AWS Sovereign Cloud: Veiliger, maar Amerikaanse wet blijft een risico
De langverwachte juridische toetsing van de AWS European Sovereign Cloud (ESC) door advocatenkantoor Greenberg Traurig is weer openbaar. In opdracht van SLM Rijk (Ministerie van Justitie en Veiligheid) werd onderzocht of deze nieuwe cloud-omgeving Nederlandse overheidsgegevens kan beschermen tegen Amerikaanse datahonger en sancties. De conclusie? Hoewel de technische muren hoger zijn dan ooit, blijven er juridische kieren bestaan.
Toen Amazon Web Services (AWS) in 2023 de ‘European Sovereign Cloud’ aankondigde, was de belofte helder: een cloud die fysiek en logistiek volledig gescheiden is van de wereldwijde AWS-infrastructuur, beheerd door personeel in de EU. Voor de Nederlandse overheid, die worstelt met de balans tussen innovatie en datasoevereiniteit, was dit de aanleiding voor een diepgaand onderzoek naar drie kernvragen.
1. De CLOUD Act: Kan de VS bij onze data?
De grootste zorg van de overheid is de Amerikaanse CLOUD Act, die Amerikaanse techbedrijven verplicht om gegevens te overhandigen aan de Amerikaanse overheid, ongeacht waar die data fysiek zijn opgeslagen.
Het onderzoek stelt vast dat AWS ESC technische maatregelen neemt om deze toegang te bemoeilijken. De controle op de infrastructuur ligt bij entiteiten in de EU. Echter, Greenberg Traurig concludeert dat juridisch gezien de kans niet volledig tot nul kan worden gereduceerd. Zolang de moederorganisatie in de VS is gevestigd, kan er een theoretisch conflict ontstaan tussen de Amerikaanse bevelen en de Europese privacywetgeving (AVG). Wel merkt het rapport op dat AWS tot op heden nul disclosures van EU-overheidsdata heeft gemeld op basis van dergelijke verzoeken.
2. Weerbaarheid tegen sancties
Wat gebeurt er als de geopolitieke verhoudingen verslechteren en de VS sancties oplegt? Het onderzoek keek of de AWS ESC kan blijven draaien als de toevoer van software-updates of licenties uit de VS wordt stopgezet.
Hoewel de ESC is ontworpen om onafhankelijk te opereren, blijft de architectuur gebaseerd op de technologie van de wereldwijde AWS-organisatie. Het rapport benadrukt dat volledige technologische autonomie lastig is; er blijft een zekere mate van afhankelijkheid voor de lange termijn als het gaat om innovatie en diepgaande technische ondersteuning vanuit de Amerikaanse moederorganisatie.
3. De ‘Kill Switch’ en onderhoud
Een ander kritisch punt is of Amerikaanse medewerkers via een achterdeur toegang hebben voor onderhoud. De AWS ESC belooft dat alle ‘day-to-day’ operaties en support worden uitgevoerd door medewerkers die in de Europese Unie wonen en werken.
Het onderzoek van Greenberg Traurig bevestigt dat deze logistieke scheiding een aanzienlijke verbetering is ten opzichte van de standaard publieke cloud. De kans dat een Amerikaanse overheidsinstantie druk kan uitoefenen op individuele medewerkers om toegang te verlenen, wordt hierdoor aanzienlijk verkleind.
Conclusie voor overheidsorganisaties
Het rapport van Greenberg Traurig fungeert als een cruciaal advies voor SLM Rijk. Het oordeel is genuanceerd: de AWS European Sovereign Cloud biedt een aanzienlijk hoger niveau van soevereiniteit dan de reguliere cloud, maar het is geen ‘zilveren kogel’ die alle juridische risico’s van Amerikaanse wetgeving wegneemt.
Voor Nederlandse overheidsorganisaties betekent dit dat zij zelf een risicoafweging moeten blijven maken: welke data zijn zo gevoelig dat ze in deze soevereine cloud kunnen, en voor welke data is een volledig lokale (on-premise) oplossing nog steeds de enige veilige weg?
Meer over soevereine cloud
Over Witold Kepinski
