Breaking news: Zwitserland verbiedt Microsoft, Google en AWS voor overheden.
De Zwitserse conferentie van gegevensbeschermers (Privatim) heeft een resolutie aangenomen die het gebruik van internationale cloud-diensten (vooral AWS, Google, Microsoft) door overheidsinstanties sterk inperkt.
Kern: voor bijzonder beschermingswaardige of wettelijk geheim te houden persoonsgegevens zijn SaaS-oplossingen van deze hyperscalers in de meeste gevallen niet meer toegestaan.
Het komt neer op een feitelijk verbod voor dit soort gebruik.
Microsoft 365 en vergelijkbare pakketten mogen in veel gevallen hooguit nog als “online opslag” worden gebruikt. Volledige inzet als kantoor-suite met verwerking van gevoelige data is niet meer de bedoeling.
Reden is de bijzondere verantwoordelijkheid van de overheid voor burgersdata en de risico’s van uitbesteding aan internationale public clouds (juridisch, technisch en organisatorisch).
Grootste technische bezwaar: gebrek aan echte end-to-end-encryptie. Zolang de cloudprovider toegang kan hebben tot de data in leesbare vorm, is het volgens Privatim niet acceptabel.
Toegestaan is het alleen als de overheid zelf versleutelt en de provider géén toegang tot de sleutels heeft.
Ze bekritiseren ook de lage transparantie van wereldwijde aanbieders: het is voor Zwitserse overheden bijna niet controleerbaar of contractueel beloofde beveiligingsmaatregelen echt worden nageleefd, zeker
met lange ketens van subcontractors en eenzijdig aangepaste voorwaarden.
Extra zorgpunt is de Amerikaanse Cloud Act. Die kan Amerikaanse aanbieders verplichten data aan autoriteiten te overhandigen, zelfs als de data in Zwitserse datacenters staat, en zonder klassiek rechtshulptraject.
Dat creëert grote rechtsonzekerheid bij geheimhoudingsplichtige gegevens.
Jurist Martin Steiger wijst erop dat het merendeel van overheidsdata onder geheimhouding valt en dat veel cloud-diensten praktisch moeilijk volledig end-to-end versleuteld te gebruiken zijn.
Het is afwachten of toezichthouders nu echt gaan handhaven; eerdere kritische uitspraken over Microsoft 365 hadden weinig consequenties.
De resolutie dwingt Zwitserse autoriteiten hun IT-strategie te herzien en meer naar soevereine, sterk versleutelde of nationale alternatieven te kijken.
Humble brag: Qsentinel AG gebruikt Post Quantum end-to-end encryption en slaat data uitsluitend op in Zwitsers datacenter (Quantum Basel)
#qsentinel #soevereiniteit #databescherming #opensource #nextcloud #putiton #putitoncontact #putitonthefew
We'll send you a nice letter once per week. No spam.
