Het door Microsoft op last van de regering Trump op zwart zetten van het e-mailaccount van de hoofdaanklager van het Internationaal Strafhof zou een wake-up call moeten zijn. Ook tal van vitale internetdiensten en websites zijn afhankelijk van Amerikaanse technologie en zouden via een verborgen ‘kill switch’ uitgeschakeld of gemanipuleerd kunnen worden, waarschuwen experts.

De Nederlandse overheid en vele bedrijven en burgers maken in een veel grotere mate gebruik van Amerikaanse clouddiensten dan tot nu toe bekend was. Onderzoek van de NOS toont aan dat 1722 websites van overheden, semi-overheden en vitale bedrijven afhankelijk zijn van ten minste één Amerikaanse cloudprovider. Dat brengt risico’s met zich mee, waaronder het gevaar dat Amerikaanse inlichtingendiensten toegang hebben tot gevoelige informatie.
Bij negen van de vijftien ministeries worden diensten van Microsoft gebruikt, zoals Teams en Webex. Ook gemeenten blijken sterk afhankelijk. Vrijwel allemaal maken ze gebruik van Amerikaanse servers, op één na. Ook alle provincies en landelijke instanties zoals de Autoriteit Financiële Markten (AFM), het Veiligheidsberaad en de Tweede Kamer gebruiken deze diensten.

Amerikaanse wetgeving
ICT-expert Bert Hubert waarschuwt al langer voor deze afhankelijkheid. “De Amerikaanse overheid kan in theorie zelfs twintig jaar oude e-mails uit de Tweede Kamer opvragen”, zegt hij tegenover de NOS. “Meelezen is technisch niet moeilijk.” Amerikaanse wetgeving zoals de CLOUD Act uit 2018 maakt dit juridisch mogelijk, zelfs wanneer data binnen de EU is opgeslagen.
Organisaties erkennen het probleem, maar overstappen blijkt lastig. De Vereniging van Nederlandse Gemeenten noemt het risico op meelezen ‘beperkt’, terwijl de koepel van provincies wijst op de complexiteit van aanbestedingsregels. “We denken wel na over het vergroten van digitale autonomie.”
Naast privacy ligt ook de continuïteit van digitale diensten onder vuur. De Amerikaanse overheid zou, indien gewenst, in één klap honderden Nederlandse overheidswebsites kunnen blokkeren of manipuleren. Daaronder vallen kritieke domeinen zoals Crisis.nl, de site van de politie en die van De Nederlandsche Bank.

Internationaal verdrag nodig
Zelfs telecomprovider KPN en andere vitale sectoren zoals banken en netbeheerders gebruiken Amerikaanse clouddiensten voor hun e-mailverkeer. Hoewel ministeries hun e-mail zelf beheren, gebruiken ze wel Amerikaanse software voor communicatie. Hubert noemt vooral e-mail kwetsbaar: “Een website verplaats je relatief makkelijk, een mailserver niet.”
Microsoft erkent de zorgen. Vicevoorzitter Brad Smith bevestigt dat Amerikaanse rechtbanken toegang tot data buiten de VS kunnen eisen, maar stelt dat Microsoft zich daartegen verzet via de rechter. Hij pleit voor een internationaal verdrag om duidelijkheid te scheppen over datatoegang en privacy. Tot die tijd blijft de Nederlandse afhankelijkheid van Amerikaanse clouds een punt van zorg.