Steeds meer consumenten en bedrijven maken gebruik van de "cloud" voor het plaatsen van gegevens op externe servers. Het lijkt handig om over een back-up te beschikken, waar gebruikers overal ter wereld bij kunnen. Maar de eigenaar is niet de enige die er gemakkelijk bij kan. Uit onderzoek van het Instituut voor Informatierecht (IViR) uit Nederland blijkt in ieder geval dat de Amerikaanse opsporingsdiensten zeer gemakkelijk toegang hebben tot deze gegevens. De Patriot Act biedt zeer verstrekkende mogelijkheden voor Amerikaanse opsporingsdiensten om te speuren in de cloud, met name naar gegevens van niet-Amerikanen. Volgens de onderzoekers geeft de wet niet-Amerikanen veel minder rechten dan Amerikanen. Zelfs indien men opereert vanop Belgisch of Europees grondgebied, is men niet per definitie beschermd door Belgisch/Europese privacywetten of andere regelgeving. Zelfs wanneer er enkel maar op enige manier een zakelijke verbondenheid met de Verenigde Staten (VS) bestaat, is er volgens de Patriot Act een verplichting om informatie te verstrekken.

Hierover de volgende vragen:

1) Is de minister op de hoogte van de resultaten van het onderzoek van het Instituut voor Informatierecht (IViR)? Klopt het dat Amerikaanse opsporingsdiensten gemakkelijker bij data van buitenlandse ( en dus Belgische) cloudgebruikers kunnen dan tot nu toe werd gedacht?

2) Is het waar dat bij het opvragen van gegevens door de Amerikaanse veiligheidsdiensten buitenlandse onderdanen over minder rechten beschikken dan de Amerikaanse en dat Belgische en Europese privacywetten op dat vlak van generlei waarde zijn? Deelt de minister de opvatting dat het gebrek aan aandacht in de VS voor de vertrouwelijkheid van gegevens van niet-Amerikanen zeer problematisch is?

3) Op welke wijze wordt de Belgische cloudgebruiker beschermd en acht de minister deze bescherming afdoende? Beoordeelt hij deze praktijken van de Verenigde Staten als strijdig met de Belgische wet? Zo ja, zal de minister iets ondernemen om een einde te maken aan deze situatie?

4) Maakt de Belgische overheid gebruik van de cloud om gegevens op te slaan? Zo ja, acht de minister deze informatie voldoende beschermd en houdt men daarbij genoeg rekening met de risico's daaraan verbonden?

5) Heeft hij een zicht op de mate waarin gegevens van Belgische burgers, overheden en bedrijven reeds in het bezit zijn van de VS? Wordt ons land geďnformeerd door de Amerikaanse autoriteiten wanneer zij gegevens over Belgische onderdanen, bedrijven en overheden opvragen bij cloudservers? Of beaamt de minister dat hierover zeer weinig transparantie bestaat?

6) Pleegde hij hieromtrent al overleg met de Amerikaanse en Europese collega's? Zo nee, is hij bereid om dit alsnog te doen?

7) Is de minister bereid om de Privacycommissie te verzoeken te rapporteren over de juridische, privacy- en veiligheidskwesties waarbij naar aanleiding van het gebruik van clouddiensten problemen kunnen ontstaan?

8) Volgens het Comité I België beschikt ons land niet over een globaal beleid rond informatieveiligheid. In tegenstelling tot zijn buurlanden, werkt er in België geen orgaan belast met de bescherming van informatiesystemen. De bevoegdheid wordt verdeeld over verschillende federale overheidsdiensten die hun inspanningen niet coördineren. Is de minister van mening dat de Belgische overheid over genoeg kennis beschikt en voldoende up-to-date is inzake (digitale) informatiebeveiliging? Zo neen, gaat u akkoord dat hier dringend in moet worden geďnvesteerd?

Met betrekking tot vraag 7 heeft de Commissie voor de bescherming van de persoonlijke levenssfeer mij de volgende elementen meegedeeld:

"De Commissie voor de bescherming van de persoonlijke levenssfeer is zich bewust van de uitdagingen en de risico's verbonden aan het steeds groter wordende fenomeen 'cloud computing'.

Het gebruik van 'cloud computing' veroorzaakt een aantal problemen wat de inachtneming van de wetgeving inzake de bescherming van persoonsgegevens betreft.

Ook op het vlak van veiligheid zorgt 'cloud computing' voor nieuwe risico's, zowel voor de dienstverlener als voor de klant, inzonderheid wat de duurzaamheid van de gegevens betreft. Het is dan ook noodzakelijk om zich ervan te vergewissen dat die nieuwe risico's worden beheerst alvorens voor een cloud-oplossing wordt gekozen."

'Cloud computing' is een belangrijke uitdaging die ook betrekking heeft op de administraties van het Rijk voor de gegevens die zij verwerken.

Er bestaat een potentieel risico op gegevenslekken (data breach) zowel bij het verwerken van gegevens op de eigen servers of in de cloud. De privacy Commissie merkt evenwel op dat de cloud een nieuw gevaar introduceert, namelijk de buitenlandse overheden die gegevens kunnen raadplegen en opvragen naargelang hun eigen wetgeving.

Als overheidsgegevens in de cloud worden verwerkt, is de fundamentele risicofactor het feit dat die gegevens hun soevereiniteit kunnen verliezen. Andere landen zijn uitgerust om in het bezit te komen van informaticagegevens maar ook om elektronische communicaties op te sporen, te lokaliseren of er kennis van te nemen en de gebruikers ervan te identificeren. Het doeleinde dat wordt nagestreefd is in de meeste gevallen de wet doen naleven of terrorisme bestrijden. Er worden evenwel soms andere openbare doelen nagestreefd die het risico op abusieve raadpleging vermeerdert. De zaak PRISM en XKeyscore (Amerikaanse mass surveillance programma’s) legden de onvermoede omvang bloot van het aantal toegangen van de Amerikaanse autoriteiten tot de gegevens van grote dienstenverstrekkers van de Amerikaanse informatiemaatschappij.

De privacy Commissie maant daarom de overheidsdiensten aan tot voorzichtigheid tegenover buitenlandse cloudproviders of providers die in het buitenland zijn gevestigd en die verantwoording moeten afleggen bij buitenlandse overheden. Zij raadt in ieder geval af om gevoelige gegevens in de cloud te zetten die betrekking hebben op de nationale veiligheid en economie.

De privacy Commissie is van mening dat iedere overheidsdienst die gegevensverwerkingen in de cloud plaatst, eerst de aard en de gevoeligheid van die gegevens moet onderwerpen aan een risicoanalyse.

Voor de vragen 4 en 8 verwijs ik het geachte lid naar de antwoorden van mijn collega, de minister van Economie.

Voor het overige (vragen 1, 2, 3, 5 en 6) verwijs ik het geachte lid naar de heer Hendrik Bogaert, Staatssecretaris voor Ambtenarenzaken en Modernisering van de Openbare Diensten, die voor de andere vragen bevoegd is.