De strijd om uw gegevens: hoe de CLOUD en SHIELD Acts beveiliging tegenover privacy plaatsen

De Amerikaanse overheid heeft twee belangrijke wetten aangenomen over hoe technologiebedrijven omgaan met overheidsverzoeken om gebruikersgegevens: de US CLOUD Act en de SHIELD Act. Op het eerste gezicht lijken deze wetten tegenstrijdige doelen te hebben, maar het begrijpen van de nuances in elke wet is essentieel.

De US CLOUD Act, aangenomen in 2018, stelt Amerikaanse wetshandhavers in staat om technologiebedrijven gemakkelijker te verplichten om gevraagde gegevens te verstrekken, zelfs als deze gegevens in het buitenland zijn opgeslagen. De voorgestelde SHIELD Act daarentegen zou de mogelijkheid van technologiebedrijven beperken om te voldoen aan verzoeken van buitenlandse overheden om gegevens, tenzij de Amerikaanse overheid deze verzoeken eerst beoordeelt.

Dit artikel gaat dieper in op de oorsprong, impact, sterke en zwakke punten van beide wetten, en legt uit waarom de VS beide wetten nodig heeft om een balans te vinden tussen veiligheid, privacy en internationale samenwerking.

De US CLOUD Act: De reikwijdte van wetshandhaving vergroten

De Clarifying Lawful Overseas Use of Data (CLOUD) Act werd in maart 2018 door het Congres aangenomen en ondertekend als onderdeel van een omvangrijk begrotingspakket. De US CLOUD Act verduidelijkt dat Amerikaanse technologiebedrijven moeten voldoen aan gerechtvaardigde verzoeken om gegevens van Amerikaanse wetshandhavers, zelfs als die gegevens zijn opgeslagen op servers buiten de VS.

Hiermee werd een juridisch grijs gebied opgelost dat ontstond toen steeds meer gebruikersgegevens op afstand werden opgeslagen door technologiebedrijven (“in de cloud”). Voorheen beweerden technologiebedrijven dat ze geen toegang hadden tot gegevens in het buitenland, en moesten Amerikaanse autoriteiten omslachtige en trage verdragen voor wederzijdse rechtshulp gebruiken om buitenlandse opgeslagen gegevens op te vragen.

De US CLOUD Act maakt duidelijk dat Amerikaanse technologiebedrijven moeten voldoen aan geldige binnenlandse huiszoekingsbevelen, ongeacht waar de gegevens zich bevinden. Ook stelt de wet de VS in staat om bilaterale overeenkomsten met andere landen te sluiten om gegevensverzoeken directer uit te wisselen.

Voorstanders stelden dat de US CLOUD Act noodzakelijk was voor wetshandhavers om effectief misdrijven te onderzoeken in het digitale tijdperk. Critici uitten echter hun bezorgdheid dat de wet privacywetten in andere landen zou kunnen ondermijnen en autoritaire regimes zou aanmoedigen om burgers te bespioneren. Mensenrechtenorganisaties vonden bovendien dat er onvoldoende bescherming was tegen misbruik van de nieuwe directe gegevensuitwisselingsafspraken.

Per saldo maakt de US CLOUD Act naadloze toegang tot gegevens over grenzen heen mogelijk, maar roept het vragen op over soevereiniteit en mensenrechten. Amerikaanse technologiebedrijven moeten nu wereldwijd voldoen aan Amerikaanse bevelen, wat juridische onzekerheden vermindert maar ook de autonomie van andere landen over gegevens binnen hun grenzen verzwakt. De impact van de wet ontwikkelt zich nog steeds, terwijl bilaterale deals worden onderhandeld.

De SHIELD Act: Bescherming van gegevens tegen buitenlandse toegang

In tegenstelling tot de US CLOUD Act, die de macht van wetshandhaving vergroot, is het doel van de Safeguarding Americans’ Private Records Act (SHIELD Act) om de toegang van buitenlandse overheden tot gegevens van Amerikaanse burgers die door technologiebedrijven worden opgeslagen, te beperken. De SHIELD Act werd in 2020 geïntroduceerd maar niet aangenomen door het Congres. De wet verbiedt bedrijven die onder Amerikaanse rechtsbevoegdheid vallen om te voldoen aan verzoeken van buitenlandse overheden om gegevens van Amerikaanse gebruikers, tenzij deze verzoeken zijn beoordeeld en goedgekeurd door het Amerikaanse ministerie van Justitie.

