OVERHEIDSDATA

IN DE CLOUD De impact van conflicterende rechtstelsels op de

keuze voor een cloudoplossing

ABSTRACT Een analyse van de impact van Amerikaanse

regelgeving op de keuze voor een bepaalde

cloudoplossing voor de Vlaamse overheid, gelet

op specifieke verplichtingen omtrent

gegevensverwerking in het nationale recht.

time.lex

i

EXECUTIVE SUMMARY

In dit advies wordt gekeken in welke mate de keuze van de Vlaamse overheidsdiensten voor een

bepaalde cloudoplossing beïnvloed wordt door het buitenlandse en binnenlandse recht. In het bijzonder

identificeren we de conflicten die ontstaan wanneer Amerikaanse overheidsbevoegdheden tot

kennisname van gegevens in de cloud de verplichtingen van de Vlaamse overheid met betrekking tot de

vertrouwelijkheid en beschikbaarheid van overheidsgegevens doorkruisen. De Snowden-

onthullingen hebben immers duidelijk aangetoond dat de Amerikaanse overheid haar bevoegdheden tot

kennisname in de praktijk ook succesvol weet aan te wenden. Dit betekent voor een Vlaamse

overheidsdienst dat zij met deze bevoegdheden rekening zal moeten houden indien zij de cloudoplossing

van één of meerdere aanbieders overweegt. Het veronderstelt dat men nagaat welke cloudaanbieders

met een bevel tot overlegging geconfronteerd kunnen worden, op welke gronden en onder welke

voorwaarden dit gebeurt en hoe men de gevolgen van een dergelijke overlegging kan vermijden dan wel

beperken in het licht van de verplichtingen uit het nationale recht.

Confidentialiteit

Bevoegdheden tot kennisname in het recht van de VS

Het onderhavige advies bekijkt in wezen twee verschillende juridische wegen die de Amerikaanse

overheidsdiensten kunnen benutten om kennis te nemen van gegevens bijgehouden in een cloud. Een

eerste weg is deze van de extraterritoriale bevoegdheden, waarbij in het nationale recht van de VS

bepalingen zijn opgenomen die het de Amerikaanse overheidsdiensten mogelijk maken de facto buiten

het eigen grondgebied op te treden. Een tweede weg is deze van de rechtshulpverdragen, waarbij de

Amerikaanse overheid op basis van verdragen gesloten op Europees en Belgisch niveau de federale

overheid tot overlegging van bepaalde gegevens kan verzoeken.

Wat de extraterritoriale bevoegdheden betreft, identificeren we drie instrumenten die de belangrijkste

bevoegdheden bevatten. Als eerste komt Executive Order 12333 aan bod, waarin de Amerikaanse

inlichtingendiensten de gelegenheid wordt gegeven om zelf – onder toezicht van de Attorney General –

data kwalificerend als foreign intelligence te capteren en te analyseren. We besluiten daarbij dat a) het

begrip foreign intelligence erg ruim is, b) het toezicht eerder beperkt is en c) het instrument zeker

bruikbaar is om als inlichtingendienst gegevens van een buitenlandse overheid opgeslagen in een cloud

te capteren. We benadrukken wel dat onder dit Executive Order de rol van de cloudaanbieder beperkt

is.

Een tweede instrument dat aan bod komt, is de Foreign Intelligence Surveillance Act (FISA). Deze

federale wet laat de overheidsdiensten toe om bepaalde dienstverleners te bevelen a) foreign intelligence

ii

information over te leggen dan wel b) hun medewerking te verlenen ter verkrijging van dergelijke

informatie. De conclusie hier luidt dat:

cloudaanbieders onder deze wet met een bevel tot overlegging van foreign intelligence

information geconfronteerd kunnen worden;

de cloudaanbieder niet noodzakelijk een Amerikaanse onderneming moet zijn om met het bevel

geconfronteerd te worden maar dat een systematische band met de VS volstaat;

dat de Amerikaanse overheidsdiensten het bevel kunnen koppelen aan een

geheimhoudingsplicht, zodat de cloudaanbieder de eigenaar van de gegevens niet op de hoogte

mag brengen van de overlegging;

buitenlandse overheidsgegevens in een cloud kwalificeren als foreign intelligence information;

dat men geen specifieke persoon dient te viseren, maar dat een algemeen doelwit (zoals een

overheid) volstaat;

het toezicht in hoofdzaak wordt uitgeoefend door de Attorney General en de Director of

National Intelligence en dat de rol van de Foreign Intelligence Surveillance Court eerder

beperkt is;

dat deze wet gelet op het voorgaande zeer ruime kennisnamebevoegdheden voor Amerikaanse

overheidsdiensten vooropstelt die een zeer groot deel van cloudmarkt treffen.

Een derde en laatste instrument dat geanalyseerd wordt, is de Eletronic Communications Privacy Act

(ECPA). Deze wetgeving regelt voornamelijk bevoegdheden die vergelijkbaar zijn met de

tapbevoegdheden in het Belgische strafprocesrecht. Ook onder deze wet kunnen cloudaanbieders

bevolen worden om gegevens dan wel metagegevens over te leggen, maar dan enkel in de sfeer van de

criminaliteitsbestrijding door politie en justitie. Het bevel kan de vorm aannemen van een

huiszoekingsbevel, een administratief dwangbevel dan wel een specifiek gerechtelijk bevel. Voor ieder

van deze vormen gelden andere vereisten, met als meest relevante onderscheidingscriterium of men de

betrokkene al dan niet op de hoogte mag/moet brengen van het bevel. We wijzen er evenwel op dat het

in de praktijk vooral de FISA zal zijn die de grootste problemen opwerpt ten aanzien van het opslaan

van (Vlaamse) overheidsgegevens in de cloud.

Ten aanzien van ieder van deze drie instrumenten moet men vaststellen dat de rechtsbescherming voor

buitenlanders in het Amerikaanse recht zo goed als onbestaande is. Zo zal men als buitenlander niet

kunnen rekenen op de grondwettelijke bescherming geboden door het Fourth Amendment, maar ook de

bescherming geboden door het statutaire recht is weinig effectief hoewel buitenlanders dit in theorie wel

zouden kunnen inroepen.

Wat de rechtshulpverdragen betreft, volstaat het hier van te stellen dat deze van een eerder ondergeschikt

belang zijn. Men moet als verzoekende Staat immers steeds langs de competente overheid van de

aangezochte Staat, wat betekent dat de Vlaamse overheid toezicht zal kunnen houden op welke gegevens

iii

via deze weg tot bij de Amerikaanse overheidsdiensten komen. In de rest van de analyse gaan we ervan

uit dat de Amerikaanse overheidsdiensten in hoofdzaak een beroep zullen doen op de bevoegdheden

zoals voorzien in de FISA.

Vertrouwelijkheidsvereisten voor overheidsgegevens

Tegenover de hierboven aangehaalde bevoegdheden tot kennisname, plaatsen we de

vertrouwelijkheidsverplichtingen uit het eigen recht waarmee de Vlaamse overheidsdiensten zich

geconfronteerd weten wanneer zij bepaalde types gegevens verwerken. Het zijn deze plichten die de

keuze van een welbepaalde cloudoplossing in belangrijke mate beperken.

Een eerste categorie van gegevens waarvan de opslag in de cloud juridisch toch wel wat vragen opwerpt,

is deze van de persoonsgegevens. De Belgische Wet Verwerking Persoonsgegevens legt immers een

heel amalgaam aan voorwaarden op waaraan voldaan moet worden wanneer men als zgn.

‘verantwoordelijke voor de verwerking’ gegevens wenst op te slaan in de cloud. Daarbij moet men

uiteraard eerst nagaan in welke rol de overheidsdienst en de eventuele cloudaanbieder aantreden. Het

besluit hier luidt dat de cloudaanbieder een verwerker is die in opdracht en onder verantwoordelijkheid

handelt van de verantwoordelijke, in casu de relevant Vlaamse overheidsdienst. Gelet op deze

rolverdeling zal de Vlaamse overheidsdienst een aantal zaken met de cloudaanbieder contractueel

moeten vastleggen, hieronder begrepen de veiligheid van de te verwerken persoonsgegevens. Eén en

ander leidt tot de conclusie dat:

men de nodige technische en organisatorische waarborgen kan bieden ongeacht buitenlandse

extraterritoriale bevoegdheden;

standaardcontracten veelal problematisch zullen zijn daar een aantal zaken er wettelijk verplicht

in geregeld moeten worden en deze contracten in lijn moeten zijn met het Vlaamse

veiligheidsbeleid;

een publieke of virtueel private cloudoplossing vragen doet rijzen ten aanzien van de

transparantie van de geboden oplossing, transparantie die nodig is voor de verantwoordelijke

om na te kunnen gaan of de verwerking door de verwerker gebeurt in overeenstemming met de

wet;

de vereiste van transparantie moeilijk te rijmen valt met de mogelijke geheimhoudingsplicht die

de Amerikaanse overheid kan koppelen aan een bevel tot overlegging;

dat men zou kunnen overwegen om zoveel mogelijk aan de verplichtingen van de wet te voldoen

door sterke encryptie te implementeren vooraleer men gegevens overdraagt aan de

cloudaanbieder en dit combineert met sterke waarborgen op organisatorisch niveau.

iv

Een tweede categorie van gegevens die onder de loep wordt genomen, is deze van de gegevens

opgeslagen in authentieke bronnen. De besluiten die we hier trekken, komen grotendeels overeen met

deze die gelden voor persoonsgegevens. Opnieuw lijken standaardovereenkomsten uitgesloten, werpt

de vereiste van transparantie hindernissen op, en leiden strikt geformuleerde

vertrouwelijkheidsverplichtingen voor gegevens verwerkt door de Vlaamse Dienstenintegrator tot de

conclusie dat publieke en virtuele private cloudoplossingen misschien wel uit den boze zijn (zie evenwel

verder).

Een derde categorie van gegevens waarvoor specifieke vertrouwelijkheidsplichten gelden, is deze van

de gegevens uit het Rijksregister. Gegevens uit het Rijksregister en in het bijzonder het

Rijksregisternummer nemen een centrale plaats in binnen dienstenintegratie en – ruimer –

gegevensverwerking door de overheid, wat maakt dat deze categorie niet kan ontbreken in de

onderhavige analyse. Voor deze categorie van gegevens kunnen we stellen dat de

vertrouwelijkheidsplicht, waarvan de contouren omschreven worden door het beroepsgeheim, ertoe

noopt dat deze gegevens in een strikt private cloud in eigen beheer worden bijgehouden.

Een vierde en laatste categorie die we hier behandelen, is deze van de geografische gegevens. Voor

deze categorie van gegevens geldt een lichtere vertrouwelijkheidsplicht, maar opnieuw zal men zich niet

kunnen verbinden met behulp van standaardovereenkomsten. Andere hindernissen lijken echter

beperkter daar veel van deze gegevens een publiek karakter hebben en waar het persoonsgegevens

betreffen gelden de conclusies van hierboven.

Tot besluit van het deel over vertrouwelijkheidsplichten, gaan we na of we deze plichten niet functioneel

kunnen benaderen. Het argument luidt dat de vertrouwelijkheidsplicht maar zover reikt als haar

doelstelling, te weten het feit dat een derde zonder toelating geen kennis kan nemen van de inhoud van

de gegevens. Een dergelijke invulling van de vertrouwelijkheidsplicht zou betekenen dat, wanneer de

gegevens versleuteld aan de cloudaanbieder worden overgedragen en deze laatste de sleutel niet bezit,

noch de Vlaamse overheid noch de cloudaanbieder de vertrouwelijkheidsplicht kan schenden bij

overlegging van de gegevens. Immers, de Amerikaanse overheid zal geen kennis kunnen nemen van de

inhoud, maar krijgt een verzameling onbegrijpelijke data. We geven aan dat deze redenering ook al in

de huidige Belgische wetgeving terug te vinden is.

v

Beschikbaarheid

In het deel over beschikbaarheid geven we aan dat er een aantal specifieke bepalingen zijn opgenomen

in bijvoorbeeld de wetgeving betreffende de Vlaamse dienstintegratie en het Rijksregister die een

permanente beschikbaarheid van de gegevens vooropstellen. Zo moet de overheid gegevens

bijvoorbeeld kunnen vernietigen in oorlogstijd. Dergelijke bekommernissen doen ons concluderen dat

men van de cloudaanbieder moet kunnen vereisen dat a) er voldoende transparantie wordt geboden met

betrekking tot de geleverde cloudoplossing en b) de gegevens op het Belgisch territorium worden

opgeslagen. Dit betekent tevens dat men goede Service Level Agreements zal moeten afsluiten en dat

standaardovereenkomsten niet mogelijk zijn.

Dit analyse in dit advies geeft aanleiding tot het formuleren van een aantal concrete aanbevelingen, die

u terugvindt in het laatste hoofdstuk (4).

INHOUDSOPGAVE

1 Inleiding........................................................................................................................................... 1

1.1 Algemeen................................................................................................................................. 1

1.2 Het begrip ‘cloud’ ................................................................................................................... 3

1.2.1 Definitie ........................................................................................................................... 3

1.2.2 Verschijningsvormen ....................................................................................................... 4

1.2.3 Rollen .............................................................................................................................. 4

2 Confidentialiteit ............................................................................................................................... 6

2.1 Algemeen................................................................................................................................. 6

2.2 Bevoegdheden tot kennisname in het recht van de VS ........................................................... 7

2.2.1 Inleiding ........................................................................................................................... 7

2.2.2 De extraterritoriale bevoegdheden .................................................................................. 8

2.2.3 Beschermingsbepalingen in het recht van de VS .......................................................... 13

2.2.4 Rechtshulpverdragen ..................................................................................................... 14

2.3 Vertrouwelijkheidsvereisten voor overheidsgegevens .......................................................... 16

2.3.1 Algemeen ....................................................................................................................... 16

2.3.2 Persoonsgegevens .......................................................................................................... 16

2.3.3 Gegevens uit een authentieke gegevensbron ................................................................. 22

2.3.4 Gegevens uit het Rijksregister ....................................................................................... 24

2.3.5 Geografische gegevens .................................................................................................. 26

2.3.6 Functionele invulling van de vertrouwelijkheidsplicht ................................................. 28

3 Beschikbaarheid ............................................................................................................................ 31

4 Aanbevelingen ............................................................................................................................... 33

1

1 INLEIDING

1.1 ALGEMEEN

1. Cloud services wereldwijd zijn aan een indrukwekkende opmars bezig. Verschillende studies wijzen

los van elkaar op een sterke groei van de markt voor clouddiensten in de komende jaren, en dan in het

bijzonder voor wat betreft het zogenaamde Software-as-a-Service (doorgaans afgekort tot SaaS).1 Zowel

particulieren, bedrijven als overheden opteren er voor om hun gegevens – in de meest ruime zin, dus

ook e-mailcommunicatie, word processing of beheertoepassingen – toe te vertrouwen aan

gespecialiseerde dienstverleners die hun diensten via het internet ter beschikking stellen. Bovendien

groeit het cloudaanbod exponentieel, worden veel diensten geïntegreerd aangeboden bij de aanschaf van

hardware (bv. een mobiele telefoon, tablet of laptop) en is het soms zelfs – op het eerste zicht althans –

uitermate goedkoop om van clouddiensten gebruik te maken. 2 Uiteenlopende redenen kunnen ten

grondslag liggen aan een – al dan niet doorgedreven – externalisering van wat men dikwijls toch wel

mag beschouwen als basis IT-diensten van een organisatie, gaande van kostenbesparingen en

schaalvoordelen tot verbeterde toegankelijkheid of verhoogde performantie.

