16 Extraterritoriale bevoegdheden maken immers tot op zekere hoogte abstractie van nationale
soevereiniteit en territorialiteit en kennen het vigerende nationale recht van de fysieke plaats van opslag
een ondergeschikt belang toe. Dat in dit advies evenwel in het bijzonder het Amerikaanse recht aan bod
komt, en niet alle andere mogelijke rechtstelsels, heeft in wezen drie redenen. Ten eerste tonen de recente
gebeurtenissen aan dat de overheid van de VS haar bevoegdheden met succes weet aan te wenden. Ten
tweede kan men niet ontsnappen aan de observatie dat de meeste grote actoren op de markt voor
cloudoplossingen Amerikaanse bedrijven zijn. De Belgische Yahoo-zaak leert immers dat het niet
volstaat om als overheid bepaalde bevoegdheden op te eisen, maar dat men ze – om effectief resultaat
14 In België liet bijvoorbeeld het Vast Comité I, dat toezicht houdt op de veiligheidsdiensten, twee studies
uitvoeren naar enerzijds de onthullingen met betrekking tot het PRISM programma en anderzijds naar de
mensenrechtelijke implicaties van een dergelijk programma: M. VERMEULEN, “De Snowden-revelaties, massale
data-captatie en politieke spionage. Open bronnenonderzoek”, 23 oktober 2013, 1-41; A. SCHAUS, “Advies over
de in België geldende regels ter bescherming van de privacy ten aanzien van middelen die toelaten op grote
schaal gegevens van België verblijvende personen, organisaties, ondernemingen of instanties (of enige link
hebben met België) te onderscheppen en te exploiteren”, Vast Comité van Toezicht op de inlichtingen- en
veiligheidsdiensten, 27 november 2013, 1-26,
http://www.comiteri.be/index.php?option=com_content&view=article&id=41&Itemid=75&lang=NL
(consultatie 2 maart 2015). 15 Voor een overzicht verwijzen we naar W. MAXWELL en C. WOLF, “A Global Reality: Governmental Access to
Data in the Cloud”, Hogan Lovells White Paper, 18 juli 2012, 1-13. De extraterritoriale onderzoeksbevoegdheden
van de Belgische overheid op het internet werden overigens relatief recent bevestigd door het Hof van Cassatie in
de zogenaamde Yahoo-zaak: Cass. 4 september 2012, Pas. 2012, afl. 9, 1564. 16 W. MAXWELL en C. WOLF, supra voetnoot 15, p. 2.
8
te bereiken – dan ook in de praktijk moet kunnen afdwingen. De Amerikaanse overheid zal veel
gemakkelijker een cloudaanbieder tot een bepaalde vrijgave kunnen dwingen dan dat bijvoorbeeld de
Belgische overheid dit kan. Ten derde zou het, binnen de objectieven van dit advies, ons te ver leiden
om alle relevante rechtstelsels in voldoende detail te bespreken.
2.2.2 De extraterritoriale bevoegdheden
§1. Executive Order 12333
15. Een eerste, overigens zeer ruime, grond voor de Amerikaanse inlichtingendiensten17 om over te gaan
tot kennisname van buitenlandse gegevens, vindt men in Executive Order 12333 (hierna: EO 12333).18
In sectie 2.3 wordt gestipuleerd dat de inlichtingendiensten gegevens mogen verzamelen, bewaren en
verspreiden onder meer wanneer het gaat om informatie die kwalificeert als buitenlandse inlichtingen
(‘foreign intelligence’). Het EO 12333 definieert in sectie 3.4(d) foreign intelligence bijzonder ruim als
“informatie betreffende de mogelijkheden, intenties en activiteiten van buitenlandse machten,
organisaties of personen, met uitsluiting van contraspionage behalve wanneer het gaat om informatie
met betrekking tot internationale activiteiten van terroristen” (vrije vertaling van de auteur). Noteer dat
hieronder ook de zogenaamde signals intelligence of SIGINT valt, waarmee inlichtingen op basis van
elektronische signalen aangeduid worden. Het moge duidelijk zijn dat gegevens die in een cloud werden
opgeslagen hier integraal onder vallen.
16. Tevens is het belangrijk op te merken dat EO 12333 niet de medewerking van bijvoorbeeld een
cloudaanbieder oplegt om de gegevens te capteren, maar eerder een grondslag vormt voor het
eigengereide optreden van de inlichtingendiensten die met eigen – confidentiële – middelen de gegevens
trachten te onderscheppen.19 VERMEULEN merkt op dat voor de toepassing van de bevoegdheden onder
het EO 12333 bovendien de strengere procedurevereisten van de FISA (zie hieronder) niet van
toepassing zijn en dat het toezicht op activiteiten onder EO12333 zeer beperkt is.20 In principe zullen de
inlichtingendiensten enkel onderworpen zijn aan het toezicht door de Attorney General, en dan nog
enkel in die gevallen waar het gaat om het verzamelen van inlichtingen binnen de VS of betreffende
VS-onderdanen verblijvend in het buitenland (sectie 2.3 en 2.5). Voor buitenlandse inlichtingen in de
zin van sectie 3.4(f) is het toezicht nog beperkter en dienen in feite enkel de algemene principes van EO
12333 gevolgd te worden alsook de procedures a priori vastgelegd door de Attorney General en het
hoofd van de relevante inlichtingendienst.
17 Daaronder niet enkel de NSA begrepen, maar de hele inlichtingendienstengemeenschap, zie sectie 3.4(f). 18 Exec. Order No. 12333, 46 Fed. Reg. 59941 (Dec. 4, 1981). 19 J. N. TYE, “Meet Executive Order 12333: The Reagan rule that lets the NSA spy on Americans”, The
Washington Post 18 juli 2014, http://www.washingtonpost.com/opinions/meet-executive-order-12333-the-
reagan-rule-that-lets-the-nsa-spy-on-americans/2014/07/18/93d2ac22-0b93-11e4-b8e5-
d0de80767fc2_story.html. 20 M. VERMEULEN, supra voetnoot 14, p. 3.
9
§2. Foreign Intelligence Surveillance Act
17. De Foreign Intelligence Surveillance Act (kortweg: FISA) is een Amerikaanse wet daterende van
1978 die de procedures omschrijft om informatie te vergaren via fysieke en elektronische observatie,
alsook het bekomen van buitenlandse inlichtingen. De wet kwam er als een reactie op ongebreidelde
informatievergaring door de federale overheid in naam van nationale veiligheid. 21 De FISA werd
meerdere keren geamendeerd, onder meer door de niet onbesproken Patriot Act in 2001, de Protect
America Act (PAA) in 2007 en de FISA Amendments Act (FAA) in 2008. De verschillende
amendementen leidden ertoe dat heel wat bevoegdheden uit de oorspronkelijke FISA werden uitgebreid,
dan wel nieuwe toegevoegd. Zoals verder in onderdeel 2.3.4 zal worden besproken, is het nooit de
bedoeling geweest, noch in 1978 noch in latere amendementen om de rechten van niet-VS-burgers te
beschermen.
18. In het kader van dit advies is vooral 50 U.S.C. sectie 1881a van belang. De bevoegdheden uit deze
sectie zijn zeer algemeen. De autoriteiten kunnen zo onder meer elektronische
communicatiedienstverleners bevelen (i) informatie kwalificerend als foreign intelligence information
over te maken dan wel (ii) hun medewerking te verlenen bij het verkrijgen van dergelijke informatie.22
Elektronische communicatiedienstverleners die met een dergelijk bevel geconfronteerd worden, hebben
het recht om dit te betwisten voor de Foreign Intelligence Surveillance Court (kortweg: FISC). Indien
zij weigeren gehoor te geven aan het bevel, kunnen zij door de FISC gedwongen worden. Opdat de FISC
haar dwangbevoegdheid daadwerkelijk zou kunnen uitoefenen, moet de dienstverlener uiteraard in de
eerste plaats onderworpen zijn aan het Amerikaanse recht. De VS menen in dit verband dat zij bevoegd
zijn wanneer:23
de dienstverlener gevestigd is in de VS;
de dienstverlener een dochteronderneming of kantoor in de VS heeft;
de dienstverlener systematisch en met een zekere continuïteit zaken doet in de VS.
19. Met het amendement geïntroduceerd door de FAA werden de procedures met betrekking tot het
viseren van bepaalde personen buiten de VS die geen Amerikaans staatsburger zijn – zoals bepaald in
50 U.S.C. sectie 1881a – gewijzigd. Zo moet men niet langer specifieke doelwitten identificeren en komt
de autorisatie van specifieke observaties in feite te liggen bij de Attorney General (kortweg: AG) en de
21 Justice Information Sharing – US Department of Justice, “The Foreign Intelligence Surveillance Act of 1978”,
https://it.ojp.gov/default.aspx?area=privacy&page=1286. 22 Wat betreft de definities van de gebruikte begrippen, infra randnummers 20 en 21. Noteer dat de tekst van de
sectie, waar deze handelt over bevelen aan elektronische communicatiedienstverleners, letterlijk spreekt van
‘acquisition’ en niet ‘collection’ van foreign intelligence information, waarbij de eerste term begrepen dient te
worden als ‘collection’ gevolgd door verwerking zodat de verkregen gegevens begrepen kunnen worden. Eén en
ander vindt men terug in M. VERMEULEN, supra voetnoot 14, p. 4. 23 W. MAXWELL en C. WOLF, supra voetnoot 15, p. 5-6.
10
Director of National Intelligence (kortweg: DNI) en niet langer bij de FISC.24 De voornoemde sectie
bepaalt dat de AG en de DNI samen – voor een periode van maximaal 1 jaar vanaf het verlenen van de
autorisatie – het viseren van personen buiten de VS mogen autoriseren ter verkrijging van buitenlandse
inlichtingen (50 U.S.C. § 1181a (a)). Hiertoe moeten de AG en de DNI onder meer specifieke procedures
en richtlijnen vastleggen met betrekking tot het viseren van personen en minimalisatie.25 Ook moeten
zij een certificering voorleggen aan de FISC, die de toepasselijkheid en naleving van een aantal
voorwaarden zal nagaan, onder meer of het verkrijgen van de inlichtingen de medewerking vereist van
een elektronische communicatiedienstverlener (50 USC 1881a (g)(2)(A)(vi)). De FISC kan dan haar
goedkeuring hechten aan de jaarlijkse certificeringen.
20. De reikwijdte van de bevoegdheden onder de FISA wordt in belangrijke mate bepaald door de
invulling die de Amerikaanse wetgever geeft aan een aantal centrale concepten. Het concept van
elektronische communicatiedienstverlener in de zin van de FISA is bijvoorbeeld ruimer dan wat men er
traditioneel in de EU zou onder verstaan op grond van artikel 2 van de Kaderrichtlijn (2002/21/EG).26
Zo bepaalt 50 U.S.C. sectie 1881 (b)(4)(C) jo 18 U.S.C. sectie 2711 (2) dat onder dit begrip ook de
remote computing services vallen, die men definieert als het publiek aanbieden van computeropslag en
–verwerkingsdiensten via een systeem van elektronische communicatie (vrije vertaling van de auteur).
