Overheidstoegang tot data: alle feiten op een rij

Share this post:

Door Martin Jetter, IBM Chairman of Europe, Middle-East and Africa

Met meer dan 100 jaar engagement in Europa, heeft IBM veel clouddatacenters, onderzoekslaboratoria, innovatie hubs en ‘centers of excellence’ verspreid over Europa. We hebben niet alleen een van de langst bestaande geschiedenis van een technologiebedrijf dat grote klanten in alle sectoren in Europa ondersteunt, we hebben als gevolg daarvan ook diepe en aanhoudende relaties met Europese klanten. Agnieszka Bruyère, Vice-President van IBM Cloud in EMEA, heeft een blog gepubliceerd over digitale soevereiniteit en IBM’s EU-specifieke dienstverlening. Terecht hebben de Europese instellingen, Europese regeringen en onze Europese klanten vragen en bezorgdheden rond dataprivacy wanneer data over landsgrenzen vloeit. Recentelijk startte de Europese Commissie nog met het verzamelen van informatie over hoe best de risico’s in te dijken rond de toegang van overheden aan niet-persoonlijke data van bedrijven gevestigd in de EU, beheerd door aanbieders van Cloud computing diensten. Daarom is het erg belangrijk dat we de feiten over IBM in Europa uiteenzetten en hoe we op deze belangrijke kwesties reageren.

In Europa gevestigde IBM-entiteiten zijn individuele bedrijven die zijn opgericht in de relevante lidstaat[en]. Deze entiteiten zijn aparte entiteiten, los van hun moeder- en zusterbedrijven, zijn onderworpen aan de nationale jurisdictie en zullen de claims afwijzen van autoriteiten die geen jurisdictie over hen hebben (of dat nu de Amerikaanse overheid of EENDER WELKE ANDERE buitenlandse overheid betreft), om toegang te krijgen tot de gegevens die aan hen zijn toevertrouwd door klanten uit de industrie dan wel de publieke sector. Hoewel lang voordat de AVG (GDPR) van toepassing werd IBM als internationaal bedrijf publiekelijk zijn strikte engagement communiceerde voor het beschermen van  data van klanten tegen toegangsverzoeken van overheden, wil ik graag verder uitklaren en onderstrepen wat dit engagement concreet betekent voor IBM entiteiten in Europa.

IBM’s Europese entiteiten verschillen niet van andere Europese entiteiten

IBM’s Europese entiteiten zijn onderhevig aan Europese regelgeving en de nationale wetten van het land waarin ze gevestigd zijn, en zodoende ook aan alle beschermend maatregelen zoals privacy die deze regels afdwingen.

Er is dus geen verschil met andere Europese bedrijven. De relatie van IBM entiteiten in Europa met het niet-Europese moederbedrijf heeft dus geen enkele impact op hoe we de lokale wetgeving naleven.

De Amerikaanse regering heeft geen enkele jurisdictie over IBM’s Europese entiteiten om data op te vragen van onze Enterprise of Publieke Sector-klanten, louter omdat deze entiteit een moederbedrijf heeft gevestigd in de VS. Noch de US Cloud Act noch een andere wet heeft hier een impact op. IBM’s Europese entiteiten zullen in beroep gaan tegen elke aanvraag die ze ontvangen buiten de wettelijke jurisdictie van de vragende overheid.

IBM en de US Cloud Act: de feiten op een rijtje

Sinds de US Cloud Act in werking trad in maart 2018 heeft noch IBM Corporation, noch een van onze bedrijven gelieerd aan IBM enige data van klanten onder de Act geleverd. Als we kijken naar de hele wereldwijde familie van IBM-gerelateerde bedrijven, heeft IBM in totaal 1 verzoek ontvangen met betrekking tot klantinhoud in Europa onder de Cloud Act. Voor dat verzoek stelde IBM vast dat het verzoek niet in overeenstemming was met de principes die IBM reeds lang aan onze klanten heeft voorgelegd over de toegang van de overheid tot gegevens, en IBM US weigerde daarom gegevens te verstrekken die zich buiten de VS bevonden.

In plaats daarvan drong IBM erop aan dat de Amerikaanse regering ofwel rechtstreeks contact opneemt met de klant in kwestie, ofwel het internationaal erkende ‘Mutual Legal Assistance Treaties’-proces (MLAT’s) volgt. Geconfronteerd met het standpunt van IBM zette de Amerikaanse regering het MLAT-proces voort. Naar onze mening zou dit hetzelfde resultaat zijn geweest vóór de inwerkingtreding van de Cloud Act.