2. Dat cloudoplossingen significante voordelen kunnen impliceren voor wat betreft de optimalisatie van

de beschikbare IT resources zal waarschijnlijk niemand meer betwisten. Dat er evenwel ook heel wat

risico’s aan verbonden zijn, is ondertussen ook al meermaals aangekaart. Deze risico’s kunnen zich

situeren in a) technisch-praktische richting (bv. verlies of diefstal van gegevens, onbeschikbaarheid van

de clouddienst als gevolg van onderhoud, etc.), b) economische richting (bv. zwakke

onderhandelingspositie ten aanzien van een wereldwijd actieve cloudaanbieder, een vendor lock-in,

onbeschikbaarheid van gegevens als gevolg van een faillissement van de cloudaanbieder, etc.) en c)

juridisch-politieke richting (onbeschikbaarheid van de gegevens als gevolg van overheidsblokkages,

restrictieve wetgevende verplichtingen ten aanzien van bepaalde gegevens en/of actoren, etc.).

3. Wat betreft de risico’s van juridisch-politieke aard moet men vaststellen dat recente gebeurtenissen

vragen doen rijzen naar de veiligheid en betrouwbaarheid van clouddiensten bij verschillende soorten

afnemers. De Snowden-onthullingen met betrekking tot de zeer uitgebreide afluisterprogramma’s van

in het bijzonder de VS, in samenwerking met enkele van haar internationale partners, hebben aanleiding

1 Zie onder meer L. COLUMBUS, “Roundup of Cloud Computing Forecasts And Market Estimates, 2015”, Forbes,

http://www.forbes.com/sites/louiscolumbus/2015/01/24/roundup-of-cloud-computing-forecasts-and-market-

estimates-2015/ (consultatie 25 februari 2015). 2 Verschillende cloud providers bieden gebruikers immers een starterspakket aan dat in vele gevallen gratis is

(denk bijvoorbeeld aan Dropbox, Google Drive, Apple’s iCloud of Microsoft’s OneDrive). Slechts wanneer men

bv. meer opslag wil of een meer professioneel gericht aanbod zal men moeten intekenen op een betalend aanbod.

2

gegeven tot protest zowel in binnen- als buitenland.3 Bevoegdheden tot kennisname door buitenlandse

mogendheden ten aanzien van informatie die beschikbaar wordt gesteld via het internet heeft echter in

veel gevallen een wettelijke grondslag in de interne juridische orde van de desbetreffende Staat. Dat is

gewoon een gevolg van het soevereiniteitsbeginsel. Het neemt echter niet weg dat de daadwerkelijke

uitoefening van deze bevoegdheden een schending kan impliceren van de soevereiniteit van een andere,

getroffen Staat, bijvoorbeeld wanneer er overheidsgegevens of gegevens betreffende de burgers van

deze laatste Staat worden afgevangen. Eén en ander is een rechtstreeks gevolg van de discongruentie

die er bestaat tussen het op territorialiteit gestoelde soevereiniteitsbeginsel en de essentiële

grenzeloosheid van het internet.

4. Dit is echter slechts één voorbeeld van hoe wettelijk verankerde bevoegdheden van de één kunnen

leiden tot significante risico’s bij de overstap naar de cloud voor een ander. Er zijn evenwel andere,

misschien minder zichtbare maar daarom niet minder belangrijke wettelijke bevoegdheden en

verplichtingen denkbaar die aanleiding geven tot risico’s wanneer men de overstap naar de cloud waagt.

De risicogevoeligheid zal verschillen naargelang de aard van de entiteit die de overstap naar de cloud

overweegt en naargelang de aard van de gegevens die men in de cloud denkt te plaatsen. Risico’s voor

overheden treden vooral op wanneer men overweegt om kritische overheidsgegevens in de cloud op te

slaan. Het mag dan ook niet verwonderen dat de overheden van verschillende ons omringende landen

reeds werk maakten van een zogenaamde “cloud strategie” die hen in staat moeten stellen om aan de

hand van concrete beleidslijnen onderbouwde keuzes met betrekking tot gebruik van clouddiensten te

maken.4

5. Dit advies tracht een aantal centrale juridische bekommernissen uit het nationale recht aan te kaarten

die in conflict komen met buitenlandse bevoegdheden. De Vlaamse overheidsdiensten zullen zich

immers met deze juridische conflictsituaties geconfronteerd weten wanneer zij bepaalde gegevens in

een (publieke) cloud wensen bij te houden. In dit advies is het de ambitie om bepaalde rechtsregels zeer

concreet in kaart te brengen, te analyseren op hun implicaties en een aantal aanbevelingen te formuleren

die het de overheidsdiensten mogelijk moeten maken om weloverwogen voor een cloudoplossing te

kiezen of niet. Zowel op het niveau van de Europese Unie als op Lidstatelijk niveau werden er reeds

gelijkaardige oefeningen gedaan.5

3 Zie bijvoorbeeld het Council of Europe Report on Mass Surveillance (http://website-

pace.net/documents/19838/1085720/20150126-MassSurveillance-EN.pdf/df5aae25-6cfe-450a-92a6-

e903af10b7a2) naar aanleiding van de onthullingen van Snowden, waar de Council of Europe de implicaties van

dergelijke praktijken voor de mensenrechten onder de aandacht brengt. 4 Voor een bondig overzicht: K. VERSLYPE, “Cloud-Strategieën bij Buitenlandse overheden (update)”, Smals

Research Note, december 2013,

https://www.smalsresearch.be/download/research_reports/research_note/cloud_strategieen_govs_buitenland%20

NL%20-%20update.pdf (consultatie 25 februari 2015). 5 Op Europees niveau willen we verwijzen naar het werk verricht in het kader van het Cloud For Europe project,

in het bijzonder naar L. HELLEMANS, “D2.1. Legal Implications on Cloud Computing”, EC FP7 Cloud For

Europe Project, 1 mei 2014,

3

6. De structuur van dit advies volgt (een gedeelte van) de zogenaamde ‘CIA triad’. Dit model voor

informatieveiligheid bestaat uit drie kernprincipes: confidentialiteit, integriteit en beschikbaarheid.6 Een

kandidaat-cloudaanbieder moet kunnen waarborgen dat deze drie kernprincipes een integraal en

essentieel deel uitmaken van de geleverde dienst. In de volgende bladzijden gaan we in op de juridische

bepalingen die betrekking hebben op de confidentialiteit en de beschikbaarheid. In de context van

clouddiensten zijn het namelijk vooral deze twee principes waarover juridische vragen bestaan.

1.2 HET BEGRIP ‘CLOUD’

1.2.1 Definitie

7. Een wettelijke definitie van cloud (of voluit: cloud computing) is tot op heden niet voor handen, noch

in de Belgische noch in de Europese regelgeving. Men vindt wel omschrijvingen terug in bepaalde

beleidsteksten zoals in de EU Cloud Strategy7, maar voornamelijk zal men moeten terugvallen op de

definities die ontwikkeld werden door de standaardisatie-instituten NIST (VS) en ETSI (EU). Waar het

ETSI zich voornamelijk geconcentreerd heeft op de definitie van de verschillende rollen8 binnen de

cloud context, heeft het NIST getracht de essentie van ‘cloud computing’ op zich te capteren:

Cloud computing is a model for enabling ubiquitous, convenient, on-demand, network

access to a shared pool of configurable computing resources (e.g. networks, servers,

storage, applications, and services) that can be rapidly provisioned and released with

minimal management effort or service provider interaction.9

Vrij vertaald:

Cloud computing is een model dat het mogelijk maakt om via een alomtegenwoordige,

handige en op vraag gebaseerde netwerktoegang te beschikken over een gedeelde

http://www.cloudforeurope.eu/documents/10179/40740/Legal+implications+of+cloud+computing/7d1e7dbf-

cb67-41bf-ac8a-77842648d010?version=1.0 (consultatie 26 februari 2015). In Nederland werd gelijkaardig wer

verricht in opdracht van de overheid in A. HENDRIKS, E. MEERSHOEK et al., “Cloud Computing, FUNDAMENT

OP ORDE”, Verdonck, Klooster & Associates, p. 39 e.v., http://www.rijksoverheid.nl/bestanden/documenten-

en-publicaties/rapporten/2012/03/15/cloud-computing-fundament-op-orde/cloud-computing-fundament-op-orde-

vka-v1-1.pdf (consultatie 25 februari 2015). 6 Confidentialiteit heeft betrekking op de capaciteit om informatie enkel ter kennis te stellen van zij die er

gerechtigd zijn toegang tot te nemen. Integriteit heeft te maken met de eigenschap dat de informatie accuraat en

onveranderd is ten aanzien van een origineel. Beschikbaarheid ten slotte betekent dat de informatie op ieder

moment toegankelijk is voor diegene die er gerechtigd is toegang tot te nemen. 7 Volgens de Europese Commissie kan men cloud computing omschrijven als:

“[…] the storing, processing and use of data on remotely located computers accessed over the internet”, wat men

vrij zou kunnen vertalen als “het op afstand opslaan, verwerken en aanwenden van gegevens op

informaticasystemen toegankelijk via het internet”, COM(2012) 529 final, p. 2. 8 ETSI, “Cloud Standards Coordination – Final Report”, november 2013, p. 3,

http://www.etsi.org/images/files/Events/2013/2013_CSC_Delivery_WS/CSC-Final_report-013-

CSC_Final_report_v1_0_PDF_format-.PDF (consultatie 26 februari 2015). 9 P. MELL en T. GRANCE, “The NIST Definition of Cloud Computing – Recommendations of the National Institute

of Standards and Technology”, NIST Special Publication 800-145, september 2011, p. 2.

4

verzameling van configureerbare computing resources (zoals netwerken, servers,

opslag, applicaties en diensten) die snel geleverd en ter beschikking gesteld kan worden

met minimale beheerinspanningen of interactie met de dienstverlener.

In de rest van het onderhavige advies wordt ‘cloud computing’ in de zin van deze definitie begrepen, zij

het dat we steeds verkort van ‘de cloud’ zullen spreken.

1.2.2 Verschijningsvormen

8. Uit bovenstaande definitie kan men reeds afleiden dat er uiteenlopende cloudoplossingen bestaan

voor verschillende toepassingen en die tegemoet komen aan onderscheiden behoeften. Meestal stelt men

dat er vier grote types van dienstenmodellen voor cloudoplossingen zijn, met name (1) Software-as-a-

Service (SaaS), (2) Platform-as-a-Service (PaaS), (3) Infrasructure-as-a-Service (IaaS) en (4) Hardware-

as-a-Service (HaaS).10 Verder maakt men een onderscheid tussen private clouds, publieke clouds en

hybride clouds. Bij een private cloud worden diensten exclusief ter beschikking gesteld van vertrouwde

gebruikers van een enkele klant (wat niet betekent dat bepaalde infrastructuur componenten niet gedeeld

kunnen zijn). In het geval van een publieke cloud worden de diensten aan het ruime publiek aangeboden

en worden de gebruikers standaard als niet-vertrouwd aangemerkt. Hybride clouds combineren dan weer

het private en het publieke model.

In dit advies wordt aangenomen dat de Vlaamse overheidsdiensten kiezen tussen het Iaas-, PaaS- en

SaaS-aanbod van een cloudaanbieder. De nadruk ligt voornamelijk op de implicaties van bepaalde

juridische bevindingen voor een publiek dan wel een virtueel privaat cloudaanbod.11 Bovendien zal het

in de praktijk veelal gaan om een aanbieder van Amerikaanse oorsprong, zoals Microsoft, HP, Google,

Dropbox etc., wat het belang van onderstreept om het Amerikaans recht mee te nemen in de analyse.

1.2.3 Rollen

9. Uit de bovenstaande inleiding kan men reeds afleiden dat het kiezen voor een cloudoplosssing, alsook

het effectief uitrollen van een oplossing naar een bepaalde klant, een complexe aangelegenheid is. Als

gevolg van deze complexiteit zijn er op de markt tussenpersonen actief. Deze tussenpersonen assisteren

klanten bij het maken van een selectie uit het uitgebreide aanbod van clouddiensten. Tevens kunnen zij

klanten begeleiden bij de integratie van de verschillende diensten wanneer een heterogene12 oplossing

uitgerold wordt. Dit alles maakt dat het landschap van actoren in de cloudcontext vrij gevarieerd is en

dat er voor een amalgaam van dienstverleners onderscheiden rollen weggelegd zijn.

10 Voor een gedetailleerde omschrijving en voorbeelden verwijzen we naar N. ROBINSON ̧L. VALERI, J. CAVE, T.

STARKEY, H. GRAUX, S. CREESE en P. HOPKINS, “The Cloud: Understanding the Security, Privacy and Trust

Challenges”, Final Report for the European Commission, 30 november 2010, p. 13 e.v. 11 Virtueel private clouds zijn clouds die op een publieke infrastructuur draaien maar die door middel van

virtualisatie toch de karakteristieken van een private cloud bieden. 12 Hiermee bedoelen we dat een cloudoplossing kan bestaan uit diensten van verschillende aanbieders die

uiteindelijk geïntegreerd aan de klant worden aangeboden.

5

10. Om deze verscheidenheid aan rollen toch enigszins gestructureerd te kunnen benaderen, werd door

het ETSI een generische taxonomie ontwikkeld. Deze taxonomie zal ook in dit advies waar nodig

gehanteerd worden.13 Er worden vier rollen gedefinieerd:

klant: diegene die clouddiensten afneemt voor eigen gebruik;

aanbieder: diegene die clouddiensten aanbiedt aan klanten;

partner: de tussenpersoon die helpt om clouddiensten aan te bieden, dan wel af te nemen;

overheid (niet als klant maar in een regulerende capaciteit).

13 Supra voetnoot 8.

6

2 CONFIDENTIALITEIT

2.1 ALGEMEEN

11. Het confidentialiteitsprincipe, dat inhoudt dat enkel de bevoegde entiteit toegang heeft tot bepaalde

gegevens, is juridisch gezien waarschijnlijk het meest complexe principe in de cloudcontext.

Uiteenlopende materies geven het concreet vorm maar hebben niet zelden tegengestelde objectieven.

Ten aanzien van de klant zal het privacyrecht eisen stellen betreffende de veiligheid van

persoonsgegevens. Ook kunnen bepaalde publiekrechtelijke instrumenten eisen stellen met betrekking

tot de veiligheid van gegevens van algemeen of strategisch belang.

Ten aanzien van de aanbieder kunnen er dan weer vragen/bevelen komen van – al dan niet buitenlandse

– autoriteiten, steunende op bevoegdheden uit het eigen recht, om bepaalde informatie vrij te geven. De

klant zal bij het overwegen van een cloudoplossing rekening moeten houden met het feit dat de aanbieder

met een dergelijk bevel geconfronteerd kan worden.