Gelet op deze omvattende invulling van het begrip van ‘elektronische communicatiedienstverlener’
vallen clouddiensten integraal binnen het toepassingsgebied van men 50 U.S.C. sectie 1881a. VAN
HOBOKEN et al. onderstrepen in dit verband het technologie-neutrale karakter van de amendementen
doorgevoerd op basis van de FAA, in tegenstelling tot de oorspronkelijke FISA die een onderscheid
maakte naargelang de technologie gebruikt om de gegevens te transporteren.27
21. Met de bevoegdheden in 50 U.S.C. sectie 1881a tracht men foreign intelligence information (hierna:
informatie m.b.t. buitenlandse inlichtingen) te vergaren. Dit begrip dekt evenwel niet helemaal dezelfde
lading als het begrip foreign intelligence uit EO 12333. 50 U.S.C. sectie 1801 (e) definieert foreign
intelligence information als:28
(1) informatie die betrekking heeft op, en waar deze een staatsburger van de VS betreft
noodzakelijk is voor, de capaciteit van de VS om zich te verdedigen tegen:
(A) een daadwerkelijke of potentiële aanval of andere ernstige vijandelijke
gedragingen van een buitenlandse macht of diens uitvoeringsagent;
24 L. C. RINEHART, “Clapper v. Amnesty International USA: Allowing the FISA Amendments Act of 2008 to Turn
‘Incidentally’ into ‘Certainly’”, Maryland Law Review 2014, Vol. 73, 1020-1021. 25 Procedures die opnieuw gericht zijn op de bescherming van Amerikaanse burgers, cfr. infra. 26 Richtlijn van het Europees Parlement en de Raad 2002/21/EG, 7 maart 2002 inzake een gemeenschappelijk
regelgevingskader voor elektronische communicatienetwerken en –diensten, Pb.L. 24 april 2004, afl. 108, p. 33. 27 J. VAN HOBOKEN, A. ARNBAK en N. VAN EIJK, “Cloud diensten in hoger onderwijs en onderzoek en de USA
Patriot Act”, Instituut voor Informatierecht IViR september 2012, p. 17,
http://www.ivir.nl/publicaties/download/686. 28 Vrije vertaling door de auteur.
11
(B) sabotage, internationaal terrorisme, of de internationale proliferatie van
massavernietigingswapens door een buitenlandse macht of diens uitvoeringsagent;
(C) clandestiene inlichtingenactiviteiten van een inlichtingendienst of netwerk van
een buitenlandse macht of diens uitvoeringsagenten; of
(2) informatie die betrekking heeft op een buitenlandse macht of buitenlands territorium
dewelke verband houdt met, en waar het een staatsburger van de VS betreft
noodzakelijk is voor:
(A) de nationale verdediging of de veiligheid van de VS; of
(B) het voeren van buitenlandse betrekkingen van de VS.
Het begrip gehanteerd in EO 12333 is duidelijk ruimer in die zin dat er nergens specifiek gewag wordt
gemaakt van enig strategisch belang voor de VS met betrekking tot de buitenlandse inlichtingen. De
definitie gehanteerd in de FISA daarentegen vereist wel dat een dergelijk belang voor handen is om te
kunnen spreken van informatie m.b.t. buitenlandse inlichtingen. Men kan echter niet ontsnappen aan de
observatie dat ook de FISA een breed materieel toepassingsgebied zal hebben, zeker gelet op het
bepaalde in paragraaf (2) van 50 U.S.C. sectie 1801 (e). Er is immers heel wat ruimte voor interpretatie
over wat juist noodzakelijk zal zijn voor de nationale verdediging of de veiligheid van de VS.29 Zo is
het niet vereist dat er effectief sprake is van feiten waarbij een buitenlandse persoon, overheid of
uitvoeringsagent van een overheid inbreuken zou hebben begaan tegen de nationale veiligheidsbelangen
van de VS, noch dat er misdrijven zijn gepleegd opdat de VS de FISA bevoegdheden zouden kunnen
inroepen.30 Ook moet men geen specifieke doelwitten bepalen, maar kan men volstaan met algemenere
doelwitten te viseren (zoals bv. de Vlaamse overheid).
22. Een andere relevante bepaling uit de FISA is 50 U.S.C. sectie 1861, dewelke het hoofd van de FBI
of zijn gedelegeerde toelaat om de rechter te vragen toegang te bevelen tot bepaalde bedrijfsgegevens
in het kader van een onderzoek naar buitenlandse inlichtingen door overdracht van bepaalde zaken.31
Opnieuw wordt de brede doelstelling van het bekomen van informatie m.b.t. buitenlandse inlichtingen
als motivatie voor het verzoek vooropgesteld, wat wijst op een zeer brede toepassing van de voornoemde
sectie.32 Daarenboven wordt verwezen naar de richtlijnen die de Attorney General kan uitvaardigen op
grond van EO 12333 als kader voor het uitoefenen van deze opvorderingsbevoegdheid, wat doet
vermoeden dat enige bescherming voor gegevens van buitenlanders niet direct voor handen zal zijn.
29 M. VERMEULEN, supra voetnoot 14, p. 5. 30 J. VAN HOBOKEN et al., supra voetnoot 27, p. 18. 31 50 U.S.C. § 1861 (a)(1). De wet spreekt van ‘tangible thing’ dat hier ook elektronische gegevens kan omvatten:
E. BAZAN, “The Foreign Intelligence Surveillance Act: An Overview of the Statutory Framework and U.S. Foreign
Intellignece Surveillance Court and U.S. Foreign Intelligence Surveillance Court of Review Decisions”, CRS
Report for Congress 15 februari 2007, 63, http://fas.org/sgp/crs/intel/RL30465.pdf. 32 Noteer dat de Patriot Act eerst een beperkter opzet voor ogen had, in die zin dat het moest gaan om een onderzoek
naar terrorisme of spionageactiviteiten, maar om redenen van consequentie met paragraaf (b) van dezelfde sectie
werd dit later uitgebreid naar het vergaren van informatie m.b.t. buitenlandse inlichtingen die geen betrekking
heeft op een staatsburger van de VS: E. BAZAN, supra voetnoot 31, p. 62.
12
Diegene aan wie het rechterlijk bevel op grond van 50 U.S.C. sectie 1861 wordt opgelegd is op basis
van paragraaf (d) onderworpen aan een geheimhoudingsplicht. Met andere woorden, indien een
cloudaanbieder onderworpen aan Amerikaans recht op verzoek van de FBI een dergelijk bevel opgelegd
krijgt, dan moet hij de gegevens die het voorwerp van het bevel uitmaken overmaken zonder dit aan de
buitenlandse klant te melden.
23. De bevoegdheid omschreven in de vorige paragraaf niet verward mag worden met de bevoegdheden
van de FBI om in bepaalde gevallen zogenaamde national security letters (kortweg: NSLs) uit te
vaardigen. Deze speciale categorie van administratieve dwangbevelen kunnen – zonder rechterlijke
tussenkomst – gebruikt worden door het hoofd van de FBI of zijn gedelegeerde om bepaalde metadata
rechtstreeks op te vorderen bij elektronische communicatiedienstverleners (zie de bespreking van de
ECPA hieronder).33 Gegevens die men op basis van de NSLs kan bekomen zijn onder meer naam, adres
en duurtijd van de dienst. De FBI kan enkel van deze bevoegdheid gebruik maken in het kader van een
onderzoek naar terrorisme of spionageactiviteiten en kan de dienstverlener een geheimhoudingsplicht
opleggen.34 Op basis van deze bevoegdheid zal men evenwel nooit toegang kunnen krijgen tot de inhoud
van de gegevens.35
§3. Electronic Communications Privacy Act
24. De Electronic Communications Privacy Act (kortweg: ECPA) is een wet die in het bijzonder de
overheidsbevoegdheden omtrent tappen regelt. Het is dus niet meteen een wet die zich situeert in de
sfeer van de inlichtingendiensten, maar eerder in de sfeer van criminaliteitsbestrijding door politie en
justitie (let evenwel op het bepaalde onder het vorige randnummer). Op grond van 18 U.S.C. sectie 2703
(b), ingevoerd in de ECPA door de Stored Communications Act (kortweg: SCA), kan een
overheidsdienst een aanbieder van remote computing services 36 verplichten om de inhoud van
opgeslagen informatie vrij te geven, al dan niet met verplichte melding aan de betrokkene. Men kan dit
bevel richten tot de aanbieder op drie manieren: (i) op basis van een huiszoekingsbevel (vergelijkbaar
met het Belgische huiszoekingsbevel; geen melding a priori aan de betrokkene), (ii) rechtstreeks door
de overheidsdienst op basis van een administratief dwangbevel (wel verplicht a priori melding aan de
betrokkene) of (iii) op basis van een specifiek gerechtelijk bevel op grond van 18 U.S.C. sectie 2703
(d). In het laatste geval moet de overheidsdienst aantonen dat de gegevens (inhoud dan wel metadata)
relevant en instrumenteel zijn in een lopend strafrechtelijk onderzoek (ook verplichte melding a priori
aan de betrokkene). Met andere woorden, er staan drie wegen open voor de overheidsdiensten om op
basis van 18 U.S.C. sectie 2703 (b) kennis te nemen van inhoud die werd opgeslagen in de cloud.
33 Dit op grond van 18 U.S.C. § 2709. 34 18 U.S.C. § 2709 (b) en (c). 35 W. MAXWELL en C. WOLF, supra voetnoot 15, p. 5. 36 De definitie van dit concept werd reeds geciteerd in randnummer 20.
13
25. Om kennis te kunnen nemen van de inhoud van emailberichten opgeslagen in de cloud moeten
overheidsdiensten het bepaalde in 18 U.S.C. 2703 (a) respecteren, hetgeen inhoudt dat men een
onderscheid moet maken naargelang de tijd dat het bericht is opgeslagen. Is het bericht opgeslagen voor
180 dagen of minder, dan moet men een huiszoekingsbevel bekomen. Is het bericht reeds opgeslagen
voor meer dan 180 dagen, dan kan men gebruik maken ofwel van een administratief bevel dan wel van
een gerechtelijk bevel op basis van 18 U.S.C. sectie 2703 (d). MAXWELL et al. geven aan dat er reeds
gezaghebbende rechtspraak is die meent dat om van de inhoud van emailberichten opgeslagen in de
cloud kennis te kunnen nemen steeds een huiszoekingsbevel nodig is, ongeacht de periode dat de
berichten reeds opgeslagen werden.37
26. Op grond van 18 U.S.C. 2703 (c) kunnen overheidsdiensten eveneens metadata opvorderen van
cloudaanbieders. Indien de overheidsdiensten zulks rechtstreeks vorderen via een administratief bevel,
dan kunnen zij enkel vragen om een aantal types van metadata (naam en adres betrokkene, duurtijd van
de dienst, betalingsgegevens voor de dienst etc.). Wordt evenwel een huiszoekingsbevel bekomen dan
wel een bevel op basis van 18 U.S.C. sectie 2703 (d), dan worden de gegevenstypes niet limitatief
omschreven, zij het dat het nog steeds moet gaan om metadata. In de hypothesen omschreven in deze
paragraaf moet de overheidsdienst de betrokkene niet op de hoogte brengen van het bevel.
