AWS en Cloud Act

Terwijl nieuws van de Brexit de krantenkoppen in het Verenigd Koninkrijk domineert, vond onlangs een ander belangrijk evenement plaats in Londen. De Amerikaanse adjunct-procureur-generaal Richard W. Downing sprak in een toespraak op de Academy of European Law Conference over de mythen en de realiteit van de Clarifying Lawful Overseas Use of Data Act (Cloud Act) toe. Na de toespraak heeft het Amerikaanse ministerie van Justitie (DOJ) een whitepaper en FAQ gepubliceerd waarin het doel en het bereik van Cloud Act wordt verduidelijkt en waarin veel van de misverstanden omtrent deze wet worden aangepakt. Ik moedig mensen sterk aan om de toespraak, de whitepaper van de DOJ en de veelgestelde vragen te lezen om te begrijpen wat Cloud Act in feite wel en niet doet. Simpel gezegd, Cloud Act biedt kleine updates van een decennia-oude wet die strikt beperkt is tot het helpen van wetshandhavingsinstanties om internationale criminele en terroristische activiteiten te bestrijden en te ontmoedigen. Het biedt, zoals sommigen hebben gesuggereerd, Amerikaanse wetshandhavingsinstanties geen vrije toegang tot gegevens die in de cloud zijn opgeslagen.

We zien de toespraak en begeleiding van DOJ als een stap in de goede richting, maar er moet meer worden gedaan door overheden over de hele wereld om cloud computing-klanten te informeren over belangrijke kwesties met betrekking tot toegang tot gegevens. Daarom wil ik ingaan op enkele van de belangrijkste misverstanden over Cloud Act en ze onder de aandacht brengen om klanten te helpen begrijpen dat deze wet de manier waarop zij clouddiensten gebruiken niet mag veranderen.

Wettelijke toegang tot gegevens in de afgelopen 30 jaar

In 1986 heeft het Amerikaanse Congres de Stored Communications Act (SCA) vastgesteld, die betrekking heeft op de toegang van rechtshandhavingsinstanties tot elektronische communicatie. Hoewel de SCA op dat moment als toekomstgericht werd beschouwd, hebben rechtbanken in de loop der jaren moeite gehad om deze wet toe te passen op technologieën zoals internetapplicaties en cloud computing die niet bestonden toen de SCA werd aangenomen. Eén discussiepunt had betrekking op de vraag of Amerikaanse wetshandhavingsinstanties gegevens buiten de Verenigde Staten konden verkrijgen. Cloud Act loste dit debat op. Het maakte duidelijk dat aanbieders die onder de Amerikaanse wetgeving vallen, zoals een entiteit die zaken doet in de Verenigde Staten (inclusief in het buitenland gevestigde entiteiten met Amerikaanse dochterondernemingen), een bevel en een rechterlijk bevel kunnen krijgen onder de SCA om gegevens onder hun controle te verstrekken, ongeacht waar het is opgeslagen.

Voor de duidelijkheid, ondanks suggesties die het tegendeel beweren, introduceert Cloud Act geen nieuw concept. Regeringen over de hele wereld hebben lang het vermogen gehad om bewijs te verkrijgen van misdaden die zich buiten hun rechtsgebied afspelen. Zoals het DOJ in zijn whitepaper opmerkte, vereisen de meeste landen openbaarmaking van gegevens overal waar deze zijn opgeslagen, in overeenstemming met de Conventie van Boedapest, het eerste internationale verdrag dat gericht was op verbetering van de samenwerking en het onderzoek naar cyber- en computercriminaliteit. Inderdaad, Franse rechtbanken hebben de politie al lang toegestaan ??om gegevens buiten Frankrijk te verkrijgen, op voorwaarde dat het vanaf een computer in Frankrijk toegankelijk is. Onlangs heeft het Verenigd Koninkrijk in februari 2019 de Crime (Overseas Production Orders) wet aangenomen, waarmee Britse rechtshandhavingsinstanties opgeslagen elektronische gegevens van een bedrijf of persoon buiten het Verenigd Koninkrijk kunnen verkrijgen.