12. In dit hoofdstuk zullen in een eerste onderdeel de wettelijke bepalingen aan bod komen die het de

Amerikaanse overheidsdiensten mogelijk maken om kennis te nemen van Belgische gegevens

bijgehouden in een cloud. In een tweede onderdeel zullen dan de federale en Vlaamse wettelijke

verplichtingen en modaliteiten aan bod komen die de vertrouwelijkheid van overheidsgegevens

betreffen. Deze verplichtingen en modaliteiten zullen in belangrijke mate de keuze van de Vlaamse

overheidsdiensten voor een welbepaalde cloudoplossing sturen en beperken, zeker wanneer men ze

kadert tegen de achtergrond van de Amerikaanse kennisnamebevoegdheden zoals besproken in het

eerste onderdeel.

7

2.2 BEVOEGDHEDEN TOT KENNISNAME IN HET RECHT VAN DE VS

2.2.1 Inleiding

13. In de nasleep van de onthullingen door Edward Snowden werd het Amerikaanse (en Britse) recht in

allerhande artikelen, verslagen en rapporten onder de loep genomen. Zo werden de mogelijkheden voor

de Amerikaanse overheid tot kennisname van communicatie en informatie verzonden via onder meer

het internet beter in kaart gebracht.14 In wezen onderscheidt men daarbij twee verschillende soorten van

juridische wegen om tot dergelijke kennisname over te gaan. Enerzijds zijn er de bepalingen in het

interne Amerikaanse recht die de overheid een extraterritoriale onderzoeksbevoegdheid geven. Op deze

basis kan de Amerikaanse overheid besluiten om gegevens van buitenlandse oorsprong te capteren en

er kennis van te nemen. Anderzijds zijn er de zogenaamde bi- en multilaterale verdragen voor

wederzijdse rechtshulp waarbij soevereine Staten aan elkaar toezeggen onder bepaalde voorwaarden

kennis en informatie te zullen overdragen ter bestrijding van misdrijven en ter preventie van terrorisme.

14. Men dient overigens op te merken dat niet alleen de Amerikaanse en Britse overheden op basis van

hun nationale recht extraterritoriale onderzoeksbevoegdheden hebben. Ook heel wat Europese Lidstaten

hebben zich gelijkaardige bevoegdheden toebedeeld, België incluis.15 Het doet bepaalde auteurs dan ook

besluiten dat het een illusie is te denken dat er zoiets bestaat als een ‘veilige haven’ waar men gegevens

kan opslaan in een (publieke) cloud zonder dat deze blootstaan aan enige kennisname door een vreemde

overheid.16 Extraterritoriale bevoegdheden maken immers tot op zekere hoogte abstractie van nationale

soevereiniteit en territorialiteit en kennen het vigerende nationale recht van de fysieke plaats van opslag

een ondergeschikt belang toe. Dat in dit advies evenwel in het bijzonder het Amerikaanse recht aan bod

komt, en niet alle andere mogelijke rechtstelsels, heeft in wezen drie redenen. Ten eerste tonen de recente

gebeurtenissen aan dat de overheid van de VS haar bevoegdheden met succes weet aan te wenden. Ten

tweede kan men niet ontsnappen aan de observatie dat de meeste grote actoren op de markt voor

cloudoplossingen Amerikaanse bedrijven zijn. De Belgische Yahoo-zaak leert immers dat het niet

volstaat om als overheid bepaalde bevoegdheden op te eisen, maar dat men ze – om effectief resultaat

14 In België liet bijvoorbeeld het Vast Comité I, dat toezicht houdt op de veiligheidsdiensten, twee studies

uitvoeren naar enerzijds de onthullingen met betrekking tot het PRISM programma en anderzijds naar de

mensenrechtelijke implicaties van een dergelijk programma: M. VERMEULEN, “De Snowden-revelaties, massale

data-captatie en politieke spionage. Open bronnenonderzoek”, 23 oktober 2013, 1-41; A. SCHAUS, “Advies over

de in België geldende regels ter bescherming van de privacy ten aanzien van middelen die toelaten op grote

schaal gegevens van België verblijvende personen, organisaties, ondernemingen of instanties (of enige link

hebben met België) te onderscheppen en te exploiteren”, Vast Comité van Toezicht op de inlichtingen- en

veiligheidsdiensten, 27 november 2013, 1-26,

http://www.comiteri.be/index.php?option=com_content&view=article&id=41&Itemid=75&lang=NL

(consultatie 2 maart 2015). 15 Voor een overzicht verwijzen we naar W. MAXWELL en C. WOLF, “A Global Reality: Governmental Access to

Data in the Cloud”, Hogan Lovells White Paper, 18 juli 2012, 1-13. De extraterritoriale onderzoeksbevoegdheden

van de Belgische overheid op het internet werden overigens relatief recent bevestigd door het Hof van Cassatie in

de zogenaamde Yahoo-zaak: Cass. 4 september 2012, Pas. 2012, afl. 9, 1564. 16 W. MAXWELL en C. WOLF, supra voetnoot 15, p. 2.

8

te bereiken – dan ook in de praktijk moet kunnen afdwingen. De Amerikaanse overheid zal veel

gemakkelijker een cloudaanbieder tot een bepaalde vrijgave kunnen dwingen dan dat bijvoorbeeld de

Belgische overheid dit kan. Ten derde zou het, binnen de objectieven van dit advies, ons te ver leiden

om alle relevante rechtstelsels in voldoende detail te bespreken.

2.2.2 De extraterritoriale bevoegdheden

§1. Executive Order 12333

15. Een eerste, overigens zeer ruime, grond voor de Amerikaanse inlichtingendiensten17 om over te gaan

tot kennisname van buitenlandse gegevens, vindt men in Executive Order 12333 (hierna: EO 12333).18

In sectie 2.3 wordt gestipuleerd dat de inlichtingendiensten gegevens mogen verzamelen, bewaren en

verspreiden onder meer wanneer het gaat om informatie die kwalificeert als buitenlandse inlichtingen

(‘foreign intelligence’). Het EO 12333 definieert in sectie 3.4(d) foreign intelligence bijzonder ruim als

“informatie betreffende de mogelijkheden, intenties en activiteiten van buitenlandse machten,

organisaties of personen, met uitsluiting van contraspionage behalve wanneer het gaat om informatie

met betrekking tot internationale activiteiten van terroristen” (vrije vertaling van de auteur). Noteer dat

hieronder ook de zogenaamde signals intelligence of SIGINT valt, waarmee inlichtingen op basis van

elektronische signalen aangeduid worden. Het moge duidelijk zijn dat gegevens die in een cloud werden

opgeslagen hier integraal onder vallen.

16. Tevens is het belangrijk op te merken dat EO 12333 niet de medewerking van bijvoorbeeld een

cloudaanbieder oplegt om de gegevens te capteren, maar eerder een grondslag vormt voor het

eigengereide optreden van de inlichtingendiensten die met eigen – confidentiële – middelen de gegevens

trachten te onderscheppen.19 VERMEULEN merkt op dat voor de toepassing van de bevoegdheden onder

het EO 12333 bovendien de strengere procedurevereisten van de FISA (zie hieronder) niet van

toepassing zijn en dat het toezicht op activiteiten onder EO12333 zeer beperkt is.20 In principe zullen de

inlichtingendiensten enkel onderworpen zijn aan het toezicht door de Attorney General, en dan nog

enkel in die gevallen waar het gaat om het verzamelen van inlichtingen binnen de VS of betreffende

VS-onderdanen verblijvend in het buitenland (sectie 2.3 en 2.5). Voor buitenlandse inlichtingen in de

zin van sectie 3.4(f) is het toezicht nog beperkter en dienen in feite enkel de algemene principes van EO

12333 gevolgd te worden alsook de procedures a priori vastgelegd door de Attorney General en het

hoofd van de relevante inlichtingendienst.

17 Daaronder niet enkel de NSA begrepen, maar de hele inlichtingendienstengemeenschap, zie sectie 3.4(f). 18 Exec. Order No. 12333, 46 Fed. Reg. 59941 (Dec. 4, 1981). 19 J. N. TYE, “Meet Executive Order 12333: The Reagan rule that lets the NSA spy on Americans”, The

Washington Post 18 juli 2014, http://www.washingtonpost.com/opinions/meet-executive-order-12333-the-

reagan-rule-that-lets-the-nsa-spy-on-americans/2014/07/18/93d2ac22-0b93-11e4-b8e5-

d0de80767fc2_story.html. 20 M. VERMEULEN, supra voetnoot 14, p. 3.

9

§2. Foreign Intelligence Surveillance Act

17. De Foreign Intelligence Surveillance Act (kortweg: FISA) is een Amerikaanse wet daterende van

1978 die de procedures omschrijft om informatie te vergaren via fysieke en elektronische observatie,

alsook het bekomen van buitenlandse inlichtingen. De wet kwam er als een reactie op ongebreidelde

informatievergaring door de federale overheid in naam van nationale veiligheid. 21 De FISA werd

meerdere keren geamendeerd, onder meer door de niet onbesproken Patriot Act in 2001, de Protect

America Act (PAA) in 2007 en de FISA Amendments Act (FAA) in 2008. De verschillende

amendementen leidden ertoe dat heel wat bevoegdheden uit de oorspronkelijke FISA werden uitgebreid,

dan wel nieuwe toegevoegd. Zoals verder in onderdeel 2.3.4 zal worden besproken, is het nooit de

bedoeling geweest, noch in 1978 noch in latere amendementen om de rechten van niet-VS-burgers te

beschermen.

18. In het kader van dit advies is vooral 50 U.S.C. sectie 1881a van belang. De bevoegdheden uit deze

sectie zijn zeer algemeen. De autoriteiten kunnen zo onder meer elektronische

communicatiedienstverleners bevelen (i) informatie kwalificerend als foreign intelligence information

over te maken dan wel (ii) hun medewerking te verlenen bij het verkrijgen van dergelijke informatie.22

Elektronische communicatiedienstverleners die met een dergelijk bevel geconfronteerd worden, hebben

het recht om dit te betwisten voor de Foreign Intelligence Surveillance Court (kortweg: FISC). Indien

zij weigeren gehoor te geven aan het bevel, kunnen zij door de FISC gedwongen worden. Opdat de FISC

haar dwangbevoegdheid daadwerkelijk zou kunnen uitoefenen, moet de dienstverlener uiteraard in de

eerste plaats onderworpen zijn aan het Amerikaanse recht. De VS menen in dit verband dat zij bevoegd

zijn wanneer:23

de dienstverlener gevestigd is in de VS;

de dienstverlener een dochteronderneming of kantoor in de VS heeft;

de dienstverlener systematisch en met een zekere continuïteit zaken doet in de VS.

19. Met het amendement geïntroduceerd door de FAA werden de procedures met betrekking tot het

viseren van bepaalde personen buiten de VS die geen Amerikaans staatsburger zijn – zoals bepaald in

50 U.S.C. sectie 1881a – gewijzigd. Zo moet men niet langer specifieke doelwitten identificeren en komt

de autorisatie van specifieke observaties in feite te liggen bij de Attorney General (kortweg: AG) en de

21 Justice Information Sharing – US Department of Justice, “The Foreign Intelligence Surveillance Act of 1978”,

https://it.ojp.gov/default.aspx?area=privacy&page=1286. 22 Wat betreft de definities van de gebruikte begrippen, infra randnummers 20 en 21. Noteer dat de tekst van de

sectie, waar deze handelt over bevelen aan elektronische communicatiedienstverleners, letterlijk spreekt van

‘acquisition’ en niet ‘collection’ van foreign intelligence information, waarbij de eerste term begrepen dient te

worden als ‘collection’ gevolgd door verwerking zodat de verkregen gegevens begrepen kunnen worden. Eén en

ander vindt men terug in M. VERMEULEN, supra voetnoot 14, p. 4. 23 W. MAXWELL en C. WOLF, supra voetnoot 15, p. 5-6.

10

Director of National Intelligence (kortweg: DNI) en niet langer bij de FISC.24 De voornoemde sectie

bepaalt dat de AG en de DNI samen – voor een periode van maximaal 1 jaar vanaf het verlenen van de

autorisatie – het viseren van personen buiten de VS mogen autoriseren ter verkrijging van buitenlandse

inlichtingen (50 U.S.C. § 1181a (a)). Hiertoe moeten de AG en de DNI onder meer specifieke procedures

en richtlijnen vastleggen met betrekking tot het viseren van personen en minimalisatie.25 Ook moeten

zij een certificering voorleggen aan de FISC, die de toepasselijkheid en naleving van een aantal

voorwaarden zal nagaan, onder meer of het verkrijgen van de inlichtingen de medewerking vereist van

een elektronische communicatiedienstverlener (50 USC 1881a (g)(2)(A)(vi)). De FISC kan dan haar

goedkeuring hechten aan de jaarlijkse certificeringen.

20. De reikwijdte van de bevoegdheden onder de FISA wordt in belangrijke mate bepaald door de

invulling die de Amerikaanse wetgever geeft aan een aantal centrale concepten. Het concept van

elektronische communicatiedienstverlener in de zin van de FISA is bijvoorbeeld ruimer dan wat men er

traditioneel in de EU zou onder verstaan op grond van artikel 2 van de Kaderrichtlijn (2002/21/EG).26

Zo bepaalt 50 U.S.C. sectie 1881 (b)(4)(C) jo 18 U.S.C. sectie 2711 (2) dat onder dit begrip ook de

remote computing services vallen, die men definieert als het publiek aanbieden van computeropslag en

–verwerkingsdiensten via een systeem van elektronische communicatie (vrije vertaling van de auteur).

Gelet op deze omvattende invulling van het begrip van ‘elektronische communicatiedienstverlener’

vallen clouddiensten integraal binnen het toepassingsgebied van men 50 U.S.C. sectie 1881a. VAN

HOBOKEN et al. onderstrepen in dit verband het technologie-neutrale karakter van de amendementen

doorgevoerd op basis van de FAA, in tegenstelling tot de oorspronkelijke FISA die een onderscheid

maakte naargelang de technologie gebruikt om de gegevens te transporteren.27

21. Met de bevoegdheden in 50 U.S.C. sectie 1881a tracht men foreign intelligence information (hierna:

informatie m.b.t. buitenlandse inlichtingen) te vergaren. Dit begrip dekt evenwel niet helemaal dezelfde

lading als het begrip foreign intelligence uit EO 12333. 50 U.S.C. sectie 1801 (e) definieert foreign

intelligence information als:28

(1) informatie die betrekking heeft op, en waar deze een staatsburger van de VS betreft

noodzakelijk is voor, de capaciteit van de VS om zich te verdedigen tegen:

(A) een daadwerkelijke of potentiële aanval of andere ernstige vijandelijke

gedragingen van een buitenlandse macht of diens uitvoeringsagent;

24 L. C. RINEHART, “Clapper v. Amnesty International USA: Allowing the FISA Amendments Act of 2008 to Turn

‘Incidentally’ into ‘Certainly’”, Maryland Law Review 2014, Vol. 73, 1020-1021. 25 Procedures die opnieuw gericht zijn op de bescherming van Amerikaanse burgers, cfr. infra. 26 Richtlijn van het Europees Parlement en de Raad 2002/21/EG, 7 maart 2002 inzake een gemeenschappelijk

regelgevingskader voor elektronische communicatienetwerken en –diensten, Pb.L. 24 april 2004, afl. 108, p. 33. 27 J. VAN HOBOKEN, A. ARNBAK en N. VAN EIJK, “Cloud diensten in hoger onderwijs en onderzoek en de USA

Patriot Act”, Instituut voor Informatierecht IViR september 2012, p. 17,

http://www.ivir.nl/publicaties/download/686. 28 Vrije vertaling door de auteur.