27. Noteer tot slot van dit onderdeel dat de ECPA cloudaanbieders formeel verbiedt om vrijwillig
informatie betreffende de inhoud van opgeslagen gegevens over te maken aan overheidsdiensten tenzij
een aantal limitatief opgesomde uitzonderingen, waaronder deze omschreven in de vorige paragrafen.38
2.2.3 Beschermingsbepalingen in het recht van de VS
28. Uit het vorige onderdeel blijkt duidelijk dat het Amerikaanse recht bijzonder ruime bevoegdheden
tot kennisname voorziet voor overheidsdiensten ten aanzien van informatie opgeslagen in de cloud door
buitenlandse mogendheden. Men kan zich dan ook afvragen of er in het Amerikaanse recht dan geen
enkele bescherming bestaat voor entiteiten zoals de Vlaamse overheid of Belgische onderdanen om zich
te verweren tegen deze bevoegdheden.
29. VAN HOBOKEN et al. geven expliciet aan dat buitenlandse individuen al geenszins aanspraak kunnen
maken op de constitutionele bescherming die Amerikaanse staatsburgers genieten op grond van het
Fourth Amendment.39 Het Fourth Amendment van de Amerikaanse Grondwet legt het recht van de
mensen vast om zich beschermd te weten in hun persoon, huis, briefwisseling, en eigendom tegen
onredelijke zoekingen en inbeslagnames. Het is met andere woorden het grondrecht dat bescherming
biedt tegen excessieve overheidsinmenging in het privéleven. Vaststaande rechtspraak van het
37 W. MAXWELL en C. WOLF, supra voetnoot 15, p. 4. 38 18 U.S.C. § 2702. 39 J. VAN HOBOKEN et al., supra voetnoot 27, p. 12.
14
Amerikaanse Hooggerechtshof is echter in deze zin gevestigd dat het Fourth Amendment niet geldt ten
aanzien van buitenlanders.40 Zij kunnen er geen aanspraak op maken.
30. Dit betekent evenwel niet dat het Amerikaanse recht helemaal geen bescherming biedt, enkel dat
deze niet van grondwettelijke aard zal zijn. MAXWELL en WOLF citeren, specifiek met betrekking tot
clouddiensten, een relatief recent arrest gewezen door een gezaghebbend Amerikaans Hof van Beroep.41
In de zaak die het Hof werd voorgelegd betwiste Microsoft een vordering tot overlegging van e-mails
uit een Hotmail-account van een Indisch staatsburger.42 Het Hof besloot dat de bescherming geboden
door de ECPA in secties 18 U.S.C. §§ 2510-2522 ook gold voor deze buitenlander. Indien deze
rechtspraak breder gevolgd wordt en tot vaststaande rechtspraak uitgroeit, zou dit kunnen betekenen dat
Belgen aanspraak kunnen maken op bescherming geboden in statutaire wetgeving zoals de ECPA.
Buitenlandse overheidsdiensten zoals de Vlaamse zullen echter steeds geconfronteerd worden met de
bepalingen uit EO 12333 en de FISA die zo duidelijk gericht zijn op het vergaren van buitenlandse
inlichtingen dat van enige bescherming geen sprake zal zijn. Ze kunnen enkel hopen dat Amerikaanse
cloudaanbieders waar zij eventueel gegevens aan hebben toevertrouwd zich verzetten tegen een bepaald
bevel, zoals dit onder meer mogelijk is onder de FISA (supra randnummer 18).
2.2.4 Rechtshulpverdragen
31. Volledigheidshalve wordt nog kort ingegaan op een laatste mogelijkheid voor de Amerikaanse
overheid om toegang te krijgen tot bepaalde overheidsgegevens opgeslagen in een cloud, met name via
rechtshulpverdragen.43 Zowel de EU als België sloten met de VS reeds verdragen met als opzet het
wederzijds verlenen van rechtshulp in strafzaken. 44 Deze beide verdragen werden door België
geratificeerd en hebben bijgevolg kracht van wet.45
40 United States v. Verdugo-Urquidez, 494 U.S. 259 (1990) 41 W. MAXWELL en C. WOLF, supra voetnoot 15, p. 6. 42 Suzlon Energy Ltd. v. Microsoft Corp., 671 F.3d 726 (9th Cir. 2011) 43 W. MAXWELL en C. WOLF, supra voetnoot 15, p. 3-4; A. LAKATOS, “The USA Patriot Act and the Privacy of
Data Stored in the Cloud”, Business & Technology Sourcing Review 18 januari 2012,
http://www.mayerbrown.com/publications/The-USA-Patriot-Act-and-the-Privacy-of-Data-Stored-in-the-Cloud-
01-18-2012/. 44 Overeenkomst betreffende wederzijdse rechtshulp in strafzaken tussen de Europese Unie en de Verenigde Staten
van Amerika van 25 juni 2003, Pb.L. 19 juli 2003, afl. 181 (hierna: multilateraal rechtshulpverdrag);
Overeenkomst tussen het Koninkrijk België en de Verenigde Staten van Amerika aangaande de rechtshulp in
strafzaken, BS 8 december 1999, 45434 (hierna: bilateraal rechtshulpverdrag). 45 Wet 4 maart 1998 houdende instemming met de Overeenkomst tussen het Koninkrijk België en de Verenigde
Staten van Amerika aangaande de rechtshulp in strafzaken, en Bijlage, ondertekend te Washington op 28 januari
1988, BS 8 december 1999, 45434; Wet 30 juni 2009 houdende instemming met volgende Internationale Akten:
1) Overeenkomst betreffende wederzijdse rechtshulp in strafzaken tussen de Europese Unie en de Verenigde Staten
van Amerika, gedaan te Washington D.C. op 25 juni 2003, 2) Instrument, gedaan te Brussel op 16 december 2004,
als bedoeld in artikel 3, lid 2, van de Overeenkomst betreffende wederzijdse rechtshulp in strafzaken tussen de
Europese Unie en de Verenigde Staten van Amerika, gedaan op 25 juni 2003, met betrekking tot de toepassing
van de Overeenkomst tussen het Koninkrijk België en de Verenigde Staten van Amerika aangaande de rechtshulp
in strafzaken, ondertekend op 28 januari 1988, BS 8 maart 2010, 14512.
15
32. Indien de Amerikaanse overheidsdiensten informatie of inlichtingen wensen te bekomen die de
Vlaamse overheid onder zich houdt in een cloud, dan zal in de eerste plaats artikel 5 van het bilateraal
rechtshulpverdrag relevant zijn. Dit artikel bepaalt dat, ter opsporing, vervolging en bestraffing van
misdrijven, de verzoekende Staat (in onze hypothese de VS) de aangezochte Staat (in casu België) kan
vragen alle inlichtingen en alle voorwerpen (inclusief stukken of dossiers) in het bezit van een
overheidsbestuur of –instelling over te leggen. Men kan dit vragen voor zowel publiek toegankelijke als
niet-publiek toegankelijke inlichtingen en voorwerpen.
33. Voor wat betreft de niet-publiek toegankelijke inlichtingen en voorwerpen zal de aangezochte Staat
de overlegging aan dezelfde voorwaarden kunnen onderwerpen als deze waaraan – in casu de Belgische
– justitie zich moet houden om tot deze zaken toegang te krijgen. De aangezochte Staat zal voor dit type
van inlichtingen en voorwerpen het verzoek kunnen weigeren, bijvoorbeeld omdat het verzoek een
aantasting betekent van de soevereiniteit, de veiligheid of andere wezenlijke algemene belangen van de
aangezochte Staat (art. 13 bilateraal rechtshulpverdrag én multilateraal rechtshulpverdrag). Artikel 9, 2
multilateraal rechtshulpverdrag bepaalt bovendien dat de aangezochte Staat in een concrete zaak
voorwaarden zal kunnen stellen aan het gebruik van door haar overgelegd bewijsmateriaal en informatie.
Met andere woorden, hoewel de VS de rechtshulpverdragen kunnen inroepen om in welbepaalde
omstandigheden toegang te krijgen tot overheidsgegevens in de cloud, zal de Vlaamse overheid a) daar
steeds van op de hoogte zijn, en b) bepaalde weigeringsgronden kunnen inroepen indien deze gegevens
de belangen uit artikel 13 bilateraal rechtshulpverdrag betreffen.
16
2.3 VERTROUWELIJKHEIDSVEREISTEN VOOR OVERHEIDSGEGEVENS
2.3.1 Algemeen
34. Vertrouwelijkheidsvereisten voor (Vlaamse) overheidsgegevens vindt men in zeer uiteenlopende
rechtstakken en ter bescherming van uiteenlopende belangen. Dit amalgaam van regels noopt ons ertoe
om toch een bepaalde selectie te maken bij het in kaart brengen van de meest relevante verplichtingen.
Het zou immers onmogelijk zijn om a priori en onafhankelijk van de concrete implementatie een
volledig exhaustief overzicht te geven van alle toepasselijke bepalingen. Dit advies zal zich daarom
richten op een aantal eerder algemene vertrouwelijkheidsplichten en tweetal specifieke
vertrouwelijkheidsplichten bij wijze van illustratie.46 Het gaat dan met name om (1) persoonsgegevens,
(2) gegevens in authentieke gegevensbronnen, (3) gegevens uit het Rijksregister en (4) geografische
gegevens.
2.3.2 Persoonsgegevens47
§1. Toepassingsgebied en rolverdeling
35. De categorie van persoonsgegevens is – gelet op de definitie in artikel 1, §1 WVP – bijzonder ruim.
Dit maakt dat de wet van toepassing zal zijn in heel wat scenario’s van opslag van overheidsgegevens
in de cloud. Bovendien legt de wet verplichtingen met betrekking tot de verwerking van
persoonsgegevens op aan een generische categorie van onderhorigen. We bedoelen hiermee dat de
verplichtingen van de wet nageleefd moeten worden voor ieder die de wet aanmerkt als
verantwoordelijke voor de verwerking.48 Voor de meeste persoonsgegevens waarover de overheid het
beheer voert, zal zij als verantwoordelijke gekwalificeerd kunnen worden. Dit impliceert dat in dat geval
de verplichtingen van de WVP integraal van toepassing zijn voor Vlaamse overheidsdiensten die
persoonsgegevens wensen op te slaan in een cloud.
36. De cloudaanbieder zal doorgaans optreden als verwerker.49 Hoewel de meeste verplichtingen onder
de WVP op de verantwoordelijke rusten, zijn er toch een aantal eisen die de wet stelt aan de verwerker.
