Overheid leunt veel meer op Amerikaanse clouds dan bekend: ‘Meelezen is makkelijk’
NOS Nieuws••Aangepast
-
Joost Schellevis
redacteur Tech
-
Joost Schellevis
redacteur Tech
Als je een site van de overheid bezoekt of met een ambtenaar mailt, is de kans groot dat je informatie via servers van Amerikaanse techreuzen loopt. Die kans blijkt bovendien veel groter dan tot nu toe bekend. De NOS vond 1722 websites van Nederlandse (semi)overheden en cruciale bedrijven die van minimaal één Amerikaanse cloud afhankelijk zijn.
De vrees is dat de Amerikaanse inlichtingen- en opsporingsdiensten dan kunnen meelezen. Bovendien is het uiteindelijk niet de Nederlandse, maar de Amerikaanse overheid die achter het stuur zit: een risico bij een mogelijk conflict met de Verenigde Staten. Desondanks gebruiken ook negen van de vijftien ministeries clouddiensten van Microsoft.
Gemeenten
Ook het aantal gemeenten dat op Amerikaanse servers leunt, blijkt hoger dan gedacht. Eerder meldde de NOS al dat twee derde van de gemeenten mailservers van Microsoft gebruikt, maar het totale aandeel blijkt nog veel groter: alleen de gemeente Hardinxveld-Giessendam heeft geen enkele Amerikaanse clouddienst aan zijn account gekoppeld. Ook alle provincies gebruiken Amerikaanse clouddiensten.
Bij veel landelijke overheidsorganisaties is dat niet anders, zoals bij de Autoriteit Financiële Markten en het Veiligheidsberaad, dat bestaat uit de voorzitters van de 25 veiligheidsregio’s, en de Tweede Kamer.
De Amerikaanse inlichtingendiensten kunnen terugzoeken: doe mij maar mailtjes van de Tweede Kamer van twintig jaar geleden
“Dat is een groot risico, dan is meelezen voor de Amerikaanse overheid technisch niet moeilijk”, zegt ICT-kenner Bert Hubert, die zich al langer sterk maakt voor minder Amerikaanse afhankelijkheid. “Ze kunnen bovendien terugzoeken: doe mij maar mailtjes van de Tweede Kamer van twintig jaar geleden.”
Volgens de Autoriteit Financiële Markten gaat het om “relatief recente ontwikkelingen” en worden die “nauwgezet gevolgd”. Overstappen is echter niet snel geregeld, benadrukt de instantie. De Vereniging Nederlandse Gemeenten noemt het risico op meelezen “beperkt” en wijst op de betrouwbare diensten die bedrijven als Microsoft leveren.
De koepel van provinciebesturen wijst erop dat regels voor openbare aanbestedingen het moeilijk maken om niet-Europese partijen uit te sluiten. Uit de Amerikaanse cloud stappen zou “enorme praktische implicaties” met zich meebrengen, stelt die organisatie. “Desondanks denken we na over de vraag hoe we onze digitale autonomie kunnen vergroten.”
Overheden en bedrijven spreken meestal af dat de data binnen de Europese Unie worden opgeslagen. Maar het risico dat de VS meeleest, blijft: de Amerikaanse overheid nam specifiek met dat doel al in 2018 een wet aan. Bovendien is er andere wetgeving, speciaal voor de inlichtingendiensten, die dat mogelijk maakt.
Sinds de herverkiezing van president Trump nemen de zorgen toe, vooral nadat Microsoft het e-mailaccount van de hoofdaanklager van het Internationaal Strafhof op zwart moest zetten. De vrees is dat Trump ook andere organisaties via de Amerikaanse cloud onder druk kan zetten.
Sites op zwart
Het risico beperkt zich niet tot meelezen. De Amerikaanse overheid zou met één druk op de knop ruim 650 Nederlandse sites van overheden en kritieke bedrijven op zwart kunnen zetten of manipuleren, waaronder die van De Nederlandsche Bank en die van de politie, maar ook de pagina nederlandwereldwijd.nl van het ministerie van Buitenlandse Zaken. Net als de website Crisis.nl, de site waar Nederlanders bij rampen naartoe worden gestuurd.
Ook WerkenVoorNederland, de sollicitatiesite van de overheid, loopt via Amerikaanse servers. “Het kan voor de Amerikaanse autoriteiten interessant zijn om te zien wie er bijvoorbeeld bij de AIVD wil solliciteren”, zegt Hubert.
“Maar dat is wel nog wat theoretischer”, benadrukt de ICT-expert. “Het grootste risico is er echt bij e-mail. Het is ook een stuk moeilijker om je mail vervolgens weer weg te halen dan om je website te verplaatsen.”
Ook de kritieke infrastructuur – van netbeheerders tot banken en zelfs telecomproviders – leunt zwaar op de Amerikaanse cloud. Bij 69 van de 97 onderzochte organisaties staat de mail bij een Amerikaanse partij. Zelfs telecomprovider KPN, dat aan zijn klanten e-mail aanbiedt, heeft zijn mail bij Microsoft geplaatst.
Ministeries hebben al hun mail in eigen handen, maar negen van de vijftien ministeries gebruiken bijvoorbeeld wel Microsoft Teams of Webex om te chatten of te videobellen. De Amerikaanse overheid zou dan kunnen meelezen.
Naar de rechter
Microsoft erkent de risico’s. “Een gerechtelijk bevel in de Verenigde Staten kan gelden voor informatie buiten de VS”, bevestigt vicevoorzitter Brad Smith van Microsoft aan de NOS. “Maar we zullen dan wel naar de rechter gaan.”
Dat deed Microsoft eerder ook, en met succes. Die overwinning van Microsoft in de rechtszaal was zelfs een directe aanleiding voor het Amerikaanse parlement om de wet aan te nemen die expliciet regelt dat het opvragen van informatie buiten de VS mag.
Er zou een verdrag moeten komen dat dit regelt, stelt Smith. “Daar wordt ook al wel tien jaar aan gewerkt. Als het er eindelijk komt, zou dat heel goed zijn: dan zijn er gewoon regels in welke omstandigheden data van een buitenlandse overheid kunnen worden opgevraagd, en hoe.” Dat zou naar zijn mening bijvoorbeeld pas mogen na tussenkomst van de rechter.
NOS op 3 maakte deze uitlegvideo over onze afhankelijkheid van Amerikaanse tech, en of het ook anders kan:
Hoe afhankelijk zijn we van Amerikaanse tech?