11

(B) sabotage, internationaal terrorisme, of de internationale proliferatie van

massavernietigingswapens door een buitenlandse macht of diens uitvoeringsagent;

(C) clandestiene inlichtingenactiviteiten van een inlichtingendienst of netwerk van

een buitenlandse macht of diens uitvoeringsagenten; of

(2) informatie die betrekking heeft op een buitenlandse macht of buitenlands territorium

dewelke verband houdt met, en waar het een staatsburger van de VS betreft

noodzakelijk is voor:

(A) de nationale verdediging of de veiligheid van de VS; of

(B) het voeren van buitenlandse betrekkingen van de VS.

Het begrip gehanteerd in EO 12333 is duidelijk ruimer in die zin dat er nergens specifiek gewag wordt

gemaakt van enig strategisch belang voor de VS met betrekking tot de buitenlandse inlichtingen. De

definitie gehanteerd in de FISA daarentegen vereist wel dat een dergelijk belang voor handen is om te

kunnen spreken van informatie m.b.t. buitenlandse inlichtingen. Men kan echter niet ontsnappen aan de

observatie dat ook de FISA een breed materieel toepassingsgebied zal hebben, zeker gelet op het

bepaalde in paragraaf (2) van 50 U.S.C. sectie 1801 (e). Er is immers heel wat ruimte voor interpretatie

over wat juist noodzakelijk zal zijn voor de nationale verdediging of de veiligheid van de VS.29 Zo is

het niet vereist dat er effectief sprake is van feiten waarbij een buitenlandse persoon, overheid of

uitvoeringsagent van een overheid inbreuken zou hebben begaan tegen de nationale veiligheidsbelangen

van de VS, noch dat er misdrijven zijn gepleegd opdat de VS de FISA bevoegdheden zouden kunnen

inroepen.30 Ook moet men geen specifieke doelwitten bepalen, maar kan men volstaan met algemenere

doelwitten te viseren (zoals bv. de Vlaamse overheid).

22. Een andere relevante bepaling uit de FISA is 50 U.S.C. sectie 1861, dewelke het hoofd van de FBI

of zijn gedelegeerde toelaat om de rechter te vragen toegang te bevelen tot bepaalde bedrijfsgegevens

in het kader van een onderzoek naar buitenlandse inlichtingen door overdracht van bepaalde zaken.31

Opnieuw wordt de brede doelstelling van het bekomen van informatie m.b.t. buitenlandse inlichtingen

als motivatie voor het verzoek vooropgesteld, wat wijst op een zeer brede toepassing van de voornoemde

sectie.32 Daarenboven wordt verwezen naar de richtlijnen die de Attorney General kan uitvaardigen op

grond van EO 12333 als kader voor het uitoefenen van deze opvorderingsbevoegdheid, wat doet

vermoeden dat enige bescherming voor gegevens van buitenlanders niet direct voor handen zal zijn.

29 M. VERMEULEN, supra voetnoot 14, p. 5. 30 J. VAN HOBOKEN et al., supra voetnoot 27, p. 18. 31 50 U.S.C. § 1861 (a)(1). De wet spreekt van ‘tangible thing’ dat hier ook elektronische gegevens kan omvatten:

E. BAZAN, “The Foreign Intelligence Surveillance Act: An Overview of the Statutory Framework and U.S. Foreign

Intellignece Surveillance Court and U.S. Foreign Intelligence Surveillance Court of Review Decisions”, CRS

Report for Congress 15 februari 2007, 63, http://fas.org/sgp/crs/intel/RL30465.pdf. 32 Noteer dat de Patriot Act eerst een beperkter opzet voor ogen had, in die zin dat het moest gaan om een onderzoek

naar terrorisme of spionageactiviteiten, maar om redenen van consequentie met paragraaf (b) van dezelfde sectie

werd dit later uitgebreid naar het vergaren van informatie m.b.t. buitenlandse inlichtingen die geen betrekking

heeft op een staatsburger van de VS: E. BAZAN, supra voetnoot 31, p. 62.

12

Diegene aan wie het rechterlijk bevel op grond van 50 U.S.C. sectie 1861 wordt opgelegd is op basis

van paragraaf (d) onderworpen aan een geheimhoudingsplicht. Met andere woorden, indien een

cloudaanbieder onderworpen aan Amerikaans recht op verzoek van de FBI een dergelijk bevel opgelegd

krijgt, dan moet hij de gegevens die het voorwerp van het bevel uitmaken overmaken zonder dit aan de

buitenlandse klant te melden.

23. De bevoegdheid omschreven in de vorige paragraaf niet verward mag worden met de bevoegdheden

van de FBI om in bepaalde gevallen zogenaamde national security letters (kortweg: NSLs) uit te

vaardigen. Deze speciale categorie van administratieve dwangbevelen kunnen – zonder rechterlijke

tussenkomst – gebruikt worden door het hoofd van de FBI of zijn gedelegeerde om bepaalde metadata

rechtstreeks op te vorderen bij elektronische communicatiedienstverleners (zie de bespreking van de

ECPA hieronder).33 Gegevens die men op basis van de NSLs kan bekomen zijn onder meer naam, adres

en duurtijd van de dienst. De FBI kan enkel van deze bevoegdheid gebruik maken in het kader van een

onderzoek naar terrorisme of spionageactiviteiten en kan de dienstverlener een geheimhoudingsplicht

opleggen.34 Op basis van deze bevoegdheid zal men evenwel nooit toegang kunnen krijgen tot de inhoud

van de gegevens.35

§3. Electronic Communications Privacy Act

24. De Electronic Communications Privacy Act (kortweg: ECPA) is een wet die in het bijzonder de

overheidsbevoegdheden omtrent tappen regelt. Het is dus niet meteen een wet die zich situeert in de

sfeer van de inlichtingendiensten, maar eerder in de sfeer van criminaliteitsbestrijding door politie en

justitie (let evenwel op het bepaalde onder het vorige randnummer). Op grond van 18 U.S.C. sectie 2703

(b), ingevoerd in de ECPA door de Stored Communications Act (kortweg: SCA), kan een

overheidsdienst een aanbieder van remote computing services 36 verplichten om de inhoud van

opgeslagen informatie vrij te geven, al dan niet met verplichte melding aan de betrokkene. Men kan dit

bevel richten tot de aanbieder op drie manieren: (i) op basis van een huiszoekingsbevel (vergelijkbaar

met het Belgische huiszoekingsbevel; geen melding a priori aan de betrokkene), (ii) rechtstreeks door

de overheidsdienst op basis van een administratief dwangbevel (wel verplicht a priori melding aan de

betrokkene) of (iii) op basis van een specifiek gerechtelijk bevel op grond van 18 U.S.C. sectie 2703

(d). In het laatste geval moet de overheidsdienst aantonen dat de gegevens (inhoud dan wel metadata)

relevant en instrumenteel zijn in een lopend strafrechtelijk onderzoek (ook verplichte melding a priori

aan de betrokkene). Met andere woorden, er staan drie wegen open voor de overheidsdiensten om op

basis van 18 U.S.C. sectie 2703 (b) kennis te nemen van inhoud die werd opgeslagen in de cloud.

33 Dit op grond van 18 U.S.C. § 2709. 34 18 U.S.C. § 2709 (b) en (c). 35 W. MAXWELL en C. WOLF, supra voetnoot 15, p. 5. 36 De definitie van dit concept werd reeds geciteerd in randnummer 20.

13

25. Om kennis te kunnen nemen van de inhoud van emailberichten opgeslagen in de cloud moeten

overheidsdiensten het bepaalde in 18 U.S.C. 2703 (a) respecteren, hetgeen inhoudt dat men een

onderscheid moet maken naargelang de tijd dat het bericht is opgeslagen. Is het bericht opgeslagen voor

180 dagen of minder, dan moet men een huiszoekingsbevel bekomen. Is het bericht reeds opgeslagen

voor meer dan 180 dagen, dan kan men gebruik maken ofwel van een administratief bevel dan wel van

een gerechtelijk bevel op basis van 18 U.S.C. sectie 2703 (d). MAXWELL et al. geven aan dat er reeds

gezaghebbende rechtspraak is die meent dat om van de inhoud van emailberichten opgeslagen in de

cloud kennis te kunnen nemen steeds een huiszoekingsbevel nodig is, ongeacht de periode dat de

berichten reeds opgeslagen werden.37

26. Op grond van 18 U.S.C. 2703 (c) kunnen overheidsdiensten eveneens metadata opvorderen van

cloudaanbieders. Indien de overheidsdiensten zulks rechtstreeks vorderen via een administratief bevel,

dan kunnen zij enkel vragen om een aantal types van metadata (naam en adres betrokkene, duurtijd van

de dienst, betalingsgegevens voor de dienst etc.). Wordt evenwel een huiszoekingsbevel bekomen dan

wel een bevel op basis van 18 U.S.C. sectie 2703 (d), dan worden de gegevenstypes niet limitatief

omschreven, zij het dat het nog steeds moet gaan om metadata. In de hypothesen omschreven in deze

paragraaf moet de overheidsdienst de betrokkene niet op de hoogte brengen van het bevel.

27. Noteer tot slot van dit onderdeel dat de ECPA cloudaanbieders formeel verbiedt om vrijwillig

informatie betreffende de inhoud van opgeslagen gegevens over te maken aan overheidsdiensten tenzij

een aantal limitatief opgesomde uitzonderingen, waaronder deze omschreven in de vorige paragrafen.38

2.2.3 Beschermingsbepalingen in het recht van de VS

28. Uit het vorige onderdeel blijkt duidelijk dat het Amerikaanse recht bijzonder ruime bevoegdheden

tot kennisname voorziet voor overheidsdiensten ten aanzien van informatie opgeslagen in de cloud door

buitenlandse mogendheden. Men kan zich dan ook afvragen of er in het Amerikaanse recht dan geen

enkele bescherming bestaat voor entiteiten zoals de Vlaamse overheid of Belgische onderdanen om zich

te verweren tegen deze bevoegdheden.

29. VAN HOBOKEN et al. geven expliciet aan dat buitenlandse individuen al geenszins aanspraak kunnen

maken op de constitutionele bescherming die Amerikaanse staatsburgers genieten op grond van het

Fourth Amendment.39 Het Fourth Amendment van de Amerikaanse Grondwet legt het recht van de

mensen vast om zich beschermd te weten in hun persoon, huis, briefwisseling, en eigendom tegen

onredelijke zoekingen en inbeslagnames. Het is met andere woorden het grondrecht dat bescherming

biedt tegen excessieve overheidsinmenging in het privéleven. Vaststaande rechtspraak van het

37 W. MAXWELL en C. WOLF, supra voetnoot 15, p. 4. 38 18 U.S.C. § 2702. 39 J. VAN HOBOKEN et al., supra voetnoot 27, p. 12.

14

Amerikaanse Hooggerechtshof is echter in deze zin gevestigd dat het Fourth Amendment niet geldt ten

aanzien van buitenlanders.40 Zij kunnen er geen aanspraak op maken.

30. Dit betekent evenwel niet dat het Amerikaanse recht helemaal geen bescherming biedt, enkel dat

deze niet van grondwettelijke aard zal zijn. MAXWELL en WOLF citeren, specifiek met betrekking tot

clouddiensten, een relatief recent arrest gewezen door een gezaghebbend Amerikaans Hof van Beroep.41

In de zaak die het Hof werd voorgelegd betwiste Microsoft een vordering tot overlegging van e-mails

uit een Hotmail-account van een Indisch staatsburger.42 Het Hof besloot dat de bescherming geboden

door de ECPA in secties 18 U.S.C. §§ 2510-2522 ook gold voor deze buitenlander. Indien deze

rechtspraak breder gevolgd wordt en tot vaststaande rechtspraak uitgroeit, zou dit kunnen betekenen dat

Belgen aanspraak kunnen maken op bescherming geboden in statutaire wetgeving zoals de ECPA.

Buitenlandse overheidsdiensten zoals de Vlaamse zullen echter steeds geconfronteerd worden met de

bepalingen uit EO 12333 en de FISA die zo duidelijk gericht zijn op het vergaren van buitenlandse

inlichtingen dat van enige bescherming geen sprake zal zijn. Ze kunnen enkel hopen dat Amerikaanse

cloudaanbieders waar zij eventueel gegevens aan hebben toevertrouwd zich verzetten tegen een bepaald

bevel, zoals dit onder meer mogelijk is onder de FISA (supra randnummer 18).

2.2.4 Rechtshulpverdragen

31. Volledigheidshalve wordt nog kort ingegaan op een laatste mogelijkheid voor de Amerikaanse

overheid om toegang te krijgen tot bepaalde overheidsgegevens opgeslagen in een cloud, met name via

rechtshulpverdragen.43 Zowel de EU als België sloten met de VS reeds verdragen met als opzet het

wederzijds verlenen van rechtshulp in strafzaken. 44 Deze beide verdragen werden door België

geratificeerd en hebben bijgevolg kracht van wet.45

40 United States v. Verdugo-Urquidez, 494 U.S. 259 (1990) 41 W. MAXWELL en C. WOLF, supra voetnoot 15, p. 6. 42 Suzlon Energy Ltd. v. Microsoft Corp., 671 F.3d 726 (9th Cir. 2011) 43 W. MAXWELL en C. WOLF, supra voetnoot 15, p. 3-4; A. LAKATOS, “The USA Patriot Act and the Privacy of

Data Stored in the Cloud”, Business & Technology Sourcing Review 18 januari 2012,

http://www.mayerbrown.com/publications/The-USA-Patriot-Act-and-the-Privacy-of-Data-Stored-in-the-Cloud-

01-18-2012/. 44 Overeenkomst betreffende wederzijdse rechtshulp in strafzaken tussen de Europese Unie en de Verenigde Staten

van Amerika van 25 juni 2003, Pb.L. 19 juli 2003, afl. 181 (hierna: multilateraal rechtshulpverdrag);

Overeenkomst tussen het Koninkrijk België en de Verenigde Staten van Amerika aangaande de rechtshulp in

strafzaken, BS 8 december 1999, 45434 (hierna: bilateraal rechtshulpverdrag). 45 Wet 4 maart 1998 houdende instemming met de Overeenkomst tussen het Koninkrijk België en de Verenigde

Staten van Amerika aangaande de rechtshulp in strafzaken, en Bijlage, ondertekend te Washington op 28 januari

1988, BS 8 december 1999, 45434; Wet 30 juni 2009 houdende instemming met volgende Internationale Akten:

1) Overeenkomst betreffende wederzijdse rechtshulp in strafzaken tussen de Europese Unie en de Verenigde Staten

van Amerika, gedaan te Washington D.C. op 25 juni 2003, 2) Instrument, gedaan te Brussel op 16 december 2004,

als bedoeld in artikel 3, lid 2, van de Overeenkomst betreffende wederzijdse rechtshulp in strafzaken tussen de

Europese Unie en de Verenigde Staten van Amerika, gedaan op 25 juni 2003, met betrekking tot de toepassing

van de Overeenkomst tussen het Koninkrijk België en de Verenigde Staten van Amerika aangaande de rechtshulp

in strafzaken, ondertekend op 28 januari 1988, BS 8 maart 2010, 14512.