46 We merken op dat er een overlap kan bestaan tussen het toepassingsgebied van de verschillende
vertrouwelijkheidsplichten. Zo zal een Rijksregisternummer een persoonsgegeven én een authentiek gegeven zijn,
en hetzelfde geldt voor bepaalde geografische gegevens. 47 Persoonsgegevens worden in België in hoofdzaak beschermd door artikel 22 van de Grondwet en de Wet van 8
december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van
persoonsgegevens (hierna: WVP).47 In onderhavig advies zal voornamelijk de WVP besproken worden, met waar
nodig terugkoppeling naar relevante inzichten op Europees niveau. Volledigheidshalve merken we op dat er ook
internationaalrechtelijke normen zijn die geacht worden directe werking te hebben en bijgevolg in de Belgische
juridische orde bescherming bieden van bepaalde grondrechten. Een voorbeeld is artikel 8 EVRM. 48 Art. 1, §4 WVP: “Onder ‘verantwoordelijke voor de verwerking’ wordt de natuurlijke of rechtspersoon, de
feitelijke vereniging of het openbaar bestuur verstaan die alleen of samen met anderen het doel en de middelen
voor de verwerking van persoonsgegevens bepaalt”. 49 Art. 1, §5 WVP: “Onder ‘verwerker’ wordt de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of
het openbaar bestuur verstaan die ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens
17
Deze verplichtingen worden normalerwijze opgenomen in de verwerkingsovereenkomst met de
verantwoordelijke, wat betekent dat inbreuken van de verwerker op zijn verplichtingen aanleiding geven
tot een contractuele aansprakelijkheid.50 De klant-verantwoordelijke moet van de aanbieder-verwerker
bijgevolg bepaalde garanties bekomen in de overeenkomst tussen beide partijen. Er rust evenwel een
zelfstandige wettelijke verplichting op de verwerker om de veiligheid van de persoonsgegevens te
waarborgen op grond van artikel 16, §4 WVP.
Bevat een cloudoplossing diensten van verschillende aanbieders die elk een deel van de verwerking voor
hun rekening zullen nemen, dan moeten de wettelijke waarborgen contractueel met ieder van hen
geregeld worden. Noteer dat men dit als klant rechtstreeks met ieder van hen zou kunnen doen dan wel
in een onderaannemingsstructuur. In deze laatste hypothese zal er sprake zijn van een
verwerkingsovereenkomst met een hoofdaanbieder waarin de onderaanneming wordt voorzien. De
hoofdaanbieder zal dan bepaalde deelverwerkingen uitbesteden aan onderaanbieders en daartoe met
ieder van hen verwerkingsovereenkomsten sluiten die de wettelijk verplichte waarborgen uit de
hoofdovereenkomst overnemen.51 Het spreekt voor zich dat bij complexe cloudoplossingen dergelijke
structuren meer zullen voorkomen. De verplichtingen met betrekking tot de veiligheid van de
persoonsgegevens op grond van artikel 16, §4 WVP gelden onverminderd voor iedere verwerker,
ongeacht de aard van de contractuele relatie met de verantwoordelijke.
37. De partner (zie randnummer 10) zal afhankelijk van het scenario maar in aanraking komen met de
persoonsgegevens en eventueel als verwerker aangemerkt moeten worden. In dat geval zal de klant-
verantwoordelijke ook met hem een verwerkingsovereenkomst dienen af te sluiten die de wettelijke
waarborgen dekt. Merk op dat de partner als tussenpersoon de klant-verantwoordelijke kan assisteren
bij de keuze voor de meest geschikte cloudoplossing rekening houdend met de verplichtingen onder de
WVP.
§2. Verplichtingen gesteld aan de verwerker(s)52
38. De belangrijkste verplichtingen uit de WVP die betrekking hebben op de confidentialiteit van de
gegevens verwerkt door een verwerker vindt men terug in artikel 16 van de wet, al moet men vaststellen
dat de verplichtingen eerder van een algemene aard zijn. Zo bepaalt artikel 16 WVP dat:
verwerkt, met uitsluiting van de personen die onder rechtstreeks gezag van de verantwoordelijke voor de
verwerking gemachtigd zijn om de gegevens te verwerken”. 50 Noteer dat artikel 38 WVP het niet opnemen van deze verplichtingen in de verwerkingsovereenkomst zelfs
strafbaar stelt. 51 Groep Gegevensbescherming Artikel 29, “Advies 05/2012 over cloud computing”, WP 196, 1 juli 2012, p. 11,
http://www.privacycommission.be/sites/privacycommission/files/documents/G29-advies-cloud-
computing_0.pdf. 52 Voor wat betreft persoonsgegevens bijgehouden in authentieke bronnen in de zin van artikel 2 van het Decreet
van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer, verwijzen we naar het volgende
onderdeel.
18
de verwerker contractueel waarborgen moet bieden m.b.t. de technische en organisatorische
beveiligingsmaatregelen (art. 16, §1, 1° WVP) en deze maatregelen minstens moeten
beschermen tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals
tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van
persoonsgegevens (art. 16, §4, eerste lid WVP);
het beveiligingsniveau van de te nemen maatregelen passend moet zijn gelet op de stand van
de techniek, de kosten, de aard van de te beveiligen gegevens en de potentiële risico’s (art. 16,
§4, tweede lid WVP);
de verantwoordelijke en de verwerker overeenkomen dat de verwerker handelt in opdracht van
de verantwoordelijke en gebonden is door dezelfde verplichtingen als deze waartoe de
verantwoordelijke in toepassing van paragraaf 3 is gehouden (art. 16, §1, 4° WVP);
de verwerking door de verwerker maar mag geschieden in opdracht van de verantwoordelijke,
tenzij er sprake is van een verplichting door of krachtens een wet, een decreet of een ordonnantie
(art. 16, §3 WVP).
39. Gelet op het bepaalde in artikel 16, kan men zich eerst en vooral afvragen wat de technische en
organisatorische waarborgen concreet zijn die een cloudaanbieder moet kunnen voorleggen en hoe men
deze als klant contractueel kan afdwingen. Eerst en vooral valt op dat voornoemde waarborgen inherent
moeten zijn aan de gekozen cloudoplossing en de implementatie daarvan in de concrete
organisatieprocessen. De waarborgen staan los van de externe juridische realiteit waarmee de aanbieder
zich geconfronteerd weet.53 Dit betekent dat bijvoorbeeld een Amerikaanse cloudaanbieder de nodige
technische en organisatorische waarborgen kan voorleggen voor zijn dienst, ook al bestaat de kans dat
deze aanbieder geconfronteerd wordt met een geldig gerechtelijk bevel tot toegang.
De Belgische Privacycommissie heeft richtsnoeren uitgebracht die de veiligheidsmaatregelen verder
concretiseren op basis van ISO standaarden.54 Om vorm te geven aan de wettelijke vereiste van artikel
16, §4, eerste lid WVP – met name dat de verwerker bescherming moet voorzien tegen onrechtmatige
toegang – kan men overeenkomstig richtsnoer 7 “cryptografische beheersmaatregelen” nemen.55 De
Groep Gegevensbescherming Artikel 29 (hierna: WG29) meent dat men – zeker wanneer men opteert
53 Steun voor dit standpunt wordt gevonden in Aanbeveling nr. 01/2013 van 21 januari 2013 van de Commissie
voor de bescherming van de persoonlijke levenssfeer, waar zij een aantal concrete richtlijnen uitstippelt
aangaande welke technische en organisatorische waarborgen men in uitvoering van artikel 16, §1, 1° zowel zou
kunnen implementeren maar het belang aanstipt van het volgen van veiligheidsstandaarden zoals ISO 27002. Zie
in het bijzonder randnummers 6 en 7 van voornoemde Aanbeveling 01/2013,
http://www.privacycommission.be/sites/privacycommission/files/documents/aanbeveling_01_2013.pdf, alsook
ter illustratie de conformiteitsverklaring voor de federale overheid
http://www.privacycommission.be/nl/node/15809. 54 Commissie voor de bescherming van de persoonlijke levenssfeer, “Richtsnoeren met betrekking tot de
informatiebeveiliging van persoonsgegevens”, december 2014,
http://www.privacycommission.be/sites/privacycommission/files/documents/Richtsnoeren_CBPL_V%202%200
_3.pdf. 55 Ibid. 54, p. 13. Dit richtsnoer komt overeen met ISO 27002 – 10 cryptografie.
19
voor een IaaS-opslagdienst – moet overwegen om de persoonsgegevens te encrypteren vooraleer men
ze naar de cloud brengt. De WG29 raadt dus af om te rekenen op de encryptieoplossing aangeboden
door de cloudaanbieder.56 Men moet immers zeker zijn dat de encryptiesleutels van gegevens in rust
correct beheerd kunnen worden. Verder moet men er volgens de WG29 voor zorgen dat ook de
communicatie tussen aanbieder en klant geëncrypteerd verloopt en dat men adequate autorisatie- en
authenticatiemechanismen voorziet. Bij dit alles moet men steeds de afweging maken of het
nagestreefde beveiligingsniveau passend is op basis van een kosten-baten analyse.
Dit alles impliceert dat men als cloudaanbieder toch nog afdoende technische en organisatorische
waarborgen kan bieden ondanks de eventuele bevoegdheden van buitenlandse overheden zoals die
omschreven in het vorige onderdeel.57
40. De Privacycommissie meent dat maar aan de vereisten van artikel 16 WVP voldaan wordt wanneer
de Vlaamse overheidsdiensten erover waken dat de cloudaanbieder en al diens onderaannemers het
veiligheidsbeleid en de veiligheidsregels van de overheid respecteren.58 In principe kan men perfect in
de overeenkomst met de cloudprovider stipuleren dat de dienst in overeenstemming met dit beleid en
deze regels zal worden geleverd. Het wordt maar problematisch wanneer de cloudaanbieder werkt met
standaardcontracten en de klant zich niet in een echte onderhandelingspositie bevindt. Dit is
bijvoorbeeld dikwijls het geval bij grote Amerikaanse aanbieders van publieke clouddiensten.
Dergelijke standaardcontracten kunnen net zozeer een hindernis vormen bij de naleving van de
verplichting uit artikel 16, §1, 4° WVP (zie randnummer 38).
Wanneer de standaardovereenkomst is opgesteld in lijn met de modelclausules zoals vastgelegd op
Europees niveau, zal het laatste probleem eerder beperkt zijn.59 Ook wanneer de standaardovereenkomst
expliciet voorziet dat de verwerker uitsluitend handelt in opdracht van de verantwoordelijke en zich zal
houden aan de wettelijke verplichtingen, is er van dit laatste probleem geen sprake meer. Men sluit
immers een geldige overeenkomst zelfs al gaat het om een standaardovereenkomst. De essentie bestaat
erin dat de wettelijke verplichte vermeldingen er ook effectief instaan. Het zal evenwel moeilijker zijn
om volledige overeenstemming te bekomen tussen de standaardovereenkomst en het veiligheidsbeleid.
56 WG29, supra voetnoot 51, p. 18. 57 Zo heeft Microsoft recent bekend gemaakt dat het Britse standaardisatie-instituut BSI bevestigd heeft dat de
cloudloplossingen Azure en Office 365 van het bedrijf in overeenstemming zijn met de ISO 27018 standaard, waar
ook de Belgische Privacycommissie zich op geïnspireerd heeft bij de opmaak van haar richtsnoeren: B. SMITH,
“Microsoft adopts first international cloud privacy standard”, Microsoft on the Issues 16 februari 2015,
http://blogs.microsoft.com/on-the-issues/2015/02/16/microsoft-adopts-first-international-cloud-privacy-standard/
(consultatie 4 maart 2015); Commissie voor de bescherming van de persoonlijke levenssfeer, supra voetnoot 54,
p. 7. 58 Commissie voor de bescherming van de persoonlijke levenssfeer, supra voetnoot 53, p. 6. Voor het
veiligheidsbeleid van de Vlaamse overheid, zie http://www.bestuurszaken.be/ict-veiligheidsbeleid-1. 59 Microsoft heeft bijvoorbeeld bevestiging gekregen van de WG29 dat de verwerkingsovereenkomst van het
bedrijf in lijn ligt met de modelclausules: Brief van de WG29 aan Microsoft van 2 april 2014,
http://ec.europa.eu/justice/data-protection/article-29/documentation/other-
document/files/2014/20140402_microsoft.pdf.
