Zwitserland wil geen Amerikaanse cloud in publieke sector meer

In dit artikel:

De Zwitserse privacytoezichthouder Privatim in Zürich heeft onlangs voorgesteld dat overheidsorganisaties geen clouddiensten van Amerikaanse hyperscalers zoals Microsoft, Amazon en Google meer mogen gebruiken. Reden: de Amerikaanse CLOUD Act (2018) geeft Amerikaanse opsporingsdiensten het recht om data op te vragen bij techbedrijven, ongeacht waar de servers staan, waardoor Zwitserse persoonsgegevens tegelijkertijd onder Zwitsers privacyrecht en onder Amerikaanse dagvaardingsrecht kunnen vallen. Volgens Dominik Baumann, privacyofficer van het kanton Zürich, maakt die buitenlandse juridische verplichting het uitbesteden van persoonsgegevens aan dergelijke aanbieders onwettig zodra de data de infrastructuur van de aanbieder binnengaat.

Het voorgestelde verbod richt zich specifiek op data die onder het beroepsgeheim valt — denk aan medische dossiers, belasting- en socialezekerheidsgegevens en leerlingendossiers — en treft daarmee ziekenhuizen, scholen en politie. Privatim concludeert dat conventionele technische mitigaties geen afdoende oplossing bieden: bij moderne SaaS-diensten moet informatie tijdens verwerking ontsleuteld worden in het werkgeheugen van de aanbieder (bijvoorbeeld voor indexering, malware-scans en realtime samenwerking), waardoor gegevens kwetsbaar worden. Alleen wanneer een aanbieder werkelijk geen toegang heeft tot de encryptiesleutels en data permanent versleuteld blijft gedurende de hele levenscyclus, zou versleuteling volgens de toezichthouder toereikend zijn — een situatie die de functionaliteit van de meeste cloudplatforms ondermijnt.

Ook beproefde industriemaatregelen zoals Bring Your Own Key of trustee-modellen (zoals het eerder beproefde “Cloud Germany” met een onafhankelijke data-trustee) losten het juridische risico volgens Privatim niet op. Praktisch betekent dit voor veel Zwitserse publieke organisaties dat migraties naar Amerikaanse cloudservices moeten worden teruggedraaid of dat er gekozen wordt voor on-premises oplossingen of uitsluitend Europese/Zwitserse aanbieders. Die alternatieven — open-source platforms als Nextcloud of lokale hosters — bestaan wel, maar missen vaak de integratie, schaal en functies van hyperscalers en vergen aanzienlijke investering in maatwerk en beheer.

De stap uit Zürich kan een precedent vormen voor andere kantons en mogelijk ook invloed hebben in de DACH-regio: als meerdere toezichthouders hetzelfde standpunt innemen ontstaat feitelijk een embargo op Amerikaanse clouddiensten voor de publieke sector. De maatregel werpt bovendien een kritisch licht op het EU‑VS Data Privacy Framework: politieke afspraken veranderen volgens Privatim niet de fundamentele juridische blootstelling door Amerikaanse surveillancewetten. In Nederland bestaan vergelijkbare overwegingen: de overheid werkt aan een meer ‘soevereine’ overheidscloud om afhankelijkheid van buitenlandse leveranciers te verminderen. Conclusie: het conflict tussen nationale privacybescherming en extraterritoriale Amerikaanse wetgeving dwingt Europese landen tot lastige keuzes met grote organisatorische en financiële consequenties.