Voorstanders van de SHIELD Act stellen dat de wet nodig is om gegevens van Amerikaanse burgers te beschermen tegen misbruik door vijandige landen zoals China en Rusland. De initiatiefnemers van de wet stellen dat de huidige Amerikaanse wetgeving technologiebedrijven niet verhindert om privégegevens aan buitenlandse overheden te overhandigen, wat de Amerikaanse rechten ondermijnt.

Het vereisen van een beoordeling door de Amerikaanse overheid van buitenlandse verzoeken voegt een belangrijke laag van toezicht toe. Critici stellen daarentegen dat de SHIELD Act andere landen zou kunnen aanmoedigen om soortgelijke beperkende wetten aan te nemen, waardoor de toegang tot internet gefragmenteerd raakt en het wereldwijde web wordt opgesplitst. Als andere landen op hun beurt gegevensstromen beperken, kunnen technologiebedrijven te maken krijgen met conflicterende juridische verplichtingen.

Hoewel de wet nog niet is aangenomen, weerspiegelen de principes van de SHIELD Act een steeds meer nationalistische en beschermende houding van de Amerikaanse overheid ten aanzien van de controle over gegevens van burgers. De wet beoogt de Amerikaanse autoriteit over de gegevensuitwisseling van technologiebedrijven met betrekking tot informatie van Amerikaanse personen te herbevestigen. De wereldwijde verwevenheid van internetsystemen en het multinationale karakter van technologiebedrijven maken puur binnenlandse regelgeving echter complex.

US Cloud Act vs. SHIELD Act: Overeenkomsten, verschillen en ironieën

Ondanks hun tegengestelde doelen delen de US CLOUD Act en SHIELD Act het onderliggende uitgangspunt dat de Amerikaanse overheid moet bepalen wanneer Amerikaanse technologiebedrijven gegevens van Amerikaanse burgers delen. De US CLOUD Act vergroot de toegang voor Amerikaanse wetshandhaving, terwijl de SHIELD Act de toegang van buitenlandse overheden beperkt. Beide wetten bevestigen de Amerikaanse rechtsbevoegdheid en beogen de rechten van Amerikaanse burgers te beschermen ten opzichte van verzoeken van buitenlandse partijen om gegevens.

De twee wetten nemen echter vrijwel tegengestelde standpunten in over het uitbreiden van de rechtsbevoegdheid buiten de landsgrenzen. De US CLOUD Act claimt de macht van Amerikaanse bevelen over gegevens, waar ook ter wereld. De SHIELD Act probeert daarentegen buitenlandse toegang tot Amerikaanse gegevens in het buitenland te blokkeren, tenzij toegestaan door de Amerikaanse overheid. Deze tegenstelling benadrukt de complexiteit van gegevensregulering in een onderling verbonden wereld. Amerika kan niet volledig beide kanten op—wereldwijd naadloos toegang krijgen tot gegevens, terwijl andere landen wordt geweigerd toegang te krijgen tot gegevens over de Amerikaanse grens.

Toch weerspiegelen beide wetten op een ironische manier een scepticisme ten aanzien van de bedoelingen van andere landen met betrekking tot gegevens van Amerikaanse burgers, waarbij wordt getracht de Amerikaanse privacy te beschermen tegen buitenlandse uitbuiting. De VS bevestigt via de US CLOUD Act het eigen recht om wereldwijd toegang te krijgen tot gegevens van burgers, terwijl het via de SHIELD Act wederkerige buitenlandse toegang tot gegevens weigert.

Democratische verantwoording en bescherming van rechten mogen echter niet als exclusief Amerikaans worden gezien. Uiteindelijk vereisen zowel privacy als veiligheid internationale samenwerking en overeenstemming over gedeelde principes voor gegevensbescherming.

US Cloud Act vs. SHIELD Act: Waarom we beide wetten nodig hebben

In deze fase van het informatietijdperk, waarin dagelijks enorme hoeveelheden gevoelige gegevens online worden gegenereerd, verwerkt en opgeslagen, spelen zowel de US CLOUD Act als de SHIELD Act in op terechte zorgen over de bescherming van burgerrechten. Wetshandhaving heeft effectieve toegang tot digitaal bewijs nodig om rechtvaardigheid te waarborgen—de motivatie achter de US CLOUD Act. Tegelijkertijd verdient persoonlijke data van burgers bescherming tegen buitenlandse massasurveillance of onderdrukking—de motivatie achter SHIELD. Beide principes van privacy en rechtvaardigheid zijn belangrijk, ondanks de spanning tussen deze wetten.