20
Bijgevolg kan men overwegen, indien men volledig wil voldoen aan de aanbeveling van de
Privacycommissie (die overigens geen kracht van wet heeft), om persoonsgegevens niet op te slaan in
cloudoplossingen waarvoor men enkel een standaardovereenkomst kan afsluiten die niet volledig in
overeenstemming is met het veiligheidsbeleid.
41. We merkten reeds op dat de overeenkomst tussen de Vlaamse overheid en een cloudaanbieder zal
moeten vermelden dat deze laatste zich als verwerker zal houden aan de opdracht van de Vlaamse
overheid als verantwoordelijke. De verwerker zal bepaalde verwerkingen echter ook mogen stellen
wanneer deze worden opgelegd door een wet, decreet of ordonnantie. Het gaat hier uiteraard om een
wet, decreet of ordonnantie uit de Belgische rechtsorde; een Amerikaanse cloudaanbieder zal het
Amerikaans recht niet kunnen inroepen om bijvoorbeeld gegevens over te dragen aan de overheid.
Immers, het moet voor de Belgische rechtsonderhorige voorzienbaar blijven welke beperkingen de wet
stelt aan de bescherming van zijn persoonsgegevens60, en daarbij wordt hij niet verondersteld het
Amerikaanse recht te kennen.
De hierboven besproken rechtshulpverdragen zijn beide integraal deel van het Belgisch recht. In principe
kunnen zij dus beperkingen stellen aan het recht op bescherming van persoonsgegevens. Dit betekent
dat ze een kennisname door de Amerikaanse overheid van Belgische persoonsgegevens in de cloud
kunnen schragen. Men dient evenwel op te merken dat:
a) de toepassing van een rechtshulpverdrag niet impliceert dat buitenlandse
kennisnamebevoegdheden het interne recht zijdelings binnensluipen, maar dat de enige geldige
kennisnamebevoegdheden deze zijn die vermeld worden in het rechtshulpverdrag (dat overigens
uitdrukkelijk aangeeft dat de bevoegdheden maar zover gaan als deze die gelden voor de justitie
van de aangezochte Staat voor wat betreft niet-publiek toegankelijke gegevens, cfr. randnummer
33);
b) de rechtshulpverdragen geenszins een verwerker toelaten om bepaalde stukken of voorwerpen
op eigengereide wijze over te leggen, maar dat men steeds de geëigende kanalen via de Centrale
Overheid (in België de Minister van Justitie) dient te volgen.
Bijgevolg moet men concluderen dat de rechtshulpverdragen weliswaar indirect toegang kunnen
verschaffen tot persoonsgegevens in de cloud, maar dat de cloudaanbieder als verwerker deze verdragen
geenszins zal kunnen inroepen om over te gaan tot een verwerking buiten de uitdrukkelijke opdracht
van de verantwoordelijke op grond van artikel 16, §3 WVP en op die manier persoonsgegevens over te
leggen aan de Amerikaanse overheid.
60 Dit volgt noodzakelijkerwijze uit de grondwettelijke aard van het recht dat de wet hier beschermd, zoals
overigens expliciet gesteld door artikel 2 WVP, en het legaliteitsbeginsel dat geldt wanneer men een grondwettelijk
recht in een democratische samenleving wenst te beperken.
21
42. Gelet op al wat hierboven reeds werd gesteld, zou men zich de vraag kunnen stellen of de Vlaamse
overheid de Amerikaanse cloudaanbieders of de cloud in zijn geheel niet beter volledig links laat liggen
voor wat betreft de verwerking van persoonsgegevens. Het antwoord op deze vraag is genuanceerd en
zal overigens variëren naargelang het type van persoonsgegeven. De fysieke locatie van de gegevens is
hierbij één element dat dikwijls ter sprake komt, maar in feite volstrekt irrelevant is in het licht van de
bevoegdheden besproken in onderdeel 2.2.61 Immers, de aanknoping met het Amerikaanse recht is reeds
voorhanden zodra een cloudaanbieder een voldoende systematische band met de VS heeft (cfr.
randnummer 18). Dat de gegevens bijgevolg op servers in België zouden staan is onbelangrijk wanneer
het gaat om een aanbieder die ook in de VS een bepaalde dienst aanbiedt.62
Het discrimineren van (populaire) cloudaanbieders eenvoudigweg op basis van hun duidelijke
onderworpenheid aan de Amerikaanse kennisnamebevoegdheden lijkt ons weinig doeltreffend. De
huidige markt voor cloudoplossingen is immers zo verweven dat het zeer waarschijnlijk is dat er ergens
in de keten van een totale cloudoplossing wel een aanbieder zal zijn met een voldoende systematische
band met de VS. Bovendien zou het niet correct zijn aan te nemen dat de VS de enige natie is met
dergelijke ruime kennisnamebevoegdheden (supra randnummer 14).63 Tot slot kan de Amerikaanse
overheid ook met eigen middelen kennis nemen van gegevens in de cloud door ze zelf te vergaren op
grond van EO 12333, ongeacht of het gaat om een aanbieder onderworpen aan het Amerikaanse recht
of niet.
Desondanks kan men niet onder de vaststelling uit dat de Amerikaanse bevoegdheden van die aard zijn
dat het voor onderworpen cloudaanbieders erg moeilijk lijkt volledige overeenstemming met de
vereisten van artikel 16, §3 WVP te garanderen. Daarenboven wordt van een verwerker de nodige
transparantie ten aanzien van de verantwoordelijke verwacht, wat inhoudt dat hij de verantwoordelijke
op de hoogte stelt wanneer hij met een bevel geconfronteerd wordt.64 Aangezien de Amerikaanse
overheidsdiensten geheimhoudingsplichten kunnen koppelen aan bevelen tot overlegging van gegevens,
moet men vaststellen dat ook hier geen volledige overeenstemming met de vereisten onder de WVP kan
worden bereikt.65 Eén en ander zal dus eerst op politiek niveau dienen te worden uitgeklaard alvorens
men als Vlaamse overheid echt in volledige overeenstemming met het recht persoonsgegevens kan
toevertrouwen aan een cloudaanbieder. We zouden in tussentijd wel durven aanbevelen om te opteren
voor een eerder teleologische benadering van de vereisten van artikel 16 WVP, en dit in het licht van de
belangenafweging die artikel 16, §4, tweede lid voorop stelt.66 In de mate dat men aan de hand van
61 Zie evenwel infra hoofdstuk 0. 62 In deze in VAN HOBOKEN et al., supra voetnoot 27, p. 28. 63 Voor een overzicht, zie W. MAXWELL en C. WOLF, supra voetnoot 15. 64 Dit is een logische gevolg van de bepaling uit artikel 16, §1, 2° WVP, waar die stelt dat de verantwoordelijke
moet kunnen toezien op de naleving door de verwerker van de maatregelen uit artikel 16, §1, 1° WVP. Zie ook
WG29, supra voetnoot 51, p. 16. 65 Supra randnummers 23 en 27. 66 Ook de WG29 lijkt in dezelfde richting te redeneren: WG29, supra voetnoot 51, p. 27.
22
contractueel verankerde technische maatregelen potentiële risico’s passend weet in te dijken, moet het
o.i. mogelijk zijn om toch gegevens in de cloud bij te houden. Zo zou men onder andere state-of-the-art
encryptie vóór opslag van de gegevens in de cloud kunnen toepassen en organisatorische maatregelen
kunnen implementeren in lijn met het veiligheidsbeleid van de Vlaamse overheid. We wensen wel te
benadrukken dat er dan van de cloudaanbieder waarborgen geëist moeten kunnen worden, wat het
gebruik van standaardovereenkomsten enigszins uitsluit.
2.3.3 Gegevens uit een authentieke gegevensbron
43. Gegevens uit een authentieke gegevensbron, gedefinieerd 67 als een op elektronische wijze
bijgehouden verzameling van gegevens die als de meest volledige, kwalitatief hoogstaande door de
Vlaamse Regering is erkend, en die nuttig of noodzakelijk is in het kader van het elektronische
bestuurlijke gegevensverkeer, worden net als persoonsgegevens onderworpen aan
vertrouwelijkheidsplichten. Men kan dan ook voor deze categorie van gegevens de vraag stellen of, en
in welke mate, deze gegevens aan een aanbieder van een cloudoplossing kunnen worden toevertrouwd.
44. Veiligheid van de gegevens is een essentieel kenmerk van authentieke gegevensbronnen. Zo bepaalt
artikel 2, §1, tweede lid van het besluit tot uitvoering van het decreet betreffende het elektronische
bestuurlijke gegevensverkeer 68 dat een gegevensbron maar wordt aangemerkt als een authentieke
gegevensbron indien deze voldoende waarborgen biedt voor:
[…]
4° de veiligheid van de gegevensbron op fysiek, technisch en organisatorisch niveau.
Met andere woorden, het authentieke karakter impliceert dat de verantwoordelijke van de gegevensbron
garandeert dat minstens de drie kernprincipes van informatieveiligheid (cfr. supra randnummer 6) op
passende wijze gerespecteerd worden. Vertrouwelijkheid is bijgevolg inherent aan het authentieke
karakter van de gegevensbron. Wordt de vertrouwelijkheid van een authentieke bron in die mate
geschonden dat men niet langer kan pretenderen een redelijk niveau van veiligheid te kunnen
garanderen, dan kan – na bepaalde procedurele stappen – de bron haar authentieke karakter verliezen.69
Daar de creatie van authentieke gegevensbronnen een duidelijke, decretaal verankerde doelstelling is,
moet het de ambitie zijn om een dergelijk verlies van authentiek karakter ten allen tijde te vermijden.70
67 Art. 2, 2° decreet 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer, BS 29 oktober 2008,
57320. 68 Besluit 15 mei 2009 van de Vlaamse Regering houdende de uitvoering van het decreet van 18 juli 2008
betreffende het elektronische bestuurlijke gegevensverkeer, BS 14 juli 2009, 48878. 69 Art. 4 besluit 15 mei 2009, supra voetnoot 68. 70 Art. 5 decreet 13 juli 2012 houdende de oprichting en organisatie van een Vlaamse dienstenintegrator, BS 1
augustus 2012, 45516.
23
Merken we bovendien nog op dat wanneer de gegevensbron persoonsgegevens bevat, er pas toegang tot
de gegevens kan zijn na machtiging wat opnieuw het belang van de vertrouwelijkheid illustreert.71
45. Art. 7 van het decreet betreffende het elektronische bestuurlijke gegevensverkeer (hierna: EBG-
decreet) bepaalt het volgende:
“de instanties die authentieke gegevensbronnen beheren overeenkomstig artikel 4, § 1,
of de entiteiten, vermeld in artikel 4, § 3, stellen de metagegevens van de authentieke
gegevensbronnen kosteloos en publiekelijk open, zonder evenwel inbreuk te plegen op
de intellectuele rechten en de confidentialiteitsverplichtingen die met die
gegevensbronnen samenhangen, en zonder informatie bekend te maken die
ongeoorloofde toegang of ongeoorloofd gebruik van de gegevensbronnen mogelijk
maakt of de integriteit ervan in gevaar brengt”.
