Woordvoeringslijn toegang VS tot e-mail van de Nederlandse overheid

Diverse gemeenten zijn door hun gemeenteraad gevraagd om te reageren op de recente berichtgeving rond de toegang van de Amerikaanse overheid tot e-mail van de Nederlandse overheid. Het GGI-Cloud Expertisecentrum adviseert gemeenten de volgende formulering aan te houden, verdeeld in twee onderwerpen: het rapport van Clingendael (1) en de opdracht van EDPS aan de Europese Commissie om geen e-mail via Microsoft te versturen (2): 

1) Clingendael

Het kritische rapport van Clingendael over de toegang van de Amerikaanse overheid tot e-mail van de Nederlandse overheid: NOS heeft hier op 1 maart over bericht (zie https://nos.nl/artikel/2510923-amerikaanse-overheid-kan-bij-e-mail-van-nederlandse-overheden-en-kritieke-bedrijven). 
De VNG heeft hierover de volgende woordvoeringslijn geformuleerd (op basis van input van de IBD, deze wordt ondersteund door het GGI-Cloud Expertisecentrum): 
De pagina met de stand van zaken over verwerkingen bij Amerikaanse cloudproviders is bijgewerkt: https://www.informatiebeveiligingsdienst.nl/risicos-verwerking-persoonsgegevens-door-amerikaanse-partij/

• De (privacy)risico’s met betrekking tot clouddiensten uit de VS zijn bij de overheid goed in beeld, zie o.a. https://slmmicrosoftrijk.nl/downloads/ (VNG werkt nauw samen met strategisch leveranciersmanagement Rijk op dit thema).
• De risico’s die resteren nadat je als organisatie maatregelen hebt genomen, moet je afzetten tegen de voordelen van een grote professionele partij (beschikbaarheid, integriteit en vertrouwelijkheid van data, doorlopende softwareupdates, etc.). 
• We constateren dat er geen realistisch Europees alternatief voor clouddiensten uit de VS is.
• Het alternatief om zelf een (open source) mailserver te beheren is wellicht uit het oogpunt van privacywetgeving een goede keuze. Het is evenwel evident dat lang niet alle organisaties in staat zijn om iets dergelijks veilig te beheren.

 Dan het antwoord op de vragen:

• Waarom kiezen gemeenten voor een Amerikaanse cloudprovider?
  Gemeenten kiezen voor dergelijke providers vanwege het feit dat ze op het gebied van kantoorautomatisering min of meer een de facto standaard zijn en dat dergelijke partijen bewezen betrouwbare diensten leveren.
• Is de aard van de communicatie te rijmen met het feit dat de Amerikaanse inlichtingendiensten het wettelijk recht hebben om die informatie op te vragen, ook al staat de informatie fysiek in Nederland?
  De mogelijke toegang door inlichtingendiensten (wettelijk of anderszins) is een risico dat je moet afzetten tegen andere risico’s die horen bij alternatieven, bijvoorbeeld het zelf beheren van een mailserver. 
• En verder:
  Het rapport van Clingendael gaat over het ontbreken van realistische Europese alternatieven en de VNG zou het van harte toejuichen als er Europese tegenhangers komen van Amerikaanse techgiganten.

2) EDPS

Zie: https://ibestuur.nl/artikel/europese-commissie-overtreedt-wet-met-microsoft-365/

De Europese privacytoezichthouder EDPS heeft Brussel opgedragen om vanaf 9 december 2024 te stoppen met het doorsturen van data naar Microsoft en diens partners en subverwerkers die zich buiten de EU bevinden, omdat er onvoldoende robuuste databeschermingswaarborgen en -maatregelen zijn dat persoonlijke data die buiten de EU wordt verstuurd net zo goed beschermd is als binnen de EU (conform de eis uit de Regelgeving (EU) 2018/1725).
VNG adviseert gemeenten om een risico-afweging uit te voeren en gepaste beschermingsmaatregelen te nemen. Hierbij ziet VNG dat de risico’s afgezet tegen risico’s die horen bij alternatieven, bijvoorbeeld het zelf beheren van een mailserver, tot nu toe uitslaan in het voordeel van cloudproviders. Wanneer gepaste beschermingsmaatregelen zijn toegepast sluit VNG zich aan bij het standpunt van NCSC: https://www.ncsc.nl/actueel/weblog/weblog/2022/de-werking-van-de-cloud-act-bij-dataopslag-in-europa.

Tot Slot

Verder zij nog opgemerkt dat het GGI-Cloud Expertisecentrum op dit moment werkt aan een bredere advisering en ondersteuning aan gemeenten met betrekking tot de transitie naar de cloud. Het gaat daarbij onder andere om verantwoorde en veilige inrichting van clouddiensten, costmanagement van clouddiensten, de bij gemeenten benodigde transitie naar een regieorganisatie, inkoopstandaarden en exit-strategie. Dit doen we in samenwerking met IBD en een aantal andere partijen.