15

32. Indien de Amerikaanse overheidsdiensten informatie of inlichtingen wensen te bekomen die de

Vlaamse overheid onder zich houdt in een cloud, dan zal in de eerste plaats artikel 5 van het bilateraal

rechtshulpverdrag relevant zijn. Dit artikel bepaalt dat, ter opsporing, vervolging en bestraffing van

misdrijven, de verzoekende Staat (in onze hypothese de VS) de aangezochte Staat (in casu België) kan

vragen alle inlichtingen en alle voorwerpen (inclusief stukken of dossiers) in het bezit van een

overheidsbestuur of –instelling over te leggen. Men kan dit vragen voor zowel publiek toegankelijke als

niet-publiek toegankelijke inlichtingen en voorwerpen.

33. Voor wat betreft de niet-publiek toegankelijke inlichtingen en voorwerpen zal de aangezochte Staat

de overlegging aan dezelfde voorwaarden kunnen onderwerpen als deze waaraan – in casu de Belgische

– justitie zich moet houden om tot deze zaken toegang te krijgen. De aangezochte Staat zal voor dit type

van inlichtingen en voorwerpen het verzoek kunnen weigeren, bijvoorbeeld omdat het verzoek een

aantasting betekent van de soevereiniteit, de veiligheid of andere wezenlijke algemene belangen van de

aangezochte Staat (art. 13 bilateraal rechtshulpverdrag én multilateraal rechtshulpverdrag). Artikel 9, 2

multilateraal rechtshulpverdrag bepaalt bovendien dat de aangezochte Staat in een concrete zaak

voorwaarden zal kunnen stellen aan het gebruik van door haar overgelegd bewijsmateriaal en informatie.

Met andere woorden, hoewel de VS de rechtshulpverdragen kunnen inroepen om in welbepaalde

omstandigheden toegang te krijgen tot overheidsgegevens in de cloud, zal de Vlaamse overheid a) daar

steeds van op de hoogte zijn, en b) bepaalde weigeringsgronden kunnen inroepen indien deze gegevens

de belangen uit artikel 13 bilateraal rechtshulpverdrag betreffen.

16

2.3 VERTROUWELIJKHEIDSVEREISTEN VOOR OVERHEIDSGEGEVENS

2.3.1 Algemeen

34. Vertrouwelijkheidsvereisten voor (Vlaamse) overheidsgegevens vindt men in zeer uiteenlopende

rechtstakken en ter bescherming van uiteenlopende belangen. Dit amalgaam van regels noopt ons ertoe

om toch een bepaalde selectie te maken bij het in kaart brengen van de meest relevante verplichtingen.

Het zou immers onmogelijk zijn om a priori en onafhankelijk van de concrete implementatie een

volledig exhaustief overzicht te geven van alle toepasselijke bepalingen. Dit advies zal zich daarom

richten op een aantal eerder algemene vertrouwelijkheidsplichten en tweetal specifieke

vertrouwelijkheidsplichten bij wijze van illustratie.46 Het gaat dan met name om (1) persoonsgegevens,

(2) gegevens in authentieke gegevensbronnen, (3) gegevens uit het Rijksregister en (4) geografische

gegevens.

2.3.2 Persoonsgegevens47

§1. Toepassingsgebied en rolverdeling

35. De categorie van persoonsgegevens is – gelet op de definitie in artikel 1, §1 WVP – bijzonder ruim.

Dit maakt dat de wet van toepassing zal zijn in heel wat scenario’s van opslag van overheidsgegevens

in de cloud. Bovendien legt de wet verplichtingen met betrekking tot de verwerking van

persoonsgegevens op aan een generische categorie van onderhorigen. We bedoelen hiermee dat de

verplichtingen van de wet nageleefd moeten worden voor ieder die de wet aanmerkt als

verantwoordelijke voor de verwerking.48 Voor de meeste persoonsgegevens waarover de overheid het

beheer voert, zal zij als verantwoordelijke gekwalificeerd kunnen worden. Dit impliceert dat in dat geval

de verplichtingen van de WVP integraal van toepassing zijn voor Vlaamse overheidsdiensten die

persoonsgegevens wensen op te slaan in een cloud.

36. De cloudaanbieder zal doorgaans optreden als verwerker.49 Hoewel de meeste verplichtingen onder

de WVP op de verantwoordelijke rusten, zijn er toch een aantal eisen die de wet stelt aan de verwerker.

46 We merken op dat er een overlap kan bestaan tussen het toepassingsgebied van de verschillende

vertrouwelijkheidsplichten. Zo zal een Rijksregisternummer een persoonsgegeven én een authentiek gegeven zijn,

en hetzelfde geldt voor bepaalde geografische gegevens. 47 Persoonsgegevens worden in België in hoofdzaak beschermd door artikel 22 van de Grondwet en de Wet van 8

december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van

persoonsgegevens (hierna: WVP).47 In onderhavig advies zal voornamelijk de WVP besproken worden, met waar

nodig terugkoppeling naar relevante inzichten op Europees niveau. Volledigheidshalve merken we op dat er ook

internationaalrechtelijke normen zijn die geacht worden directe werking te hebben en bijgevolg in de Belgische

juridische orde bescherming bieden van bepaalde grondrechten. Een voorbeeld is artikel 8 EVRM. 48 Art. 1, §4 WVP: “Onder ‘verantwoordelijke voor de verwerking’ wordt de natuurlijke of rechtspersoon, de

feitelijke vereniging of het openbaar bestuur verstaan die alleen of samen met anderen het doel en de middelen

voor de verwerking van persoonsgegevens bepaalt”. 49 Art. 1, §5 WVP: “Onder ‘verwerker’ wordt de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of

het openbaar bestuur verstaan die ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens

17

Deze verplichtingen worden normalerwijze opgenomen in de verwerkingsovereenkomst met de

verantwoordelijke, wat betekent dat inbreuken van de verwerker op zijn verplichtingen aanleiding geven

tot een contractuele aansprakelijkheid.50 De klant-verantwoordelijke moet van de aanbieder-verwerker

bijgevolg bepaalde garanties bekomen in de overeenkomst tussen beide partijen. Er rust evenwel een

zelfstandige wettelijke verplichting op de verwerker om de veiligheid van de persoonsgegevens te

waarborgen op grond van artikel 16, §4 WVP.

Bevat een cloudoplossing diensten van verschillende aanbieders die elk een deel van de verwerking voor

hun rekening zullen nemen, dan moeten de wettelijke waarborgen contractueel met ieder van hen

geregeld worden. Noteer dat men dit als klant rechtstreeks met ieder van hen zou kunnen doen dan wel

in een onderaannemingsstructuur. In deze laatste hypothese zal er sprake zijn van een

verwerkingsovereenkomst met een hoofdaanbieder waarin de onderaanneming wordt voorzien. De

hoofdaanbieder zal dan bepaalde deelverwerkingen uitbesteden aan onderaanbieders en daartoe met

ieder van hen verwerkingsovereenkomsten sluiten die de wettelijk verplichte waarborgen uit de

hoofdovereenkomst overnemen.51 Het spreekt voor zich dat bij complexe cloudoplossingen dergelijke

structuren meer zullen voorkomen. De verplichtingen met betrekking tot de veiligheid van de

persoonsgegevens op grond van artikel 16, §4 WVP gelden onverminderd voor iedere verwerker,

ongeacht de aard van de contractuele relatie met de verantwoordelijke.

37. De partner (zie randnummer 10) zal afhankelijk van het scenario maar in aanraking komen met de

persoonsgegevens en eventueel als verwerker aangemerkt moeten worden. In dat geval zal de klant-

verantwoordelijke ook met hem een verwerkingsovereenkomst dienen af te sluiten die de wettelijke

waarborgen dekt. Merk op dat de partner als tussenpersoon de klant-verantwoordelijke kan assisteren

bij de keuze voor de meest geschikte cloudoplossing rekening houdend met de verplichtingen onder de

WVP.

§2. Verplichtingen gesteld aan de verwerker(s)52

38. De belangrijkste verplichtingen uit de WVP die betrekking hebben op de confidentialiteit van de

gegevens verwerkt door een verwerker vindt men terug in artikel 16 van de wet, al moet men vaststellen

dat de verplichtingen eerder van een algemene aard zijn. Zo bepaalt artikel 16 WVP dat:

verwerkt, met uitsluiting van de personen die onder rechtstreeks gezag van de verantwoordelijke voor de

verwerking gemachtigd zijn om de gegevens te verwerken”. 50 Noteer dat artikel 38 WVP het niet opnemen van deze verplichtingen in de verwerkingsovereenkomst zelfs

strafbaar stelt. 51 Groep Gegevensbescherming Artikel 29, “Advies 05/2012 over cloud computing”, WP 196, 1 juli 2012, p. 11,

http://www.privacycommission.be/sites/privacycommission/files/documents/G29-advies-cloud-

computing_0.pdf. 52 Voor wat betreft persoonsgegevens bijgehouden in authentieke bronnen in de zin van artikel 2 van het Decreet

van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer, verwijzen we naar het volgende

onderdeel.

18

de verwerker contractueel waarborgen moet bieden m.b.t. de technische en organisatorische

beveiligingsmaatregelen (art. 16, §1, 1° WVP) en deze maatregelen minstens moeten

beschermen tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals

tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van

persoonsgegevens (art. 16, §4, eerste lid WVP);

het beveiligingsniveau van de te nemen maatregelen passend moet zijn gelet op de stand van

de techniek, de kosten, de aard van de te beveiligen gegevens en de potentiële risico’s (art. 16,

§4, tweede lid WVP);

de verantwoordelijke en de verwerker overeenkomen dat de verwerker handelt in opdracht van

de verantwoordelijke en gebonden is door dezelfde verplichtingen als deze waartoe de

verantwoordelijke in toepassing van paragraaf 3 is gehouden (art. 16, §1, 4° WVP);

de verwerking door de verwerker maar mag geschieden in opdracht van de verantwoordelijke,

tenzij er sprake is van een verplichting door of krachtens een wet, een decreet of een ordonnantie

(art. 16, §3 WVP).

39. Gelet op het bepaalde in artikel 16, kan men zich eerst en vooral afvragen wat de technische en

organisatorische waarborgen concreet zijn die een cloudaanbieder moet kunnen voorleggen en hoe men

deze als klant contractueel kan afdwingen. Eerst en vooral valt op dat voornoemde waarborgen inherent

moeten zijn aan de gekozen cloudoplossing en de implementatie daarvan in de concrete

organisatieprocessen. De waarborgen staan los van de externe juridische realiteit waarmee de aanbieder

zich geconfronteerd weet.53 Dit betekent dat bijvoorbeeld een Amerikaanse cloudaanbieder de nodige

technische en organisatorische waarborgen kan voorleggen voor zijn dienst, ook al bestaat de kans dat

deze aanbieder geconfronteerd wordt met een geldig gerechtelijk bevel tot toegang.

De Belgische Privacycommissie heeft richtsnoeren uitgebracht die de veiligheidsmaatregelen verder

concretiseren op basis van ISO standaarden.54 Om vorm te geven aan de wettelijke vereiste van artikel

16, §4, eerste lid WVP – met name dat de verwerker bescherming moet voorzien tegen onrechtmatige

toegang – kan men overeenkomstig richtsnoer 7 “cryptografische beheersmaatregelen” nemen.55 De

Groep Gegevensbescherming Artikel 29 (hierna: WG29) meent dat men – zeker wanneer men opteert

53 Steun voor dit standpunt wordt gevonden in Aanbeveling nr. 01/2013 van 21 januari 2013 van de Commissie

voor de bescherming van de persoonlijke levenssfeer, waar zij een aantal concrete richtlijnen uitstippelt

aangaande welke technische en organisatorische waarborgen men in uitvoering van artikel 16, §1, 1° zowel zou

kunnen implementeren maar het belang aanstipt van het volgen van veiligheidsstandaarden zoals ISO 27002. Zie

in het bijzonder randnummers 6 en 7 van voornoemde Aanbeveling 01/2013,

http://www.privacycommission.be/sites/privacycommission/files/documents/aanbeveling_01_2013.pdf, alsook

ter illustratie de conformiteitsverklaring voor de federale overheid

http://www.privacycommission.be/nl/node/15809. 54 Commissie voor de bescherming van de persoonlijke levenssfeer, “Richtsnoeren met betrekking tot de

informatiebeveiliging van persoonsgegevens”, december 2014,

http://www.privacycommission.be/sites/privacycommission/files/documents/Richtsnoeren_CBPL_V%202%200

_3.pdf. 55 Ibid. 54, p. 13. Dit richtsnoer komt overeen met ISO 27002 – 10 cryptografie.

19

voor een IaaS-opslagdienst – moet overwegen om de persoonsgegevens te encrypteren vooraleer men

ze naar de cloud brengt. De WG29 raadt dus af om te rekenen op de encryptieoplossing aangeboden

door de cloudaanbieder.56 Men moet immers zeker zijn dat de encryptiesleutels van gegevens in rust

correct beheerd kunnen worden. Verder moet men er volgens de WG29 voor zorgen dat ook de

communicatie tussen aanbieder en klant geëncrypteerd verloopt en dat men adequate autorisatie- en

authenticatiemechanismen voorziet. Bij dit alles moet men steeds de afweging maken of het

nagestreefde beveiligingsniveau passend is op basis van een kosten-baten analyse.

Dit alles impliceert dat men als cloudaanbieder toch nog afdoende technische en organisatorische

waarborgen kan bieden ondanks de eventuele bevoegdheden van buitenlandse overheden zoals die

omschreven in het vorige onderdeel.57

40. De Privacycommissie meent dat maar aan de vereisten van artikel 16 WVP voldaan wordt wanneer

de Vlaamse overheidsdiensten erover waken dat de cloudaanbieder en al diens onderaannemers het

veiligheidsbeleid en de veiligheidsregels van de overheid respecteren.58 In principe kan men perfect in

de overeenkomst met de cloudprovider stipuleren dat de dienst in overeenstemming met dit beleid en

deze regels zal worden geleverd. Het wordt maar problematisch wanneer de cloudaanbieder werkt met

standaardcontracten en de klant zich niet in een echte onderhandelingspositie bevindt. Dit is

bijvoorbeeld dikwijls het geval bij grote Amerikaanse aanbieders van publieke clouddiensten.

Dergelijke standaardcontracten kunnen net zozeer een hindernis vormen bij de naleving van de

verplichting uit artikel 16, §1, 4° WVP (zie randnummer 38).

Wanneer de standaardovereenkomst is opgesteld in lijn met de modelclausules zoals vastgelegd op

Europees niveau, zal het laatste probleem eerder beperkt zijn.59 Ook wanneer de standaardovereenkomst

expliciet voorziet dat de verwerker uitsluitend handelt in opdracht van de verantwoordelijke en zich zal

houden aan de wettelijke verplichtingen, is er van dit laatste probleem geen sprake meer. Men sluit

immers een geldige overeenkomst zelfs al gaat het om een standaardovereenkomst. De essentie bestaat

erin dat de wettelijke verplichte vermeldingen er ook effectief instaan. Het zal evenwel moeilijker zijn

om volledige overeenstemming te bekomen tussen de standaardovereenkomst en het veiligheidsbeleid.