Verder bepaalt artikel 3, laatste lid van het uitvoeringsbesluit bij het EBG-decreet dat men de verwerking
van gegevens in een authentieke bron kan uitbesteden mits de onderaannemer zich er formeel toe
verbindt de bepalingen van artikel 16, §1, 1° WVP na te leven, alsook die van het EBG-decreet en de
uitvoeringsbesluiten. Principieel lijkt er bijgevolg niets het toevertrouwen van gegevens uit een
authentieke bron aan een aanbieder van clouddiensten in de weg te staan, zolang men bepaalde
voorwaarden respecteert. Gelet op de specifieke eis om zich formeel te verbinden, zullen
standaardovereenkomsten met aanbieders van clouddiensten niet aanvaard kunnen worden.
46. De bewoordingen van artikel 3, laatste lid van het uitvoeringsbesluit bij het EBG-decreet doen
vermoeden dat de belangrijkste eisen gesteld aan de cloudaanbieder die zullen zijn uit de WVP, toch in
de mate dat de authentieke gegevensbron persoonsgegevens bevat. Er zijn evenwel enkele eisen die
specifiek gelden voor authentieke gegevensbronnen en die losstaan van het feit of de bron al dan niet
persoonsgegevens omvat. Zo bepaalt artikel 6, §1, 5° van het EBG-decreet dat de instanties van de
Vlaamse overheid verplicht zijn om de toezichtscommissie inzage te geven in alle
informatieverwerkende systemen. Men moet bijgevolg met de cloudaanbieder overeenkomen dat deze
laatste een ruime mate van transparantie betreffende zijn systemen voorziet. Eenzelfde transparantie zal
overigens ook nodig zijn ter naleving van artikel 12 van het besluit betreffende de
veiligheidsconsulenten. 72 Dit artikel stelt dat de veiligheidsconsulent zijn taken ook uitoefent ten
aanzien van bewaring, verwerking of uitwisseling van persoonsgegevens uitgevoerd door derden, in
casu de cloudaanbieder.73 Om zijn taken correct te kunnen uitvoeren, zal de veiligheidsconsulent een
71 Art. 8 decreet 18 juli 2008, supra voetnoot 67. 72 Besluit van de Vlaamse Regering van 15 mei 2009 betreffende de veiligheidsconsulenten, vermeld in artikel 9
van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer, BS 13 juli 2009,
48087. 73 Iedere instantie of entiteit die verantwoordelijk is voor een authentieke gegevensbron die persoonsgegevens
omvat, moet een veiligheidsconsulent aanstellen.
24
voldoende zicht moeten hebben op de technische en organisatorische karakteristieken van de
aangeboden cloudoplossing.
47. Waar gegevens uit authentieke bronnen worden verwerkt via de Vlaamse dienstenintegrator (hierna:
VDI), zoals gedefinieerd in het VDI-decreet74, geldt een zelfstandige – strafrechtelijk gesanctioneerde
– vertrouwelijkheidsverplichting. Deze hangt niet samen met het al dan niet verwerken van
persoonsgegevens maar enkel en alleen met het feit of de verwerking plaats heeft via de VDI.75 Gelet
op de vrij strikte bewoordingen van deze bepaling, lijken verwerkingen via de VDI op het eerste zicht
zeer moeilijk te rijmen met de bevelen die de Amerikaanse overheid op grond van de FISA of de ECPA
kan richten tot bepaalde cloudaanbieders (zie evenwel infra randnummer 57 e.v.)
48. De verschillende elementen omschreven in bovenstaande paragrafen leiden tot de conclusie dat heel
wat van de vraagstukken die voor persoonsgegevens werden opgeworpen ook hier weer gelden. Ten
eerste moeten bepaalde elementen contractueel worden vastgelegd, wat gebruik van
standaardovereenkomsten bemoeilijkt, zo niet onmogelijk maakt. Ten tweede vereisen verschillende
bepalingen volledige transparantie van de cloudaanbieder, wat deze dikwijls niet zal kunnen garanderen.
Zo zullen publieke cloudaanbieders zelden een volledig inzicht kunnen bieden in de werking van de
ganse cloudoplossing en zullen confidentialiteitseisen gekoppeld aan bevelen tot overlegging uitgaande
van de Amerikaanse overheid cloudaanbieders verhinderen om de Vlaamse overheidsdiensten op te
hoogte te stellen van inbreuken op de vertrouwelijkheid van hun gegevens. Ten derde gelden er strikt
geformuleerde vertrouwelijkheidsverplichtingen voor gegevens verwerkt via de VDI die conflicteren
met de kennisnamebevoegdheden beschreven in onderdeel 2.2. Volledige overeenstemming met het
recht zal bijgevolg moeilijk te bereiken zijn voor wat betreft het verwerken van authentieke gegevens in
de cloud, en dit zowel voor de virtuele private cloudoplossingen als de publieke cloudoplossingen. Zoals
eerder aangekaart76 en zoals hieronder in detail uiteengezet77, zou men kunnen overwegen om met
technische en organisatorische maatregelen en goede contractuele bepalingen de hiaten zo veel als
mogelijk op te vullen (o.a. door gebruik te maken van encryptie ter bescherming van de
vertrouwelijkheid, en zoveel als mogelijk transparantie te bewerkstelligen door gebruik te maken van
een (virtuele) private cloudoplossing).
2.3.4 Gegevens uit het Rijksregister
49. Gegevens uit het Rijksregister verdienen een bijzondere aandacht, gelet op de centrale positie die
hen wordt toebedeeld in het kader van het elektronische bestuurlijke gegevensverkeer en
74 Decreet 13 juli 2012, supra voetnoot 70. 75 Art. 17 VDI-decreet, supra voetnoot 74. 76 Zie randnummer 42. 77 Zie randnummer 57.
25
dienstenintegratie.78 Zij worden strikt beschermd op basis van de wet op het Rijksregister.79 Zo zal de
verwerker die als onderaannemer gegevens uit het Rijksregister verwerkt een machtiging moeten
bekomen van het sectoraal comité van het Rijksregister. 80 Artikel 12, §2, 2° van de wet op het
Rijksregister legt de verantwoordelijke de plicht op om iedere persoon belast met de daadwerkelijke
verwerking van informatiegegevens uit het Rijksregister een verklaring tot vertrouwelijkheid te laten
ondertekenen. In de context van dit advies impliceert deze bepaling dat standaardovereenkomsten met
(publieke) cloudaanbieders niet mogelijk zijn, maar ook dat een overeenkomst met een aanbieder met
een voldoende systematische band met de VS moeilijk lijkt. Immers, daar cloudaanbieders zich
welbewust zijn van de mogelijkheden van de Amerikaanse (en andere) overheidsdiensten om hen tot
overlegging te verplichten, kunnen zij dergelijke verklaring nooit te goeder trouw ondertekenen.
50. Men kan zich afvragen of een vertrouwelijkheidsverklaring een voorbehoud kan bevatten voor die
situaties waarin een buitenlandse wet de cloudaanbieder verplichtingen tot overlegging oplegt. Dit zou
in ieder geval de goede trouw van de cloudaanbieder bij het contracteren vrijwaren. Het antwoord op
deze vraag vereist dat men nagaat of de vertrouwelijkheidsplicht zuiver contractueel dan wel van een
wettelijke oorsprong is. Indien het om een zuiver contractuele plicht gaat, zou men inderdaad een
voorbehoud kunnen voorzien gelet op de contractvrijheid (art. 1123 jo 1134 BW). Een wettelijke
oorsprong daarentegen staat hier aan in de weg. Los van het feit dat men de basisvoorwaarden van 1134
BW zou schenden door in te gaan tegen een wettelijk gebod, zou het ook betekenen dat men de
soevereiniteit van de Belgische Staat miskent. Immers, door een Amerikaans wettelijk gebod tot
overlegging te laten primeren op de vertrouwelijkheidsplicht uit het Belgische recht, miskent men het
zelfbeschikkingsrecht van de Belgische Staat. Enkel een verdrag zou een dergelijke verhouding tussen
de verschillende normen rechtsgeldig kunnen consolideren, maar zoals we eerder al zagen, bieden de
bestaande rechtshulpverdragen hier geen mogelijkheid toe.81 Wil men bijgevolg afwijkingen voorzien
op een wettelijk verankerde vertrouwelijkheidsplicht, dan moet deze afwijking gegrond kunnen worden
op een Belgische rechtsregel.
51. Dit leidt bijgevolg tot de vraag welke oorsprong en reikwijdte de vertrouwelijkheidsplicht met
betrekking tot de gegevens van het Rijksregister heeft ten aanzien van de cloudaanbieder-
onderaannemer en de klant-gemachtigde overheidsdienst. Daar artikel 12, §2, 2° van de wet op het
Rijksregister woordelijk de onderaannemer enkel verplicht tot het ondertekenen van een verklaring tot
vertrouwelijkheid, en niet zozeer verplicht tot vertrouwelijkheid op zich, lijkt dit toch – althans ten
aanzien van de cloudaanbieder – een contractuele oorsprong van de vertrouwelijkheidsplicht te
veronderstellen. Dit neemt ons inziens echter niet weg dat de reikwijdte van de vertrouwelijkheidsplicht
78 In het bijzonder artikel 3 EBG-decreet en artikel 5 van het besluit tot uitvoering van het EBG-decreet. 79 Wet 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen, BS 21 april 1984, 5247. 80 Art. 5 wet op het Rijksregister, supra voetnoot 79. 81 Supra randnummer 31 en volgende.
26
bepaald wordt door deze die geldt voor de contracterende overheidsdienst. De vertrouwelijkheidsplicht
die wordt opgelegd aan de onderaannemer moet immers gezien worden als een noodzakelijke
uitbreiding van de vertrouwelijkheidsplicht die geldt voor de contracterende overheidsdienst zoals
opgelegd door artikel 11 van de wet op het Rijksregister. Deze bepaling kwalificeert de
vertrouwelijkheidsplicht als een toepassing van het beroepsgeheim.82 Bovendien zou het ingaan tegen
de doelstelling en mechanismen van de wet om enerzijds vrij strenge toegangsbeperkingen in te stellen
via een machtigingssysteem en via het opleggen van een beroepsgeheim voor Belgische
overheidsactoren, maar dan anderzijds toe te laten dat er contractueel van zou kunnen worden afgeweken
voor buitenlandse actoren. Let wel, we concluderen hier dus enkel dat de klant-overheidsdienst geen
uitzondering uit het buitenlands recht kan aanvaarden als gevolg van het op haar rustende
beroepsgeheim. De cloudaanbieder zelf zal gebonden zijn door een vertrouwelijkheidsplicht van
contractuele oorsprong en bij schending van de op hem rustende vertrouwelijkheidsplicht enkel
aansprakelijk zijn op grond van contractbreuk.83
52. Eén en ander leidt bijgevolg tot de noodzakelijke conclusie dat de vertrouwelijkheidsplicht van de
cloudaanbieder-onderaannemer ten aanzien van de gegevens van het Rijksregister een wettelijke
oorsprong heeft die enig voorbehoud in de verklaring op grond van buitenlands recht uitsluit. Gelet op
de bevindingen in onderdeel 2.2 kunnen gegevens uit het Rijksregister bijgevolg niet zomaar in een
publieke of virtueel private cloud worden bijgehouden. De Amerikaanse kennisnamebevoegdheden
maken overigens geen onderscheid naar de verschillende types remote computing services. De enige
mogelijkheid lijkt hier de gegevens bij te houden in een cloud volledig in eigen beheer (een echt private
cloud) waarbij men rekening houdt dat er geen aanbieders ergens in de cloudoplossing tussenkomen die
toegang hebben tot de gegevens van het Rijksregister en onderworpen zijn aan bevelen van een vreemde
overheid tot overlegging van deze gegevens. In het kader van dienstenintegratie zal men er bovendien
rekening mee moeten houden andere identificatienummers dan het Rijksregisternummer te gebruiken
voor die diensten en gegevens die wel in een cloud kunnen worden bijgehouden.