Ideaal gezien kunnen genuanceerde afspraken beide doelen ondersteunen. Bilaterale US CLOUD Act-overeenkomsten kunnen zorgen voor toegang tot gegevens voor wetshandhaving, terwijl ze ook basisbescherming van burgerrechten vastleggen. SHIELD Act-beoordelingen van buitenlandse verzoeken kunnen rechtvaardige gevallen toestaan, terwijl willekeurige gegevensinbeslagnames worden beperkt. Geen enkel land kan eenzijdig het wereldwijde internet reguleren. Toch is het terecht dat de VS haar belangen via beide beleidslijnen verdedigt—veiligheid via de US CLOUD Act en privacy via SHIELD. Als deze twee wetten zorgvuldig worden gecombineerd, kunnen ze samen een holistisch Amerikaans databeleid voor het digitale tijdperk vormen.

Kiteworks helpt Amerikaanse organisaties hun vertrouwelijke inhoud privé te houden voor overheidsinmenging

De US CLOUD Act en SHIELD Act belichamen de moeilijke afwegingen die ten grondslag liggen aan gegevensregulering. In een onderling verbonden wereld moeten overheden een balans vinden tussen toegang voor wetshandhaving, privacyrechten en internationale samenwerking. In plaats van tegenstrijdig te zijn, vertegenwoordigen deze Amerikaanse wetten legitieme parallelle belangen—het faciliteren van binnenlandse onderzoeken en het beschermen van burgers tegen buitenlandse inmenging. Een verstandige implementatie van beide beleidsmaatregelen kan zowel veiligheid als vrijheid waarborgen. Dit vereist echter nuance en onderhandeling om duurzame internationale normen te vormen die recht doen aan de belangrijkste principes van rechtvaardigheid en privacy.

Het Kiteworks Private Content Network, een FIPS 140-2 Level gevalideerd platform voor beveiligd delen van bestanden en bestandsoverdracht, consolideert e-mail, bestandsoverdracht, webformulieren, SFTP en beheerde bestandsoverdracht, zodat organisaties elk bestand kunnen controleren, beschermen en volgen zodra het de organisatie binnenkomt of verlaat.

Kiteworks stelt organisaties in staat te bepalen wie toegang krijgt tot gevoelige informatie, met wie deze gedeeld mag worden en hoe derden kunnen omgaan met (en voor hoe lang) de gevoelige inhoud die zij ontvangen. Samen beperken deze geavanceerde DRM-mogelijkheden het risico op ongeautoriseerde toegang en datalekken.

Deze toegangscontroles, evenals de versleutelingsfuncties voor veilige overdracht op ondernemingsniveau van Kiteworks, stellen organisaties ook in staat te voldoen aan strikte vereisten voor datasoevereiniteit.

Bovendien beheren klanten van Kiteworks hun eigen encryptiesleutels. Hierdoor heeft Kiteworks geen toegang tot klantgegevens, wat de privacy en veiligheid van de klantinformatie waarborgt. Ter vergelijking: andere diensten zoals Microsoft Office 365, die de encryptiesleutels van klanten beheren of mede beheren, kunnen (en zullen) klantgegevens overdragen als reactie op dagvaardingen en bevelen van de overheid. Met Kiteworks heeft de klant volledige controle over zijn gegevens en encryptiesleutels, wat een hoog niveau van privacy en veiligheid garandeert.

Kiteworks-inzetopties omvatten on-premises, hosted, private, hybride en FedRAMP virtual private cloud. Met Kiteworks: beheer de toegang tot gevoelige inhoud; bescherm deze bij externe uitwisseling met geautomatiseerde end-to-end encryptie, multi-factor authentication en integraties met beveiligingsinfrastructuur; zie, volg en rapporteer alle bestandsactiviteiten, namelijk wie wat naar wie stuurt, wanneer en hoe. Toon tenslotte naleving aan van regelgeving en standaarden zoals GDPR, ANSSI, HIPAA, CMMC, Cyber Essentials Plus, IRAP, DPA en vele anderen.

Wil je meer weten over Kiteworks, plan dan vandaag nog een aangepaste demo.