IBM herhaalde ook zijn standpunt dat de Amerikaanse regering niet bevoegd is om dochterondernemingen van IBM – die elk afzonderlijke rechtspersonen zijn – te dwingen klantgegevens openbaar te maken, simpelweg omdat er een gemeenschappelijke zakelijke relatie is.

Bovendien wordt de Amerikaanse Cloud Act slechts op een zeer specifieke manier gebruikt, namelijk om elektronische gegevens op te halen bij bedrijven en platforms voor digitale diensten ter bestrijding van ernstige criminaliteit, zoals bijvoorbeeld terrorisme, en wanneer dergelijke elektronische gegevens bewijs zouden kunnen bevatten van een ernstig misdrijf. IBM is geen digitaal platform dat enorme hoeveelheden gebruikersgegevens beheert – IBM is een cloudserviceprovider voor bedrijven en overheden.

IBM is heel verschillend van andere Cloud-bedrijven

Ten eerste zijn we anders dan de digitale consumentenplatforms. De aard van onze hoofdactiviteiten en -klanten onderscheidt ons van andere grote platformen in de sector, vooral van degenen waarvan het bedrijfsmodel voornamelijk bestaat uit directe interactie met consumenten (B2C), en die enorme hoeveelheden consumentengegevens verzamelen en beheren.

Daarenboven levert IBM ook geen traditionele communicatiediensten aan via telefoon of internet aan het grote publiek. IBM houdt zich in plaats daarvan voornamelijk bezig met bedrijfsgegevens die weinig nut zouden hebben voor nationale veiligheidsinlichtingen, en zijn over het algemeen niet het onderwerp van verzoeken van autoriteiten van derde landen. Dankzij dit gedifferentieerde bedrijfsmodel hebben IBM Europese entiteiten tot op heden een zeer laag aantal verzoeken om klantgegevens ontvangen van autoriteiten van  non-Europese landen.

Ten tweede verschilt IBM ook van andere Enterprise Cloud-bedrijven. Zo plaats bijvoorbeeld onze geschiedenis met de Cloud Act, met slechts 1 Cloud Act-verzoek, IBM in een unieke positie op de Enterprise Cloud markt. Bovendien is IBM uniek gepositioneerd als de enige toonaangevende Enterprise Cloud-aanbieder zonder een consumentenplatform hetgeen elk jaar duizenden extra overheidseisen voor klantgegevens kan trekken.

Bovendien, dankzij ons principe dat de gegevens van onze klanten toebehoren aan die klanten en niet aan IBM, onderscheidt IBM zich ook zelfs van andere Enterprise Cloud-aanbieders.

Maar laten we eens naar de cijfers kijken. Al het bovenstaande wordt bevestigd door ons laatste transparantierapport: in 2020, op één uitzondering na, heeft geen enkele IBM-entiteit gegevens verstrekt (of werd zelfs maar gevraagd) die verband houden met een klant, behalve contactgegevens opdat de autoriteiten rechtstreeks contact konden opnemen met de klant. Deze ene uitzondering had ook geen betrekking op de Cloud Act of enige autoriteit in de Verenigde Staten. Dit verzoek werd, net als alle andere verzoeken waarmee IBM werd geconfronteerd, opgelost in volledige overeenstemming met de lokale wetgeving.

Verder bouwen aan een Trusted Cloud in Europa

Terwijl anderen nu pas beginnen te onderzoeken hoe ze hun eigen capaciteiten kunnen verbeteren, hebben we bij IBM onaflatend het vertrouwen gestimuleerd in de manier waarop we gegevens verwerken in het Europese cloud-ecosysteem en hebben we reeds innovaties en veiligheidsmechanismen geïmplementeerd.

Dankzij ons ‘EU-only’ aanbod voor het opslaan en verwerken van gegevens in Europa, gecombineerd met onze nieuwe technologische ontwikkelingen, zoals ‘Keep Your Own Key’-coderingstechnologie en Confidential Computing, alsook onze betrokkenheid bij EU projecten en industrie-initiatieven, zoals de EU Cloud Code of Conduct en GAIA-X, blijft IBM de voortrekker in het ondersteunen van Europa in het bouwen van een Trusted Cloud-omgeving.

Lees hier > hoe we dit elke dag concreet doen, in de blog van Agnieszka Bruyère, Vice-President IBM Cloud voor IBM EMEA