56 WG29, supra voetnoot 51, p. 18. 57 Zo heeft Microsoft recent bekend gemaakt dat het Britse standaardisatie-instituut BSI bevestigd heeft dat de

cloudloplossingen Azure en Office 365 van het bedrijf in overeenstemming zijn met de ISO 27018 standaard, waar

ook de Belgische Privacycommissie zich op geïnspireerd heeft bij de opmaak van haar richtsnoeren: B. SMITH,

“Microsoft adopts first international cloud privacy standard”, Microsoft on the Issues 16 februari 2015,

http://blogs.microsoft.com/on-the-issues/2015/02/16/microsoft-adopts-first-international-cloud-privacy-standard/

(consultatie 4 maart 2015); Commissie voor de bescherming van de persoonlijke levenssfeer, supra voetnoot 54,

p. 7. 58 Commissie voor de bescherming van de persoonlijke levenssfeer, supra voetnoot 53, p. 6. Voor het

veiligheidsbeleid van de Vlaamse overheid, zie http://www.bestuurszaken.be/ict-veiligheidsbeleid-1. 59 Microsoft heeft bijvoorbeeld bevestiging gekregen van de WG29 dat de verwerkingsovereenkomst van het

bedrijf in lijn ligt met de modelclausules: Brief van de WG29 aan Microsoft van 2 april 2014,

http://ec.europa.eu/justice/data-protection/article-29/documentation/other-

document/files/2014/20140402_microsoft.pdf.

20

Bijgevolg kan men overwegen, indien men volledig wil voldoen aan de aanbeveling van de

Privacycommissie (die overigens geen kracht van wet heeft), om persoonsgegevens niet op te slaan in

cloudoplossingen waarvoor men enkel een standaardovereenkomst kan afsluiten die niet volledig in

overeenstemming is met het veiligheidsbeleid.

41. We merkten reeds op dat de overeenkomst tussen de Vlaamse overheid en een cloudaanbieder zal

moeten vermelden dat deze laatste zich als verwerker zal houden aan de opdracht van de Vlaamse

overheid als verantwoordelijke. De verwerker zal bepaalde verwerkingen echter ook mogen stellen

wanneer deze worden opgelegd door een wet, decreet of ordonnantie. Het gaat hier uiteraard om een

wet, decreet of ordonnantie uit de Belgische rechtsorde; een Amerikaanse cloudaanbieder zal het

Amerikaans recht niet kunnen inroepen om bijvoorbeeld gegevens over te dragen aan de overheid.

Immers, het moet voor de Belgische rechtsonderhorige voorzienbaar blijven welke beperkingen de wet

stelt aan de bescherming van zijn persoonsgegevens60, en daarbij wordt hij niet verondersteld het

Amerikaanse recht te kennen.

De hierboven besproken rechtshulpverdragen zijn beide integraal deel van het Belgisch recht. In principe

kunnen zij dus beperkingen stellen aan het recht op bescherming van persoonsgegevens. Dit betekent

dat ze een kennisname door de Amerikaanse overheid van Belgische persoonsgegevens in de cloud

kunnen schragen. Men dient evenwel op te merken dat:

a) de toepassing van een rechtshulpverdrag niet impliceert dat buitenlandse

kennisnamebevoegdheden het interne recht zijdelings binnensluipen, maar dat de enige geldige

kennisnamebevoegdheden deze zijn die vermeld worden in het rechtshulpverdrag (dat overigens

uitdrukkelijk aangeeft dat de bevoegdheden maar zover gaan als deze die gelden voor de justitie

van de aangezochte Staat voor wat betreft niet-publiek toegankelijke gegevens, cfr. randnummer

33);

b) de rechtshulpverdragen geenszins een verwerker toelaten om bepaalde stukken of voorwerpen

op eigengereide wijze over te leggen, maar dat men steeds de geëigende kanalen via de Centrale

Overheid (in België de Minister van Justitie) dient te volgen.

Bijgevolg moet men concluderen dat de rechtshulpverdragen weliswaar indirect toegang kunnen

verschaffen tot persoonsgegevens in de cloud, maar dat de cloudaanbieder als verwerker deze verdragen

geenszins zal kunnen inroepen om over te gaan tot een verwerking buiten de uitdrukkelijke opdracht

van de verantwoordelijke op grond van artikel 16, §3 WVP en op die manier persoonsgegevens over te

leggen aan de Amerikaanse overheid.

60 Dit volgt noodzakelijkerwijze uit de grondwettelijke aard van het recht dat de wet hier beschermd, zoals

overigens expliciet gesteld door artikel 2 WVP, en het legaliteitsbeginsel dat geldt wanneer men een grondwettelijk

recht in een democratische samenleving wenst te beperken.

21

42. Gelet op al wat hierboven reeds werd gesteld, zou men zich de vraag kunnen stellen of de Vlaamse

overheid de Amerikaanse cloudaanbieders of de cloud in zijn geheel niet beter volledig links laat liggen

voor wat betreft de verwerking van persoonsgegevens. Het antwoord op deze vraag is genuanceerd en

zal overigens variëren naargelang het type van persoonsgegeven. De fysieke locatie van de gegevens is

hierbij één element dat dikwijls ter sprake komt, maar in feite volstrekt irrelevant is in het licht van de

bevoegdheden besproken in onderdeel 2.2.61 Immers, de aanknoping met het Amerikaanse recht is reeds

voorhanden zodra een cloudaanbieder een voldoende systematische band met de VS heeft (cfr.

randnummer 18). Dat de gegevens bijgevolg op servers in België zouden staan is onbelangrijk wanneer

het gaat om een aanbieder die ook in de VS een bepaalde dienst aanbiedt.62

Het discrimineren van (populaire) cloudaanbieders eenvoudigweg op basis van hun duidelijke

onderworpenheid aan de Amerikaanse kennisnamebevoegdheden lijkt ons weinig doeltreffend. De

huidige markt voor cloudoplossingen is immers zo verweven dat het zeer waarschijnlijk is dat er ergens

in de keten van een totale cloudoplossing wel een aanbieder zal zijn met een voldoende systematische

band met de VS. Bovendien zou het niet correct zijn aan te nemen dat de VS de enige natie is met

dergelijke ruime kennisnamebevoegdheden (supra randnummer 14).63 Tot slot kan de Amerikaanse

overheid ook met eigen middelen kennis nemen van gegevens in de cloud door ze zelf te vergaren op

grond van EO 12333, ongeacht of het gaat om een aanbieder onderworpen aan het Amerikaanse recht

of niet.

Desondanks kan men niet onder de vaststelling uit dat de Amerikaanse bevoegdheden van die aard zijn

dat het voor onderworpen cloudaanbieders erg moeilijk lijkt volledige overeenstemming met de

vereisten van artikel 16, §3 WVP te garanderen. Daarenboven wordt van een verwerker de nodige

transparantie ten aanzien van de verantwoordelijke verwacht, wat inhoudt dat hij de verantwoordelijke

op de hoogte stelt wanneer hij met een bevel geconfronteerd wordt.64 Aangezien de Amerikaanse

overheidsdiensten geheimhoudingsplichten kunnen koppelen aan bevelen tot overlegging van gegevens,

moet men vaststellen dat ook hier geen volledige overeenstemming met de vereisten onder de WVP kan

worden bereikt.65 Eén en ander zal dus eerst op politiek niveau dienen te worden uitgeklaard alvorens

men als Vlaamse overheid echt in volledige overeenstemming met het recht persoonsgegevens kan

toevertrouwen aan een cloudaanbieder. We zouden in tussentijd wel durven aanbevelen om te opteren

voor een eerder teleologische benadering van de vereisten van artikel 16 WVP, en dit in het licht van de

belangenafweging die artikel 16, §4, tweede lid voorop stelt.66 In de mate dat men aan de hand van

61 Zie evenwel infra hoofdstuk 0. 62 In deze in VAN HOBOKEN et al., supra voetnoot 27, p. 28. 63 Voor een overzicht, zie W. MAXWELL en C. WOLF, supra voetnoot 15. 64 Dit is een logische gevolg van de bepaling uit artikel 16, §1, 2° WVP, waar die stelt dat de verantwoordelijke

moet kunnen toezien op de naleving door de verwerker van de maatregelen uit artikel 16, §1, 1° WVP. Zie ook

WG29, supra voetnoot 51, p. 16. 65 Supra randnummers 23 en 27. 66 Ook de WG29 lijkt in dezelfde richting te redeneren: WG29, supra voetnoot 51, p. 27.

22

contractueel verankerde technische maatregelen potentiële risico’s passend weet in te dijken, moet het

o.i. mogelijk zijn om toch gegevens in de cloud bij te houden. Zo zou men onder andere state-of-the-art

encryptie vóór opslag van de gegevens in de cloud kunnen toepassen en organisatorische maatregelen

kunnen implementeren in lijn met het veiligheidsbeleid van de Vlaamse overheid. We wensen wel te

benadrukken dat er dan van de cloudaanbieder waarborgen geëist moeten kunnen worden, wat het

gebruik van standaardovereenkomsten enigszins uitsluit.

2.3.3 Gegevens uit een authentieke gegevensbron

43. Gegevens uit een authentieke gegevensbron, gedefinieerd 67 als een op elektronische wijze

bijgehouden verzameling van gegevens die als de meest volledige, kwalitatief hoogstaande door de

Vlaamse Regering is erkend, en die nuttig of noodzakelijk is in het kader van het elektronische

bestuurlijke gegevensverkeer, worden net als persoonsgegevens onderworpen aan

vertrouwelijkheidsplichten. Men kan dan ook voor deze categorie van gegevens de vraag stellen of, en

in welke mate, deze gegevens aan een aanbieder van een cloudoplossing kunnen worden toevertrouwd.

44. Veiligheid van de gegevens is een essentieel kenmerk van authentieke gegevensbronnen. Zo bepaalt

artikel 2, §1, tweede lid van het besluit tot uitvoering van het decreet betreffende het elektronische

bestuurlijke gegevensverkeer 68 dat een gegevensbron maar wordt aangemerkt als een authentieke

gegevensbron indien deze voldoende waarborgen biedt voor:

[…]

4° de veiligheid van de gegevensbron op fysiek, technisch en organisatorisch niveau.

Met andere woorden, het authentieke karakter impliceert dat de verantwoordelijke van de gegevensbron

garandeert dat minstens de drie kernprincipes van informatieveiligheid (cfr. supra randnummer 6) op

passende wijze gerespecteerd worden. Vertrouwelijkheid is bijgevolg inherent aan het authentieke

karakter van de gegevensbron. Wordt de vertrouwelijkheid van een authentieke bron in die mate

geschonden dat men niet langer kan pretenderen een redelijk niveau van veiligheid te kunnen

garanderen, dan kan – na bepaalde procedurele stappen – de bron haar authentieke karakter verliezen.69

Daar de creatie van authentieke gegevensbronnen een duidelijke, decretaal verankerde doelstelling is,

moet het de ambitie zijn om een dergelijk verlies van authentiek karakter ten allen tijde te vermijden.70

67 Art. 2, 2° decreet 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer, BS 29 oktober 2008,

57320. 68 Besluit 15 mei 2009 van de Vlaamse Regering houdende de uitvoering van het decreet van 18 juli 2008

betreffende het elektronische bestuurlijke gegevensverkeer, BS 14 juli 2009, 48878. 69 Art. 4 besluit 15 mei 2009, supra voetnoot 68. 70 Art. 5 decreet 13 juli 2012 houdende de oprichting en organisatie van een Vlaamse dienstenintegrator, BS 1

augustus 2012, 45516.

23

Merken we bovendien nog op dat wanneer de gegevensbron persoonsgegevens bevat, er pas toegang tot

de gegevens kan zijn na machtiging wat opnieuw het belang van de vertrouwelijkheid illustreert.71

45. Art. 7 van het decreet betreffende het elektronische bestuurlijke gegevensverkeer (hierna: EBG-

decreet) bepaalt het volgende:

“de instanties die authentieke gegevensbronnen beheren overeenkomstig artikel 4, § 1,

of de entiteiten, vermeld in artikel 4, § 3, stellen de metagegevens van de authentieke

gegevensbronnen kosteloos en publiekelijk open, zonder evenwel inbreuk te plegen op

de intellectuele rechten en de confidentialiteitsverplichtingen die met die

gegevensbronnen samenhangen, en zonder informatie bekend te maken die

ongeoorloofde toegang of ongeoorloofd gebruik van de gegevensbronnen mogelijk

maakt of de integriteit ervan in gevaar brengt”.

Verder bepaalt artikel 3, laatste lid van het uitvoeringsbesluit bij het EBG-decreet dat men de verwerking

van gegevens in een authentieke bron kan uitbesteden mits de onderaannemer zich er formeel toe

verbindt de bepalingen van artikel 16, §1, 1° WVP na te leven, alsook die van het EBG-decreet en de

uitvoeringsbesluiten. Principieel lijkt er bijgevolg niets het toevertrouwen van gegevens uit een

authentieke bron aan een aanbieder van clouddiensten in de weg te staan, zolang men bepaalde

voorwaarden respecteert. Gelet op de specifieke eis om zich formeel te verbinden, zullen

standaardovereenkomsten met aanbieders van clouddiensten niet aanvaard kunnen worden.

46. De bewoordingen van artikel 3, laatste lid van het uitvoeringsbesluit bij het EBG-decreet doen

vermoeden dat de belangrijkste eisen gesteld aan de cloudaanbieder die zullen zijn uit de WVP, toch in

de mate dat de authentieke gegevensbron persoonsgegevens bevat. Er zijn evenwel enkele eisen die

specifiek gelden voor authentieke gegevensbronnen en die losstaan van het feit of de bron al dan niet

persoonsgegevens omvat. Zo bepaalt artikel 6, §1, 5° van het EBG-decreet dat de instanties van de

Vlaamse overheid verplicht zijn om de toezichtscommissie inzage te geven in alle

informatieverwerkende systemen. Men moet bijgevolg met de cloudaanbieder overeenkomen dat deze

laatste een ruime mate van transparantie betreffende zijn systemen voorziet. Eenzelfde transparantie zal

overigens ook nodig zijn ter naleving van artikel 12 van het besluit betreffende de

veiligheidsconsulenten. 72 Dit artikel stelt dat de veiligheidsconsulent zijn taken ook uitoefent ten

aanzien van bewaring, verwerking of uitwisseling van persoonsgegevens uitgevoerd door derden, in

casu de cloudaanbieder.73 Om zijn taken correct te kunnen uitvoeren, zal de veiligheidsconsulent een

71 Art. 8 decreet 18 juli 2008, supra voetnoot 67. 72 Besluit van de Vlaamse Regering van 15 mei 2009 betreffende de veiligheidsconsulenten, vermeld in artikel 9

van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer, BS 13 juli 2009,

48087. 73 Iedere instantie of entiteit die verantwoordelijk is voor een authentieke gegevensbron die persoonsgegevens

omvat, moet een veiligheidsconsulent aanstellen.

24

voldoende zicht moeten hebben op de technische en organisatorische karakteristieken van de

aangeboden cloudoplossing.