2.3.5 Geografische gegevens
53. Voor wat betreft de geografische gegevens, gedefinieerd als “elektronische gegevens die direct of
indirect verwijzen naar een specifieke locatie of een specifiek geografisch gebied”, gaan we vooral in
op de bepalingen die gelden voor gegevens die worden verwerkt in het kader van de Geografische Data-
82 Deze interpretatie kan men stoelen op de voorbereidende werken, waarin expliciet wordt vermeld dat de
verplichtingen van het beroepsgeheim wegen op iedereen die betrokken is bij de werking van het Rijksregister,
waarbij ‘werking’ begrepen moet worden als ‘iedere inzameling, verwerking of mededeling van de
informatiegegevens’: Verslag namens de commissie voor de binnenlandse zaken, de algemene zaken en het
openbaar ambt uitgebracht door de heer Tant bij het wetsontwerp tot regeling van een Rijksregister van de
natuurlijke personen, Parl.St. Kamer 1982-83, nr. 513/6, 17. 83 Cfr. infra randnummer 58.
27
Infrastructuur.84 Er wordt specifiek gekeken naar geografische gegevens die deel uitmaken van een
authentieke geografische gegevensbron, zijne een authentieke gegevensbron die geografische gegevens
omvat.85 Uit artikel 22 van het decreet betreffende de Geografische Data-Infrastructuur Vlaanderen
(hierna: GDI-decreet) blijkt dat voor authentieke geografische gegevensbronnen andere voorwaarden
gelden dan voor authentieke bronnen op grond van het EBG-decreet. Zo worden er bijvoorbeeld niet op
dezelfde expliciete wijze eisen gesteld met betrekking tot de veiligheid van de gegevensbron. Hieronder
zal duidelijk worden dat voor authentieke geografische gegevensbronnen de vertrouwelijkheidsplicht
een toch wel heel eigen invulling krijgt.
54. Waar men voor authentieke bronnen vertrekt vanuit een plicht tot vertrouwelijkheid lijkt men voor
authentieke geografische gegevensbronnen juist te vertrekken van een principiële algemene
toegankelijkheid. Zo bepaalt artikel 30 van het GDI-decreet dat de geografische gegevensbronnen
publiekelijk toegankelijk gemaakt worden, tenzij waar deze persoonsgegevens omvatten (artikel 18, §2
GDI-decreet) of wanneer de deelnemers aan GDI-Vlaanderen de publiekelijke toegang inperken voor
bijvoorbeeld redenen van openbare veiligheid, het vertrouwelijk karakter van internationale
betrekkingen enz. (artikel 31 GDI-decreet). Men kan zich bijgevolg afvragen of deze principiële
toegankelijkheid ook implicaties heeft voor het plaatsen van deze gegevens in de cloud.
55. De vertrouwelijkheidseisen gesteld aan authentieke geografische gegevensbronnen zijn duidelijk
lager dan die voor andere authentieke gegevensbronnen. Zulks wordt onder meer gestaafd door artikel
32 GDI-decreet dat stelt dat de uitzonderingen uit artikel 31 GDI-decreet restrictief moeten worden
uitgelegd in het licht van het openbaar belang dat gediend is met de openbaarmaking van deze gegevens.
Het lijkt ons echter niet waarschijnlijk dat dit openbaar belang dusdanig ruim moet worden
geïnterpreteerd als omvattende het strategische nationale veiligheidsbelang van buitenlandse
mogendheden. Met andere woorden, hoewel de vertrouwelijkheidsplicht onmiskenbaar lager is, kan
men als verantwoordelijke Vlaamse overheidsdienst het bepaalde in artikel 30 en 32 GDI-decreet niet
zomaar gebruiken om – zonder een analyse per gegevensbron – te besluiten deze gegevens te bewaren
in een publieke of virtuele private cloud. Bij het overwegen van een cloudoverstap zal men er immers
voor moeten zorgen dat de uitzonderingen uit artikel 18, §2 en 31 GDI-decreet geaccommodeerd kunnen
worden.
56. Dit leidt bijgevolg tot een vergelijkbare conclusie als voor wat werd gesteld voor persoonsgegevens
en authentieke gegevens hierboven. Opteren voor een cloudoplossing van een aanbieder die kan worden
84 Artikel 3 decreet 20 februari 2009 betreffende de Geografische Data-Infrastructuur Vlaanderen, BS 28 april
2009, 33349. De Geografische Data-Infrastructuur is “een logisch geheel van metagegevens, geografische
gegevensbronnen en geografische diensten, technische specificaties en standaarden en de overeenkomsten
betreffende de uitwisseling, de toegang en het gebruik ervan, met de daarbij behorende netwerkdiensten en
technologieën, technische specificaties en standaarden, en de in overeenstemming met dit decreet ingestelde,
beheerde of beschikbaar gemaakte mechanismen, processen en procedures en monitoring ervan”. 85 Art. 21 en 22 decreet 20 februari 2009, supra voetnoot 84.
28
bevolen om gegevens over te leggen zal bijgevolg moeilijkheden met zich meebrengen wanneer
vertrouwelijkheid vereist is. Daarnaast zijn standaardovereenkomsten af te raden, gelet op de garanties
die men moet bekomen van de cloudaanbieder. Los van wat in het volgende onderdeel wordt besproken,
zal de lagere vertrouwelijkheidsdrempel evenwel in verschillende gevallen minder hindernissen
opwerpen aan een cloudoverstap, al zal men dat steeds geval per geval moeten analyseren. Merken we
tot slot nog op dat specifieke authentieke geografische gegevensbronnen door eigen juridische
instrumenten worden geregeld die eigen vertrouwelijkheidseisen kunnen opwerpen.86
2.3.6 Functionele invulling van de vertrouwelijkheidsplicht
57. Voor alle van de hierboven besproken gegevenstypes gaven we aan dat de vertrouwelijkheidsplicht
problemen kan opwerpen ten aanzien van het opslaan van de gegevens in een publieke of virtueel private
cloud wanneer men buitenlandse – en in het bijzonder Amerikaanse – kennisnamebevoegdheden in
ogenschouw neemt. We merkten daarentegen ook op dat het nemen van bepaalde technische en
organisatorische maatregelen eventueel zou kunnen helpen om zoveel mogelijk problemen uit de weg
te ruimen. Immers, men kan zich afvragen of een vertrouwelijkheidsplicht überhaupt wel geschonden
wordt wanneer slechts versleutelde gegevens worden overgemaakt in het kaden van een bevel tot
overlegging. Dit uiteraard in de hypothese dat de cloudaanbieder de gegevens slechts versleuteld
aangeboden krijgt van de klant, en deze dus geenszins zelf kan decrypteren. Samengevat luidt de vraag
dus: wanneer de cloudaanbieder enkel versleutelde – en dus onbegrijpelijke – gegevens kan overleggen
aan de Amerikaanse overheidsdiensten, begaat hij dan een inbreuk op de vertrouwelijkheidsplicht? Om
deze vraag correct te kunnen beantwoorden en na te gaan in hoeverre dergelijke technische maatregelen
daadwerkelijk hulp kunnen bieden, moet men de juridische achtergrond en draagwijdte van de
vertrouwelijkheidsplicht achterhalen.
58. Zoals aangegeven in randnummers 51 e.v. worden de contouren van de vertrouwelijkheidsplicht ten
aanzien van gegevens van het Rijksregister bepaald door het beroepsgeheim, hoewel de cloudaanbieder
zelf slechts aansprakelijk kan worden gehouden op grond van de schending van zijn verklaring. Een
schending van het beroepsgeheim vanuit materieel oogpunt veronderstelt dat de gegevens effectief
openbaar werden gemaakt. Bovendien is het beroepsgeheim niet absoluut, al zijn de gronden voor het
opzijschuiven van het beroepsgeheim limitatief (zie art. 458 Sw.: in recht getuigenis afleggen; verplicht
bij wet). De vertrouwelijkheidsplicht in hoofde van de cloudaanbieder is echter contractueel van aard
en wordt in de rechtsleer gekwalificeerd als een ‘gewone’ geheimhoudingsplicht, die verschilt van het
beroepsgeheim juist omdat ze contractueel kan worden opgelegd.87 Ze heeft ook geen uitstaans met het
86 Bijvoorbeeld het decreet 8 mei 2009 betreffende het Centraal Referentieadressenbestand, BS 1 juli 2009, 45068. 87 R. VAN LENNEP, De geheimhouding: beroepsgeheim, briefgeheim, fabrieksgeheim, verplichting van
geheimhouding, recht op geheimhouding, geheim der beraadslaging, kiesgeheim, Antwerpen, Standaard, 1950,
135.
29
communicatiegeheim 88 (dat enkel gegevens in overdracht betreft) of de geheimhoudingsplicht ten
aanzien van het bestaan van communicatie89. Ook voor de andere in dit advies besproken gegevens heeft
de vertrouwelijkheidsplicht in hoofde van de cloudaanbieder een contractuele grondslag en betreft het
bijgevolg een gewone geheimhoudingsplicht.
59. Typerend voor de gewone geheimhoudingsplicht, is dat zij een uitgesproken functioneel karakter
heeft. Dit betekent dat de draagwijdte ervan in verhouding moet staan tot het doel dat ermee beoogd
wordt.90 Voor wat betreft de vertrouwelijkheidsplichten besproken in dit advies betekent dit dat men de
gegevens an sich tracht te beschermen tegen kennisname door onbevoegden, zij het uit overwegingen
met betrekking tot het recht op privacy en bescherming van persoonsgegevens, zij het uit andere
beleidsoverwegingen. Men moet er bijgevolg over waken dat de inhoud van deze gegevens beschermd
wordt.91
60. Indien men de hierboven besproken categorieën van gegevens op zodanige manier versleuteld aan
de cloudaanbieder kan aanbieden, dat deze laatste er normalerwijze op geen enkele manier kennis van
kan nemen, kan men argumenteren dat deze ze nooit daadwerkelijk openbaar kan maken. In het licht
van de functionele invulling van de vertrouwelijkheidsplicht, impliceert het versleutelen van de
gegevens dat het doel van deze plicht bereikt wordt. Inderdaad, wanneer de cloudaanbieder
geconfronteerd wordt met een Amerikaans bevel tot overlegging, zal hij enkel onbegrijpelijke gegevens
kunnen overleggen. Er is dan van enige openbaarmaking geen sprake en de aanbieder schendt de
vertrouwelijkheidsplicht bijgevolg niet. Het zou anders zijn mocht de Amerikaanse overheid de
cloudaanbieder kunnen verplichten de gegevens te decrypteren, waarbij deze laatste dat ook effectief
zou proberen of de mogelijkheden in de implementatie van de oplossing zou voorzien om zulks mogelijk
te maken. De besproken bevoegdheden onder onderdeel 2.2 voorzien een dergelijk bevel evenwel niet.
