De Zwitserse privacytoezichthouder Privatim heeft een stap gezet om de Amerikaanse clouddiensten van Microsoft, Amazon en Google te verbieden voor overheidsinstanties. Dataopslag binnen Zwitserland biedt geen bescherming tegen Amerikaanse wetten, stelt Privatim.
De handleiding van de Zwitserse dataprotectieautoriteit in Zürich concludeert dat overheidsinstellingen ongrondwettelijk handelen wanneer ze gevoelige burgerdata toevertrouwen aan aanbieders die onder de Amerikaanse CLOUD Act vallen. De wet geeft Amerikaanse opsporingsdiensten toegang tot data, ook wanneer deze fysiek in Zwitserland staat. Dat maakt clouddiensten van de grote Amerikaanse aanbieders onbruikbaar voor Zwitserse scholen, ziekenhuizen en politiekorpsen.
De Amerikaanse CLOUD Act uit 2018 staat Amerikaanse autoriteiten toe om data op te vragen bij techbedrijven, ongeacht waar de servers staan. Voor Zwitserse toezichthouders ontstaat hierdoor een onoplosbaar conflict. Data in Zürich valt onder Zwitserse privacybescherming, maar tegelijkertijd onder Amerikaans dagvaardingsrecht. Het schuurt wel met de soevereine cloud initiatieven van de grote Amerikaanse cloudplatformen, die juist met die initiatieven een oplossing wllen bieden.
Dominik Baumann, de verantwoordelijke privacyofficer voor het kanton Zürich, oordeelt dat de buitenlandse juridische verplichting de overdracht van persoonsgegevens onwettig maakt zodra deze de infrastructuur van de aanbieder binnenkomt. Dat betekent een binaire keuze voor CIO’s in de publieke sector: lokaal gehoste alternatieven of schending van de grondwet door Amerikaanse cloud en SaaS-oplossingen te gebruiken.
Het verbod strekt zich uit tot alle data die onder ‘beroepsgeheim’ valt. Die categorie omvat medische dossiers, belastinggegevens, socialezekerheidsinformatie en onderwijsgegevens. De autoriteiten in Zürich eisen feitelijk een terugkeer naar on-premises infrastructuur of strikt Europese aanbieders voor het merendeel van kritieke overheidsfuncties.
Encryptie biedt geen oplossing
Het Zwitserse besluit ontmantelt het argument dat versleuteling bescherming biedt. Voor moderne SaaS-toepassingen als Microsoft Teams of Google Workspace moet data tijdens verwerking ontsleuteld worden in het werkgeheugen van de aanbieder. Het gaat om het indexeren van bestanden, scannen op malware en realtime samenwerking. Tijdens deze verwerkingsmomenten wordt de data kwetsbaar en toegankelijk.
De toezichthouder stelt dat encryptie alleen geldig is wanneer de cloudaanbieder absoluut geen toegang heeft tot de sleutels en data volledig versleuteld blijft gedurende de hele levenscyclus. Die voorwaarde breekt de functionaliteit van de meeste moderne cloudplatforms.
Industrie-oplossingen als ‘Bring Your Own Key’ falen volgens de toezichthouder omdat ze de juridische risico’s inherent aan SaaS-architecturen niet neutraliseren. Microsoft probeerde jaren geleden met een ‘Cloud Germany’ trustee-model een oplossing te vinden, waarbij T-Systems als onafhankelijk data trustee werd aangemerkt, maar dat initiatief werd niet als succesvol beschouwd. Het idee van zo’n model is dat er een soort juridisch afzonderlijke Europese entiteit onstaat zonder bedrijfsbinding met de VS.
Gevolgen voor digitale plannen
De praktische impact voor Zwitserse instellingen is direct en ingrijpend. Veel organisaties waren al begonnen met migraties naar cloudplatforms om thuiswerken te faciliteren en het onderwijs te moderniseren. Het terugdraaien van deze migraties brengt aanzienlijke financiële en operationele kosten met zich mee.
De alternatieven zijn primair het hosten van open-source oplossingen als Nextcloud of vertrouwen op kleinere, lokale Zwitserse hostingaanbieders. Deze opties missen vaak de naadloze integratie en functierijkdom van de hyperscalers. IT-beheerders staan voor de ontmoedigende taak om op maat gemaakte, compliant architecturen te bouwen die de bruikbaarheid van commerciële SaaS-producten evenaren, allemaal binnen krappe publieke budgetten.
Domino-effect in DACH-regio verwacht
Zwitserland is geen EU-lid, maar de datawetten zijn nauw afgestemd op de Europese GDPR. Zwitserse toezichthouders bewegen vaak gelijk op met hun strengste Duitse tegenhangers. De Federal Data Protection and Information Commissioner in Bern heeft eerder al scepsis geuit over dataoverdrachten naar de VS.
De expliciete handleiding van Zürich biedt een blauwdruk voor andere kantons. Als Basel, Genève en Bern vergelijkbare harde standpunten innemen, ontstaat een de facto embargo op Amerikaanse clouddiensten voor de Zwitserse publieke sector. Dat creëert een gefragmenteerde regelgevingsomgeving in Europa, waar een ziekenhuis in Zürich mogelijk geen tools mag gebruiken die een ziekenhuis in Warschau wel inzet.
De stap werpt ook een lange schaduw over het nieuw onderhandelde EU-US Data Privacy Framework. Terwijl de Europese Commissie een adequaatheidsbesluit heeft verleend aan de VS, blijven privacyvoorstanders en toezichthouders onovertuigd dat het fundamentele conflict tussen Amerikaanse surveillancewetten en Europese privacy-rechten is opgelost. Door een standpunt in te nemen gebaseerd op de CLOUD Act, die het DPF niet opheft, signaleren Zwitserse toezichthouders dat politieke afspraken de materiële juridische realiteit van data-blootstelling niet kunnen opheffen.
Nederland zet ondertussen ook in op een eigen soevereine overheidscloud om minder afhankelijk te worden van buitenlandse clouddiensten. Voormalig staatssecretaris Zsolt Szabó van Digitalisering kondigde eerder aan dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is.