Gisteren werd een verzoek tot schorsing van het overnameverbod van Solvinity afgewezen door de rechtbank Rotterdam. Een uitgebreid vonnis, maar de kern is dus wel degelijk zorgen om de CLOUD Act, FISA en consorten. Maar dan wel alleen bij Solvinity.

In mei blokkeerde Nederland de overname van DigiD-hoster Solvinity door het Amerikaanse Kyndryl. Daarbij werd de vrij onbekende Wet ongewenste zeggenschap telecommunicatie (Wozt) ingezet, maar de motivering bleef vooralsnog geheim. Daardoor was het speculeren wat de juridische route was.

Solvinity’s eigenaar (Host Lux) ging in beroep, en daardoor weten we nu grofweg waar het besluit op gebaseerd is, namelijk tóch de CLOUD Act en vriendjes:

De Verenigde Staten (VS) beschikken over verschillende wetgeving die extraterritoriale werking heeft, waardoor ze toegang kunnen krijgen tot gegevens die wereldwijd worden verwerkt door Amerikaanse technologiebedrijven. Naast de Clarifying Lawful Overseas Use of Data Act (CLOUD Act) en de Foreign Intelligence Surveillance Act (FISA) hebben de VS verschillende wettelijke middelen om bedrijven te dwingen gegevens te verstrekken of technische hulp te bieden aan veiligheids- en inlichtingendiensten. Belangrijke voorbeelden zijn de Communications Assistance for Law Enforcement Act (CALEA), die telecom- en communicatiebedrijven verplicht hun systemen toegankelijk te maken voor afluisterpraktijken. Ook is er de Stored Communications Act (SCA), die Amerikaanse autoriteiten toegang kan geven tot opgeslagen communicatiegegevens, zelfs als deze buiten de VS zijn opgeslagen. Amerikaanse inlichtingendiensten hebben brede rechten voor het verzamelen en opslaan van communicatie en andere gegevens die in het buitenland plaatsvinden en opgeslagen staan. FISA Section 702 vormt de juridische basis voor programma’s zoals PRISM en Upstream. Hierdoor kunnen aanbieders van elektronische communicatiediensten verplicht worden om mee te werken aan buitenlandse inlichtingenverzameling. Waar de VS zich onderscheiden van andere landen is dat zij een grote invloed hebben op de mondiale digitale infrastructuur die vrijwel geheel in handen is van Amerikaanse bedrijven. Een recente studie van de Zwitserse Cloudprovider Proton, laat zien dat veel staten afhankelijk zijn van deze technologie en dat de VS via deze bedrijven macht kunnen uitoefenen.

De rest van de redenering is daarmee gegeven. Als Solvinity in Amerikaanse handen komt, krijgt zij met al deze wetgeving te maken. En dat is precies waar dan de Wozt voor bedoeld is, vandaar het verbod. En het verbod is redelijk gezien de ernst.

Die ernst is mede gegeven door het antwoord op een ander juridisch vraagje waar ik mee zat: waarom geldt de Wozt voor Solvinity? Die wet is bedoeld voor grote telecompartijen (meer dan 100.000 eindgebruikers, 300 AS’en, 400.000 domeinnamen, dat werk) en Solvinity haalt dat niet. Maar uit besloten bron heeft de rechter vernomen dat Solvinity

een elektronische communicatiedienst of elektronisch communicatienetwerk, datacenterdienst of vertrouwensdienst aanbiedt aan de Algemene Inlichtingen- en Veiligheidsdienst, het ministerie van Defensie, de Militaire Inlichtingen- en Veiligheidsdienst, de Nationaal Coördinator Terrorismebestrijding en Veiligheid of de Nationale Politie(…).

Om die reden is de Wozt alsnog van toepassing, zodat het verbod in stand blijft.

Betekent dit nu dat heel Nederland moet stoppen met Amerikaanse clouddiensten? Nee. Hoewel het gevaar algemeen en concreet is gepresenteerd, is dit beperkt tot de context van overnames door Amerikaanse partijen. Bovendien moet je dus of een grote jongen zijn of aan de mannen in regenjassen leveren.

Het is wel de eerste keer dat zo formeel wordt erkend dat CLOUD Act en consorten een clear and present danger voor onze soevereiniteit zijn. Ik verwacht dus zeker wel enige precedentwerking.

Arnoud