Deze praktijk is in overeenstemming met een eeuwenoud principe van internationale samenwerking. Landen gebruiken een aantal instrumenten, variërend van nationale wetten tot internationale verdragen, om potentieel bewijs te zoeken dat zich buiten hun grenzen bevindt en om een ??traditie van grensoverschrijdende samenwerking op te bouwen. Dit dient als de basis voor wat vertrouwde en gerespecteerde organisaties zoals Europol doen, en Cloud Act weerspiegelt eenvoudig wat deze andere wetshandhavingsinstanties en andere landen al vele jaren doen.

Cloud Act begrijpen

Een van de meest voorkomende misverstanden over Cloud Act is dat deze alleen van toepassing is op Amerikaanse bedrijven. Dit is niet waar. Cloud Act is van toepassing op alle elektronische communicatiediensten of externe computerserviceproviders die onder de jurisdictie van de Verenigde Staten vallen, inclusief e-mailproviders, telecombedrijven, sociale-mediasites en cloudproviders, ongeacht of deze zijn gevestigd in de Verenigde Staten of in een ander land. Dit betekent dat elke buitenlandse onderneming met een kantoor of dochteronderneming in de Verenigde Staten is onderworpen aan Cloud Act. Zoals Downing in zijn toespraak zei, hebben de Amerikaanse rechtbanken besloten dat zelfs niet-Amerikaanse websites die zijn gebruikt door klanten in de Verenigde Staten zijn onderworpen aan het Amerikaanse rechtsgebied en daarom mogelijk onder Cloud Act zouden vallen.

Een ander veelvoorkomend misverstand over Cloud Act is dat deze op de een of andere manier de Amerikaanse overheid onbelemmerde toegang verschaft tot gegevens die bij cloudproviders ondergebracht zijn. Dit is niet juist. Cloud Act verleent wetshandhavingsinstanties geen vrije toegang tot gegevens die in de cloud zijn opgeslagen. Wetshandhaving kan dienstverleners dwingen om alleen gegevens te verstrekken door te voldoen aan de strenge wettelijke normen voor een bevel dat door een Amerikaanse rechtbank is uitgevaardigd. De Amerikaanse wet stelt een hoge lat voor het verkrijgen van een bevel, vereist dat een onafhankelijke rechter concludeert dat rechtshandhaving redelijke gronden heeft om de informatie te vragen, dat de gevraagde informatie rechtstreeks verband houdt met een misdrijf en dat het verzoek duidelijk, nauwkeurig en proportioneel is gedaan. Dit is het tegenovergestelde van onbelemmerde toegang.

Wanneer AWS een verzoek om gegevens buiten de Verenigde Staten ontvangt, hebben we tools om dit aan te vechten en ook een enorme staat van dienst op dat vlak. In feite beginnen onze uitdagingen meestal lang voordat we naar een rechtbank gaan. Elk verzoek van wetshandhavingsinstanties wordt beoordeeld door een team van juridische professionals. Als onderdeel van die beoordeling beoordelen we of het verzoek de wetten van de Verenigde Staten of van het vreemde land waarin de gegevens zich bevinden, schendt of de rechten van de klant volgens de relevante wetgeving schendt. We handhaven rigoureus de toepasselijke wettelijke normen om elk rechtshandhavingsverzoek voor gegevens afkomstig uit elk land, inclusief de Verenigde Staten, te beperken of af te wijzen. We duwen wetshandhavingsinstanties actief terug om de problemen aan te pakken, wat er vaak toe leidt dat zij hun verzoek intrekken.