47. Waar gegevens uit authentieke bronnen worden verwerkt via de Vlaamse dienstenintegrator (hierna:

VDI), zoals gedefinieerd in het VDI-decreet74, geldt een zelfstandige – strafrechtelijk gesanctioneerde

– vertrouwelijkheidsverplichting. Deze hangt niet samen met het al dan niet verwerken van

persoonsgegevens maar enkel en alleen met het feit of de verwerking plaats heeft via de VDI.75 Gelet

op de vrij strikte bewoordingen van deze bepaling, lijken verwerkingen via de VDI op het eerste zicht

zeer moeilijk te rijmen met de bevelen die de Amerikaanse overheid op grond van de FISA of de ECPA

kan richten tot bepaalde cloudaanbieders (zie evenwel infra randnummer 57 e.v.)

48. De verschillende elementen omschreven in bovenstaande paragrafen leiden tot de conclusie dat heel

wat van de vraagstukken die voor persoonsgegevens werden opgeworpen ook hier weer gelden. Ten

eerste moeten bepaalde elementen contractueel worden vastgelegd, wat gebruik van

standaardovereenkomsten bemoeilijkt, zo niet onmogelijk maakt. Ten tweede vereisen verschillende

bepalingen volledige transparantie van de cloudaanbieder, wat deze dikwijls niet zal kunnen garanderen.

Zo zullen publieke cloudaanbieders zelden een volledig inzicht kunnen bieden in de werking van de

ganse cloudoplossing en zullen confidentialiteitseisen gekoppeld aan bevelen tot overlegging uitgaande

van de Amerikaanse overheid cloudaanbieders verhinderen om de Vlaamse overheidsdiensten op te

hoogte te stellen van inbreuken op de vertrouwelijkheid van hun gegevens. Ten derde gelden er strikt

geformuleerde vertrouwelijkheidsverplichtingen voor gegevens verwerkt via de VDI die conflicteren

met de kennisnamebevoegdheden beschreven in onderdeel 2.2. Volledige overeenstemming met het

recht zal bijgevolg moeilijk te bereiken zijn voor wat betreft het verwerken van authentieke gegevens in

de cloud, en dit zowel voor de virtuele private cloudoplossingen als de publieke cloudoplossingen. Zoals

eerder aangekaart76 en zoals hieronder in detail uiteengezet77, zou men kunnen overwegen om met

technische en organisatorische maatregelen en goede contractuele bepalingen de hiaten zo veel als

mogelijk op te vullen (o.a. door gebruik te maken van encryptie ter bescherming van de

vertrouwelijkheid, en zoveel als mogelijk transparantie te bewerkstelligen door gebruik te maken van

een (virtuele) private cloudoplossing).

2.3.4 Gegevens uit het Rijksregister

49. Gegevens uit het Rijksregister verdienen een bijzondere aandacht, gelet op de centrale positie die

hen wordt toebedeeld in het kader van het elektronische bestuurlijke gegevensverkeer en

74 Decreet 13 juli 2012, supra voetnoot 70. 75 Art. 17 VDI-decreet, supra voetnoot 74. 76 Zie randnummer 42. 77 Zie randnummer 57.

25

dienstenintegratie.78 Zij worden strikt beschermd op basis van de wet op het Rijksregister.79 Zo zal de

verwerker die als onderaannemer gegevens uit het Rijksregister verwerkt een machtiging moeten

bekomen van het sectoraal comité van het Rijksregister. 80 Artikel 12, §2, 2° van de wet op het

Rijksregister legt de verantwoordelijke de plicht op om iedere persoon belast met de daadwerkelijke

verwerking van informatiegegevens uit het Rijksregister een verklaring tot vertrouwelijkheid te laten

ondertekenen. In de context van dit advies impliceert deze bepaling dat standaardovereenkomsten met

(publieke) cloudaanbieders niet mogelijk zijn, maar ook dat een overeenkomst met een aanbieder met

een voldoende systematische band met de VS moeilijk lijkt. Immers, daar cloudaanbieders zich

welbewust zijn van de mogelijkheden van de Amerikaanse (en andere) overheidsdiensten om hen tot

overlegging te verplichten, kunnen zij dergelijke verklaring nooit te goeder trouw ondertekenen.

50. Men kan zich afvragen of een vertrouwelijkheidsverklaring een voorbehoud kan bevatten voor die

situaties waarin een buitenlandse wet de cloudaanbieder verplichtingen tot overlegging oplegt. Dit zou

in ieder geval de goede trouw van de cloudaanbieder bij het contracteren vrijwaren. Het antwoord op

deze vraag vereist dat men nagaat of de vertrouwelijkheidsplicht zuiver contractueel dan wel van een

wettelijke oorsprong is. Indien het om een zuiver contractuele plicht gaat, zou men inderdaad een

voorbehoud kunnen voorzien gelet op de contractvrijheid (art. 1123 jo 1134 BW). Een wettelijke

oorsprong daarentegen staat hier aan in de weg. Los van het feit dat men de basisvoorwaarden van 1134

BW zou schenden door in te gaan tegen een wettelijk gebod, zou het ook betekenen dat men de

soevereiniteit van de Belgische Staat miskent. Immers, door een Amerikaans wettelijk gebod tot

overlegging te laten primeren op de vertrouwelijkheidsplicht uit het Belgische recht, miskent men het

zelfbeschikkingsrecht van de Belgische Staat. Enkel een verdrag zou een dergelijke verhouding tussen

de verschillende normen rechtsgeldig kunnen consolideren, maar zoals we eerder al zagen, bieden de

bestaande rechtshulpverdragen hier geen mogelijkheid toe.81 Wil men bijgevolg afwijkingen voorzien

op een wettelijk verankerde vertrouwelijkheidsplicht, dan moet deze afwijking gegrond kunnen worden

op een Belgische rechtsregel.

51. Dit leidt bijgevolg tot de vraag welke oorsprong en reikwijdte de vertrouwelijkheidsplicht met

betrekking tot de gegevens van het Rijksregister heeft ten aanzien van de cloudaanbieder-

onderaannemer en de klant-gemachtigde overheidsdienst. Daar artikel 12, §2, 2° van de wet op het

Rijksregister woordelijk de onderaannemer enkel verplicht tot het ondertekenen van een verklaring tot

vertrouwelijkheid, en niet zozeer verplicht tot vertrouwelijkheid op zich, lijkt dit toch – althans ten

aanzien van de cloudaanbieder – een contractuele oorsprong van de vertrouwelijkheidsplicht te

veronderstellen. Dit neemt ons inziens echter niet weg dat de reikwijdte van de vertrouwelijkheidsplicht

78 In het bijzonder artikel 3 EBG-decreet en artikel 5 van het besluit tot uitvoering van het EBG-decreet. 79 Wet 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen, BS 21 april 1984, 5247. 80 Art. 5 wet op het Rijksregister, supra voetnoot 79. 81 Supra randnummer 31 en volgende.

26

bepaald wordt door deze die geldt voor de contracterende overheidsdienst. De vertrouwelijkheidsplicht

die wordt opgelegd aan de onderaannemer moet immers gezien worden als een noodzakelijke

uitbreiding van de vertrouwelijkheidsplicht die geldt voor de contracterende overheidsdienst zoals

opgelegd door artikel 11 van de wet op het Rijksregister. Deze bepaling kwalificeert de

vertrouwelijkheidsplicht als een toepassing van het beroepsgeheim.82 Bovendien zou het ingaan tegen

de doelstelling en mechanismen van de wet om enerzijds vrij strenge toegangsbeperkingen in te stellen

via een machtigingssysteem en via het opleggen van een beroepsgeheim voor Belgische

overheidsactoren, maar dan anderzijds toe te laten dat er contractueel van zou kunnen worden afgeweken

voor buitenlandse actoren. Let wel, we concluderen hier dus enkel dat de klant-overheidsdienst geen

uitzondering uit het buitenlands recht kan aanvaarden als gevolg van het op haar rustende

beroepsgeheim. De cloudaanbieder zelf zal gebonden zijn door een vertrouwelijkheidsplicht van

contractuele oorsprong en bij schending van de op hem rustende vertrouwelijkheidsplicht enkel

aansprakelijk zijn op grond van contractbreuk.83

52. Eén en ander leidt bijgevolg tot de noodzakelijke conclusie dat de vertrouwelijkheidsplicht van de

cloudaanbieder-onderaannemer ten aanzien van de gegevens van het Rijksregister een wettelijke

oorsprong heeft die enig voorbehoud in de verklaring op grond van buitenlands recht uitsluit. Gelet op

de bevindingen in onderdeel 2.2 kunnen gegevens uit het Rijksregister bijgevolg niet zomaar in een

publieke of virtueel private cloud worden bijgehouden. De Amerikaanse kennisnamebevoegdheden

maken overigens geen onderscheid naar de verschillende types remote computing services. De enige

mogelijkheid lijkt hier de gegevens bij te houden in een cloud volledig in eigen beheer (een echt private

cloud) waarbij men rekening houdt dat er geen aanbieders ergens in de cloudoplossing tussenkomen die

toegang hebben tot de gegevens van het Rijksregister en onderworpen zijn aan bevelen van een vreemde

overheid tot overlegging van deze gegevens. In het kader van dienstenintegratie zal men er bovendien

rekening mee moeten houden andere identificatienummers dan het Rijksregisternummer te gebruiken

voor die diensten en gegevens die wel in een cloud kunnen worden bijgehouden.

2.3.5 Geografische gegevens

53. Voor wat betreft de geografische gegevens, gedefinieerd als “elektronische gegevens die direct of

indirect verwijzen naar een specifieke locatie of een specifiek geografisch gebied”, gaan we vooral in

op de bepalingen die gelden voor gegevens die worden verwerkt in het kader van de Geografische Data-

82 Deze interpretatie kan men stoelen op de voorbereidende werken, waarin expliciet wordt vermeld dat de

verplichtingen van het beroepsgeheim wegen op iedereen die betrokken is bij de werking van het Rijksregister,

waarbij ‘werking’ begrepen moet worden als ‘iedere inzameling, verwerking of mededeling van de

informatiegegevens’: Verslag namens de commissie voor de binnenlandse zaken, de algemene zaken en het

openbaar ambt uitgebracht door de heer Tant bij het wetsontwerp tot regeling van een Rijksregister van de

natuurlijke personen, Parl.St. Kamer 1982-83, nr. 513/6, 17. 83 Cfr. infra randnummer 58.

27

Infrastructuur.84 Er wordt specifiek gekeken naar geografische gegevens die deel uitmaken van een

authentieke geografische gegevensbron, zijne een authentieke gegevensbron die geografische gegevens

omvat.85 Uit artikel 22 van het decreet betreffende de Geografische Data-Infrastructuur Vlaanderen

(hierna: GDI-decreet) blijkt dat voor authentieke geografische gegevensbronnen andere voorwaarden

gelden dan voor authentieke bronnen op grond van het EBG-decreet. Zo worden er bijvoorbeeld niet op

dezelfde expliciete wijze eisen gesteld met betrekking tot de veiligheid van de gegevensbron. Hieronder

zal duidelijk worden dat voor authentieke geografische gegevensbronnen de vertrouwelijkheidsplicht

een toch wel heel eigen invulling krijgt.

54. Waar men voor authentieke bronnen vertrekt vanuit een plicht tot vertrouwelijkheid lijkt men voor

authentieke geografische gegevensbronnen juist te vertrekken van een principiële algemene

toegankelijkheid. Zo bepaalt artikel 30 van het GDI-decreet dat de geografische gegevensbronnen

publiekelijk toegankelijk gemaakt worden, tenzij waar deze persoonsgegevens omvatten (artikel 18, §2

GDI-decreet) of wanneer de deelnemers aan GDI-Vlaanderen de publiekelijke toegang inperken voor

bijvoorbeeld redenen van openbare veiligheid, het vertrouwelijk karakter van internationale

betrekkingen enz. (artikel 31 GDI-decreet). Men kan zich bijgevolg afvragen of deze principiële

toegankelijkheid ook implicaties heeft voor het plaatsen van deze gegevens in de cloud.

55. De vertrouwelijkheidseisen gesteld aan authentieke geografische gegevensbronnen zijn duidelijk

lager dan die voor andere authentieke gegevensbronnen. Zulks wordt onder meer gestaafd door artikel

32 GDI-decreet dat stelt dat de uitzonderingen uit artikel 31 GDI-decreet restrictief moeten worden

uitgelegd in het licht van het openbaar belang dat gediend is met de openbaarmaking van deze gegevens.

Het lijkt ons echter niet waarschijnlijk dat dit openbaar belang dusdanig ruim moet worden

geïnterpreteerd als omvattende het strategische nationale veiligheidsbelang van buitenlandse

mogendheden. Met andere woorden, hoewel de vertrouwelijkheidsplicht onmiskenbaar lager is, kan

men als verantwoordelijke Vlaamse overheidsdienst het bepaalde in artikel 30 en 32 GDI-decreet niet

zomaar gebruiken om – zonder een analyse per gegevensbron – te besluiten deze gegevens te bewaren

in een publieke of virtuele private cloud. Bij het overwegen van een cloudoverstap zal men er immers

voor moeten zorgen dat de uitzonderingen uit artikel 18, §2 en 31 GDI-decreet geaccommodeerd kunnen

worden.

56. Dit leidt bijgevolg tot een vergelijkbare conclusie als voor wat werd gesteld voor persoonsgegevens

en authentieke gegevens hierboven. Opteren voor een cloudoplossing van een aanbieder die kan worden

84 Artikel 3 decreet 20 februari 2009 betreffende de Geografische Data-Infrastructuur Vlaanderen, BS 28 april

2009, 33349. De Geografische Data-Infrastructuur is “een logisch geheel van metagegevens, geografische

gegevensbronnen en geografische diensten, technische specificaties en standaarden en de overeenkomsten

betreffende de uitwisseling, de toegang en het gebruik ervan, met de daarbij behorende netwerkdiensten en

technologieën, technische specificaties en standaarden, en de in overeenstemming met dit decreet ingestelde,

beheerde of beschikbaar gemaakte mechanismen, processen en procedures en monitoring ervan”. 85 Art. 21 en 22 decreet 20 februari 2009, supra voetnoot 84.