We zouden aldus durven argumenteren dat een cloudaanbieder geen inbreuk maakt op de
vertrouwelijkheidsverplichting voortvloeiend uit een overeenkomst wanneer hij – op het moment dat hij
geconfronteerd wordt met een buitenlands bevel tot overlegging – enkel en alleen de versleutelde
gegevens overmaakt. Vanzelfsprekend zal een dergelijke interpretatie zeer hoge eisen stellen aan de
gebruikte versleutelingstechniek.
61. We willen er ter ondersteuning van het argument en ter illustratie op wijzen dat een dergelijke
toepassing van encryptie als (gedeeltelijke) invulling van de vertrouwelijkheidsplicht overigens ook al
in de wet een voorbeeld kent. Artikel 114 van de wet betreffende de elektronische communicatie legt
88 Artikelen 259bis en 314bis Sw. 89 Art. 124 wet 13 juni 2005 betreffende de elektronische communicatie, BS 20 juni 2005, 28070. 90 E. BREYNE, Geheimhouding, discretie, beroepsgeheim en verschoning in het openbaar ambt, onuitg.
Masterproef Rechten Gent, 2008-09, 62. 91 Dat de inhoud in hoofdzaak beschermd moet worden, blijkt onder meer uit artikel 7, §1 EBG-decreet dat
voorschrijft dat metagegevens van authentieke bronnen publiekelijk toegankelijk worden gesteld voor zover dit
geen inbreuk uitmaakt op de confidentialiteitsverplichtingen (lees: voor zover de inhoud van de authentieke
gegevensbronnen vertrouwelijk blijft).
30
telecomoperatoren een vertrouwelijkheidsplicht ten aanzien van de gegevens van hun klanten op.92
Artikel 114/1, §3 van dezelfde wet bepaalt dat, indien zich een veiligheidsincident met betrekking tot
persoonsgegevens zich voordoet, de operatoren dat moeten melden aan de betrokken abonnees, tenzij
de operator kan aantonen dat zij gepaste technologische beschermingsmaatregelen heeft getroffen die
de gegevens onbegrijpelijk maken voor eenieder die geen recht op toegang heeft (lees: ze werden
afdoende versleuteld). De (federale) wetgever lijkt aan te nemen dat de vertrouwelijkheid van gegevens
niet of toch minstens beperkter wordt geschonden wanneer de gegevens versleuteld worden
bijgehouden.
62. Men kan besluiten dat er juridische argumenten kunnen gevonden worden om versleuteling als
tegengewicht voor de kennisnamebevoegdheden van buitenlandse overheden te beschouwen, waardoor
een cloudoplossing van bijvoorbeeld een Amerikaanse aanbieder toch tot de mogelijkheden behoort.
Standaardovereenkomsten zullen echter steeds moeilijk blijven aangezien toch heel wat zaken
contractueel geregeld zullen moeten worden. Bovendien zal de gebruikte versleuteling a) niet
ontsleutelbaar mogen zijn voor de cloudaanbieder en b) van een hoog technologisch niveau moeten zijn,
rekening houdend met de state-of-the-art alsook de gekende capaciteiten van de Amerikaanse
overheidsdiensten.
92 Art. 114 wet 13 juni 2005, supra voetnoot 89.
31
3 BESCHIKBAARHEID
63. Zoals eerder vermeld, betekent beschikbaarheid dat informatie op ieder moment toegankelijk is voor
diegene die er gerechtigd is toegang toe te nemen. In het kader van dienstenintegratie, authentieke
gegevensbronnen en in het algemeen de onderlinge afhankelijkheden tussen datasets van de federale en
Vlaamse overheid93, is beschikbaarheid uiteraard van essentieel belang voor het goed functioneren van
zowat alle overheidsdiensten. Men moet vaststellen dat ook heel wat (grote) cloudaanbieders erg veel
belang hechten aan beschikbaarheid en ervoor zorgen dat hun diensten en oplossingen nagenoeg
permanent bereikbaar zijn.94 Hoewel het marktaanbod in termen van beschikbaarheid blijkbaar vrij goed
scoort, moet men toch nagaan of er ook juridische bepalingen zijn die eisen stellen aan beschikbaarheid
en of het buitenlandse recht deze eisen niet kan doorkruisen. In het bijzonder wensen we in te gaan op
bepalingen die beschikbaarheid vereisen in tijden van politieke spanningen.
64. Zowel artikel 7 van het EBG-decreet als artikel 14 van de wet op het Rijksregister voorzien dat in
tijden van oorlog of bezetting men ervoor moet kunnen zorgen dat de toegang tot gegevensbronnen
wordt verhinderd (bijvoorbeeld voor gegevens van de VDI) dan wel dat deze gegevensbronnen worden
vernietigd (bijvoorbeeld gegevens verwerkt door de VDI en uit het Rijksregister). Dit veronderstelt
uiteraard dat men in dergelijke momenten van crisis ook effectief toegang heeft tot deze gegevens.
Eerder schreven we dat in het kader van Amerikaanse onderzoeksbevoegdheden en confidentialiteit de
fysieke locatie van de gegevens van geen enkel belang is (zie randnummers 14 en 42). Deze observatie
geldt echter niet vanuit het perspectief van de beschikbaarheid. In tijden van crisis zal het zeer belangrijk
zijn om enerzijds te weten waar de overheidsgegevens (en eventuele kopieën) fysiek worden
bijgehouden en anderzijds met welke andere klanten men cloud computing resources deelt, zeker
wanneer deze klanten eventueel dezelfde vernietigingsbevoegdheden hebben. Het zou immers erg
vervelend zijn mocht de Vlaamse Regering bevelen een gegevensbank te vernietigen en dat later blijkt
dat er nog steeds één of meer kopieën van deze gegevensbank redundant werden bijgehouden. Evenzeer
zou het weinig aangenaam zijn mocht een vreemde mogendheid op grond eigen
vernietigingsbevoegdheden een datacenter vernietigen waar Vlaamse overheidsgegevens werden
bijgehouden.
65. Om aan deze twee bekommernissen tegemoet te komen, dient men allereerst van de cloudaanbieder
een hoge mate van transparantie te eisen, onder andere met betrekking tot het overige cliënteel, de
opslaglocaties, het aantal kopieën alsook de locatie van deze kopieën. Deze eis tot transparantie kwam
93 Zie in dit verband bijvoorbeeld de centrale rol van het Rijksregister. 94 Amazon en Google haalden bijvoorbeeld een beschikbaarheidsniveau van 99,99% voor hun IaaS clouddiensten
in 2014: B. BUTLER, “Which cloud providers had the best uptime last year?”, Network World 12 januari 2015,
http://www.networkworld.com/article/2866950/cloud-computing/which-cloud-providers-had-the-best-uptime-
last-year.html.
32
eerder al aan bod (zie randnummers 42 en 48), en zal in het bijzonder voor wat betreft het aanbod van
publieke clouddiensten tot problemen leiden. Ook (virtueel) private cloudaanbieders kunnen misschien
geen volledige transparantie bieden. Men zal contractueel en in het bijzonder via zogenaamde Service
Level Agreements heel wat zaken moeten afspreken om bijzondere bevoegdheden als deze uit artikel 7
EBG-decreet en artikel 14 van de wet op het Rijksregister te kunnen accommoderen.
Standaardovereenkomsten lijken dan ook, zeker voor wat betreft gegevens onder beheer van de VDI en
uit het Rijksregister, uitgesloten. Naast transparantie kan men er ons inziens ook best voor opteren om
de gegevens alsook de eventuele kopieën op Belgisch territorium te bewaren, daar men enkel op die
manier waarborgt dat ook in tijden van crisis tot effectieve vernietiging kan worden overgegaan.
33
4 AANBEVELINGEN
1) Aangezien verschillende landen zichzelf extraterritoriale bevoegdheden hebben toegekend met
betrekking tot kennisname van gegevens opgeslagen in de cloud, lijkt het ons geen goed criterium
om een cloudaanbieder af te schrijven louter omwille van het feit dat deze onderworpen is aan het
Amerikaanse recht.
2) De rol van bi- en multilaterale rechtshulpverdragen in het kader van kennisnamebevoegdheden door
de Amerikaanse overheid is van minder belang, temeer daar de aangezochte overheid steeds de
controle zal behouden over welke gegevens overgelegd worden. Deze verdragen kunnen door een
kandidaat-cloudaanbieder niet aangewend worden als excuus om persoonsgegevens van Belgische
rechtsonderhorigen over te leggen aan de Amerikaanse overheid buiten de uitdrukkelijke opdracht
van de verantwoordelijke klant-overheidsdienst om.
3) Uit verschillende Belgische en Vlaamse juridische instrumenten blijkt duidelijk dat een heel aantal
zaken verplicht contractueel worden geregeld. Standaardovereenkomsten lijken in de meeste
toepassingsscenario’s dan ook uitgesloten. Eventueel zou men – voor wat betreft de verwerking van
persoonsgegevens – deze toch nog kunnen aanvaarden in het (hypothetische) geval dat deze
gebaseerd zouden zijn op Europees aanvaarde modelclausules.
4) Zowel vanuit het perspectief van confidentialiteit als van beschikbaarheid moet de cloudaanbieder
de nodige transparantie met betrekking tot zijn oplossing kunnen bieden. Voor veel aanbieders van
publieke cloudoplossingen is een afdoende niveau van transparantie moeilijk te garanderen en lijkt
het bijgevolg niet mogelijk om een dergelijke oplossing te implementeren voor de opslag van de
categorieën van gegevens besproken in dit advies.
5) Voor de meeste gegevens die onder de categorieën vallen besproken in dit advies is het ten zeerste
aangeraden om deze maar aan de cloudaanbieder toe te vertrouwen wanneer zij versleuteld zijn op
een manier die a) overeenstemt met de technologische state-of-the-art en b) die het noch de
cloudaanbieder noch een eventuele buitenlandse overheid mogelijk maakt om van de gegevens
kennis te nemen. Met een adequaat niveau van encryptie lijkt het ons mogelijk om in heel wat
gevallen te voldoen aan de wettelijk opgelegde en contractueel uitgewerkte
vertrouwelijkheidsplichten.
6) Het lijkt aangewezen om van de cloudaanbieder te eisen dat alle gegevens die door de VDI worden
verwerkt alsook gegevens uit het Rijksregister, worden opgeslagen op servers gelegen in België en
waarbij wordt afgedwongen dat deze servers enkel ter beschikking staan van de Vlaamse overheid.
Met andere woorden, het moet gaan om een in België gelegen private cloud.