Cloudbeleid aanscherpen: veilige opslag van overheidsdata onder Europees recht.
De toevoeging van 'onder Europees recht' is hier belangrijk, tenminste als het betekent 'en niet ook onder anderlands recht'. Zorgelijk dat het alleen om data gaat, want het gebruik van iedere VS tool is voor de overheid een attack surface. Dan valt het altijd onder VS recht, ook buiten de Cloud Act om. Het gaat om de uitknop ook.
Peter Vergote, legal advisor at DNS Belgium: "Our data and processes at AWS are located on European soil, spread across multiple data centres. This is perfectly in line with European legislation such as GDPR and NIS2 .
That is technically true, but not in practice. The 2018 Cloud Act makes all EU reg moot points from the US perspective. That makes any American involvement in your stack by def a breach of NIS2, GDPR and other digital and data related regs.
2022 report National Cybersec centre MinJenV
Amerikaanse wetgeving zoals de CLOUD Act (Clarifying Lawful Overseas Use of Data Act), de Foreign Intelligence Surveillance Act (FISA)5 en Executive Order 12333 komt te vallen?
De overeenkomsten tussen de Staat en Solvinity bieden aanknopingspunten om ten minste van Solvinity te verlangen dat er technische en organisatorische maatregelen worden getroffen om te waarborgen dat de gegevens waartoe zij toegang heeft op een wijze worden verwerkt die voldoet aan de in de EU geldende regels, zoals die uit de Algemene verordening gegevensbescherming. Welke maatregelen dat zullen zijn vormt onderwerp van de gesprekken tussen de Staat en Solvinity.
Dit is weer een non-antwoord, 'dat de boel AVG conform gaat'. Het punt hier is niet het niet voldoen aan Europese regels maar dat VS spelers moeten voldoen aan VS wetgeving, ook in Europa.
De drie genoemde wettelijke instrumenten maken het, in ieder geval in theorie, mogelijk dat autoriteiten in de VS onder de in deze wetgeving genoemde voorwaarden toegang kunnen krijgen tot de gegevens waarover een onderneming in de VS beschikt, óók wanneer de gegevens zich bevinden onder een dochtervennootschap en op servers buiten de VS. Als Solvinity wordt overgenomen door een onderneming in de VS brengt dit Solvinity onder de reikwijdte van deze wetgeving. Het gevolg daarvan kan, in ieder geval in theorie, zijn dat autoriteiten in de VS in voorkomend geval toegang krijgen tot de gegevens die door Solvinity in opdracht van de Staat worden verwerkt.
Stas geeft hier eindelijk toe dat de VS 'in theorie' toegang heeft tot alles wat een uiteindelijk Amerikaans bedrijf aan data heeft. Vgl [[Een goed gesprek over digitale soevereiniteit in de gemeente]] Gebruik dit voor de herh in feb bij Gem Amersfoort