28

bevolen om gegevens over te leggen zal bijgevolg moeilijkheden met zich meebrengen wanneer

vertrouwelijkheid vereist is. Daarnaast zijn standaardovereenkomsten af te raden, gelet op de garanties

die men moet bekomen van de cloudaanbieder. Los van wat in het volgende onderdeel wordt besproken,

zal de lagere vertrouwelijkheidsdrempel evenwel in verschillende gevallen minder hindernissen

opwerpen aan een cloudoverstap, al zal men dat steeds geval per geval moeten analyseren. Merken we

tot slot nog op dat specifieke authentieke geografische gegevensbronnen door eigen juridische

instrumenten worden geregeld die eigen vertrouwelijkheidseisen kunnen opwerpen.86

2.3.6 Functionele invulling van de vertrouwelijkheidsplicht

57. Voor alle van de hierboven besproken gegevenstypes gaven we aan dat de vertrouwelijkheidsplicht

problemen kan opwerpen ten aanzien van het opslaan van de gegevens in een publieke of virtueel private

cloud wanneer men buitenlandse – en in het bijzonder Amerikaanse – kennisnamebevoegdheden in

ogenschouw neemt. We merkten daarentegen ook op dat het nemen van bepaalde technische en

organisatorische maatregelen eventueel zou kunnen helpen om zoveel mogelijk problemen uit de weg

te ruimen. Immers, men kan zich afvragen of een vertrouwelijkheidsplicht überhaupt wel geschonden

wordt wanneer slechts versleutelde gegevens worden overgemaakt in het kaden van een bevel tot

overlegging. Dit uiteraard in de hypothese dat de cloudaanbieder de gegevens slechts versleuteld

aangeboden krijgt van de klant, en deze dus geenszins zelf kan decrypteren. Samengevat luidt de vraag

dus: wanneer de cloudaanbieder enkel versleutelde – en dus onbegrijpelijke – gegevens kan overleggen

aan de Amerikaanse overheidsdiensten, begaat hij dan een inbreuk op de vertrouwelijkheidsplicht? Om

deze vraag correct te kunnen beantwoorden en na te gaan in hoeverre dergelijke technische maatregelen

daadwerkelijk hulp kunnen bieden, moet men de juridische achtergrond en draagwijdte van de

vertrouwelijkheidsplicht achterhalen.

58. Zoals aangegeven in randnummers 51 e.v. worden de contouren van de vertrouwelijkheidsplicht ten

aanzien van gegevens van het Rijksregister bepaald door het beroepsgeheim, hoewel de cloudaanbieder

zelf slechts aansprakelijk kan worden gehouden op grond van de schending van zijn verklaring. Een

schending van het beroepsgeheim vanuit materieel oogpunt veronderstelt dat de gegevens effectief

openbaar werden gemaakt. Bovendien is het beroepsgeheim niet absoluut, al zijn de gronden voor het

opzijschuiven van het beroepsgeheim limitatief (zie art. 458 Sw.: in recht getuigenis afleggen; verplicht

bij wet). De vertrouwelijkheidsplicht in hoofde van de cloudaanbieder is echter contractueel van aard

en wordt in de rechtsleer gekwalificeerd als een ‘gewone’ geheimhoudingsplicht, die verschilt van het

beroepsgeheim juist omdat ze contractueel kan worden opgelegd.87 Ze heeft ook geen uitstaans met het

86 Bijvoorbeeld het decreet 8 mei 2009 betreffende het Centraal Referentieadressenbestand, BS 1 juli 2009, 45068. 87 R. VAN LENNEP, De geheimhouding: beroepsgeheim, briefgeheim, fabrieksgeheim, verplichting van

geheimhouding, recht op geheimhouding, geheim der beraadslaging, kiesgeheim, Antwerpen, Standaard, 1950,

135.

29

communicatiegeheim 88 (dat enkel gegevens in overdracht betreft) of de geheimhoudingsplicht ten

aanzien van het bestaan van communicatie89. Ook voor de andere in dit advies besproken gegevens heeft

de vertrouwelijkheidsplicht in hoofde van de cloudaanbieder een contractuele grondslag en betreft het

bijgevolg een gewone geheimhoudingsplicht.

59. Typerend voor de gewone geheimhoudingsplicht, is dat zij een uitgesproken functioneel karakter

heeft. Dit betekent dat de draagwijdte ervan in verhouding moet staan tot het doel dat ermee beoogd

wordt.90 Voor wat betreft de vertrouwelijkheidsplichten besproken in dit advies betekent dit dat men de

gegevens an sich tracht te beschermen tegen kennisname door onbevoegden, zij het uit overwegingen

met betrekking tot het recht op privacy en bescherming van persoonsgegevens, zij het uit andere

beleidsoverwegingen. Men moet er bijgevolg over waken dat de inhoud van deze gegevens beschermd

wordt.91

60. Indien men de hierboven besproken categorieën van gegevens op zodanige manier versleuteld aan

de cloudaanbieder kan aanbieden, dat deze laatste er normalerwijze op geen enkele manier kennis van

kan nemen, kan men argumenteren dat deze ze nooit daadwerkelijk openbaar kan maken. In het licht

van de functionele invulling van de vertrouwelijkheidsplicht, impliceert het versleutelen van de

gegevens dat het doel van deze plicht bereikt wordt. Inderdaad, wanneer de cloudaanbieder

geconfronteerd wordt met een Amerikaans bevel tot overlegging, zal hij enkel onbegrijpelijke gegevens

kunnen overleggen. Er is dan van enige openbaarmaking geen sprake en de aanbieder schendt de

vertrouwelijkheidsplicht bijgevolg niet. Het zou anders zijn mocht de Amerikaanse overheid de

cloudaanbieder kunnen verplichten de gegevens te decrypteren, waarbij deze laatste dat ook effectief

zou proberen of de mogelijkheden in de implementatie van de oplossing zou voorzien om zulks mogelijk

te maken. De besproken bevoegdheden onder onderdeel 2.2 voorzien een dergelijk bevel evenwel niet.

We zouden aldus durven argumenteren dat een cloudaanbieder geen inbreuk maakt op de

vertrouwelijkheidsverplichting voortvloeiend uit een overeenkomst wanneer hij – op het moment dat hij

geconfronteerd wordt met een buitenlands bevel tot overlegging – enkel en alleen de versleutelde

gegevens overmaakt. Vanzelfsprekend zal een dergelijke interpretatie zeer hoge eisen stellen aan de

gebruikte versleutelingstechniek.

61. We willen er ter ondersteuning van het argument en ter illustratie op wijzen dat een dergelijke

toepassing van encryptie als (gedeeltelijke) invulling van de vertrouwelijkheidsplicht overigens ook al

in de wet een voorbeeld kent. Artikel 114 van de wet betreffende de elektronische communicatie legt

88 Artikelen 259bis en 314bis Sw. 89 Art. 124 wet 13 juni 2005 betreffende de elektronische communicatie, BS 20 juni 2005, 28070. 90 E. BREYNE, Geheimhouding, discretie, beroepsgeheim en verschoning in het openbaar ambt, onuitg.

Masterproef Rechten Gent, 2008-09, 62. 91 Dat de inhoud in hoofdzaak beschermd moet worden, blijkt onder meer uit artikel 7, §1 EBG-decreet dat

voorschrijft dat metagegevens van authentieke bronnen publiekelijk toegankelijk worden gesteld voor zover dit

geen inbreuk uitmaakt op de confidentialiteitsverplichtingen (lees: voor zover de inhoud van de authentieke

gegevensbronnen vertrouwelijk blijft).

30

telecomoperatoren een vertrouwelijkheidsplicht ten aanzien van de gegevens van hun klanten op.92

Artikel 114/1, §3 van dezelfde wet bepaalt dat, indien zich een veiligheidsincident met betrekking tot

persoonsgegevens zich voordoet, de operatoren dat moeten melden aan de betrokken abonnees, tenzij

de operator kan aantonen dat zij gepaste technologische beschermingsmaatregelen heeft getroffen die

de gegevens onbegrijpelijk maken voor eenieder die geen recht op toegang heeft (lees: ze werden

afdoende versleuteld). De (federale) wetgever lijkt aan te nemen dat de vertrouwelijkheid van gegevens

niet of toch minstens beperkter wordt geschonden wanneer de gegevens versleuteld worden

bijgehouden.

62. Men kan besluiten dat er juridische argumenten kunnen gevonden worden om versleuteling als

tegengewicht voor de kennisnamebevoegdheden van buitenlandse overheden te beschouwen, waardoor

een cloudoplossing van bijvoorbeeld een Amerikaanse aanbieder toch tot de mogelijkheden behoort.

Standaardovereenkomsten zullen echter steeds moeilijk blijven aangezien toch heel wat zaken

contractueel geregeld zullen moeten worden. Bovendien zal de gebruikte versleuteling a) niet

ontsleutelbaar mogen zijn voor de cloudaanbieder en b) van een hoog technologisch niveau moeten zijn,

rekening houdend met de state-of-the-art alsook de gekende capaciteiten van de Amerikaanse

overheidsdiensten.

92 Art. 114 wet 13 juni 2005, supra voetnoot 89.

31

3 BESCHIKBAARHEID

63. Zoals eerder vermeld, betekent beschikbaarheid dat informatie op ieder moment toegankelijk is voor

diegene die er gerechtigd is toegang toe te nemen. In het kader van dienstenintegratie, authentieke

gegevensbronnen en in het algemeen de onderlinge afhankelijkheden tussen datasets van de federale en

Vlaamse overheid93, is beschikbaarheid uiteraard van essentieel belang voor het goed functioneren van

zowat alle overheidsdiensten. Men moet vaststellen dat ook heel wat (grote) cloudaanbieders erg veel

belang hechten aan beschikbaarheid en ervoor zorgen dat hun diensten en oplossingen nagenoeg

permanent bereikbaar zijn.94 Hoewel het marktaanbod in termen van beschikbaarheid blijkbaar vrij goed

scoort, moet men toch nagaan of er ook juridische bepalingen zijn die eisen stellen aan beschikbaarheid

en of het buitenlandse recht deze eisen niet kan doorkruisen. In het bijzonder wensen we in te gaan op

bepalingen die beschikbaarheid vereisen in tijden van politieke spanningen.

64. Zowel artikel 7 van het EBG-decreet als artikel 14 van de wet op het Rijksregister voorzien dat in

tijden van oorlog of bezetting men ervoor moet kunnen zorgen dat de toegang tot gegevensbronnen

wordt verhinderd (bijvoorbeeld voor gegevens van de VDI) dan wel dat deze gegevensbronnen worden

vernietigd (bijvoorbeeld gegevens verwerkt door de VDI en uit het Rijksregister). Dit veronderstelt

uiteraard dat men in dergelijke momenten van crisis ook effectief toegang heeft tot deze gegevens.

Eerder schreven we dat in het kader van Amerikaanse onderzoeksbevoegdheden en confidentialiteit de

fysieke locatie van de gegevens van geen enkel belang is (zie randnummers 14 en 42). Deze observatie

geldt echter niet vanuit het perspectief van de beschikbaarheid. In tijden van crisis zal het zeer belangrijk

zijn om enerzijds te weten waar de overheidsgegevens (en eventuele kopieën) fysiek worden

bijgehouden en anderzijds met welke andere klanten men cloud computing resources deelt, zeker

wanneer deze klanten eventueel dezelfde vernietigingsbevoegdheden hebben. Het zou immers erg

vervelend zijn mocht de Vlaamse Regering bevelen een gegevensbank te vernietigen en dat later blijkt

dat er nog steeds één of meer kopieën van deze gegevensbank redundant werden bijgehouden. Evenzeer

zou het weinig aangenaam zijn mocht een vreemde mogendheid op grond eigen

vernietigingsbevoegdheden een datacenter vernietigen waar Vlaamse overheidsgegevens werden

bijgehouden.

65. Om aan deze twee bekommernissen tegemoet te komen, dient men allereerst van de cloudaanbieder

een hoge mate van transparantie te eisen, onder andere met betrekking tot het overige cliënteel, de

opslaglocaties, het aantal kopieën alsook de locatie van deze kopieën. Deze eis tot transparantie kwam

93 Zie in dit verband bijvoorbeeld de centrale rol van het Rijksregister. 94 Amazon en Google haalden bijvoorbeeld een beschikbaarheidsniveau van 99,99% voor hun IaaS clouddiensten

in 2014: B. BUTLER, “Which cloud providers had the best uptime last year?”, Network World 12 januari 2015,

http://www.networkworld.com/article/2866950/cloud-computing/which-cloud-providers-had-the-best-uptime-

last-year.html.

32

eerder al aan bod (zie randnummers 42 en 48), en zal in het bijzonder voor wat betreft het aanbod van

publieke clouddiensten tot problemen leiden. Ook (virtueel) private cloudaanbieders kunnen misschien

geen volledige transparantie bieden. Men zal contractueel en in het bijzonder via zogenaamde Service

Level Agreements heel wat zaken moeten afspreken om bijzondere bevoegdheden als deze uit artikel 7

EBG-decreet en artikel 14 van de wet op het Rijksregister te kunnen accommoderen.

Standaardovereenkomsten lijken dan ook, zeker voor wat betreft gegevens onder beheer van de VDI en

uit het Rijksregister, uitgesloten. Naast transparantie kan men er ons inziens ook best voor opteren om

de gegevens alsook de eventuele kopieën op Belgisch territorium te bewaren, daar men enkel op die

manier waarborgt dat ook in tijden van crisis tot effectieve vernietiging kan worden overgegaan.

33

4 AANBEVELINGEN

1) Aangezien verschillende landen zichzelf extraterritoriale bevoegdheden hebben toegekend met

betrekking tot kennisname van gegevens opgeslagen in de cloud, lijkt het ons geen goed criterium

om een cloudaanbieder af te schrijven louter omwille van het feit dat deze onderworpen is aan het

Amerikaanse recht.

2) De rol van bi- en multilaterale rechtshulpverdragen in het kader van kennisnamebevoegdheden door

de Amerikaanse overheid is van minder belang, temeer daar de aangezochte overheid steeds de

controle zal behouden over welke gegevens overgelegd worden. Deze verdragen kunnen door een

kandidaat-cloudaanbieder niet aangewend worden als excuus om persoonsgegevens van Belgische

rechtsonderhorigen over te leggen aan de Amerikaanse overheid buiten de uitdrukkelijke opdracht

van de verantwoordelijke klant-overheidsdienst om.

3) Uit verschillende Belgische en Vlaamse juridische instrumenten blijkt duidelijk dat een heel aantal

zaken verplicht contractueel worden geregeld. Standaardovereenkomsten lijken in de meeste

toepassingsscenario’s dan ook uitgesloten. Eventueel zou men – voor wat betreft de verwerking van

persoonsgegevens – deze toch nog kunnen aanvaarden in het (hypothetische) geval dat deze

gebaseerd zouden zijn op Europees aanvaarde modelclausules.

4) Zowel vanuit het perspectief van confidentialiteit als van beschikbaarheid moet de cloudaanbieder

de nodige transparantie met betrekking tot zijn oplossing kunnen bieden. Voor veel aanbieders van

publieke cloudoplossingen is een afdoende niveau van transparantie moeilijk te garanderen en lijkt

het bijgevolg niet mogelijk om een dergelijke oplossing te implementeren voor de opslag van de

categorieën van gegevens besproken in dit advies.

5) Voor de meeste gegevens die onder de categorieën vallen besproken in dit advies is het ten zeerste

aangeraden om deze maar aan de cloudaanbieder toe te vertrouwen wanneer zij versleuteld zijn op

een manier die a) overeenstemt met de technologische state-of-the-art en b) die het noch de

cloudaanbieder noch een eventuele buitenlandse overheid mogelijk maakt om van de gegevens

kennis te nemen. Met een adequaat niveau van encryptie lijkt het ons mogelijk om in heel wat

gevallen te voldoen aan de wettelijk opgelegde en contractueel uitgewerkte

vertrouwelijkheidsplichten.

6) Het lijkt aangewezen om van de cloudaanbieder te eisen dat alle gegevens die door de VDI worden

verwerkt alsook gegevens uit het Rijksregister, worden opgeslagen op servers gelegen in België en

waarbij wordt afgedwongen dat deze servers enkel ter beschikking staan van de Vlaamse overheid.

Met andere woorden, het moet gaan om een in België gelegen private cloud.