Als we een geschil niet kunnen oplossen, aarzelen we niet om naar de rechter te stappen. Amazon heeft een geschiedenis in uitdagende, formele overheidsverzoeken voor klantinformatie waarvan we denken dat ze te breed geformuleerd zijn of anderszins ongepast. We zullen ons blijven verzetten tegen verzoeken, ook die in strijd zijn met lokale wetgeving zoals GDPR in de Europese Unie, om er alles aan te doen om klantgegevens te beschermen. We blijven klanten ook op de hoogte houden voordat ze inhoud openbaar maken en we bieden geavanceerde coderings- en sleutelbeheerdiensten die klanten kunnen gebruiken om hun inhoud verder te beschermen. We hebben toonaangevende coderingsservices die onze klanten een aantal opties biedt om data die wordt vervoerd en data die in opslag is te coderen en coderings- en decoderingssleutels te beheren - omdat gecodeerde inhoud onbruikbaar wordt zonder de geldige decoderingssleutels.

Cloud Act veranderde het vermogen van cloudleveranciers om hun klanten te beschermen niet

AWS waakt over de privacy en veiligheid van haar klanten. We doen er alles aan om alle klanten, inclusief overheidsinstanties die ons hun meest gevoelige inhoud toevertrouwen, te voorzien van de meest uitgebreide set beveiligingsdiensten en functies om volledige controle over hun gegevens te garanderen. Cloud Act heeft dit commitment niet gewijzigd of verzwakt. Integendeel, Cloud Act erkent het recht van cloudaanbieders om verzoeken die in strijd zijn met de wetten of nationale belangen van een ander land aan te vechten en vereist dat overheden de lokale rechtsregels respecteren. Bovendien hebben buitenlandse regeringen die zich zorgen maken over het risico dat openbaarmaking van overheidsgegevens met zich meebrengt, mogelijk recht op soevereine immuniteit. De Verenigde Staten erkennen dat buitenlandse overheden volgens het Amerikaanse beleid op soevereine immuniteits effectieve wettelijke middelen hebben om openbaarmaking van hun gegevens te voorkomen.

Klanten over de hele wereld kunnen AWS blijven gebruiken in overeenstemming met de lokale wetgeving

Bij AWS helpen we onze klanten en partners constant hun positie te begrijpen met betrekking tot nieuwe compliance-normen en wetten. Het is de enige manier waarop we organisaties kunnen garanderen dat ze hun eindgebruikers kunnen beschermen. Nadat je de toespraak van Downing en de documenten van DOJ hebt gelezen, bezoek dan onze webpagina over Cloud Act, waar je veelgestelde vragen, whitepapers en andere bronnen voor klanten en APN-partners terugvindt. Op die webpagina kun je de feiten over de beperkte impact van Cloud Act ontdekken en de toepassing ervan op AWS begrijpen.

De realiteit is dat cloud computing op allerlei manieren een positief effect heeft op levens wereldwijd. Met AWS-technologieën creëren onze klanten vooruitstrevende technologieën die bepalend zijn voor de manier waarop we leven en leren, of het nu gaat om het delen van foto's en videostreaming, betere toegang tot financiële diensten en e-commerce, het verwerken van georuimtelijke gegevens voor nieuwe ontdekkingen, het maken of het bevorderen van meer mogelijkheden voor onderwijs en ontwikkeling van vaardigheden, of het helpen van industrieën bij de ontwikkeling van toegankelijke AI en ML-diensten. Onze klanten maken ook volop gebruik van de cloud ‘for good’: bij het voorkomen van mensenhandel, gewelddadige criminaliteit, bij het verbeteren van de dienstverlening aan burgers in steden en bij het mogelijk maken van medische doorbraken. Het zou ontzettend teleurstellend zijn als dit alles zou worden vertraagd door fundamentele misverstanden over Cloud Act. De onlangs door DOJ verstrekte informatie over Cloud Act is een nuttige stap naar meer begrip van de feiten, maar hopelijk verschaft dit stuk en de gerelateerde artikelen nog meer inzicht en duidelijkheid dit debat.

Door: Michael Punke is Vice President Global Public Policy bij AWS