Ook Zwitserland wil soevereine cloud

In dit artikel:

Privatim, de Zwitserse toezichthouder voor gegevensbescherming, waarschuwt dat lokale overheden steeds meer afhankelijk raken van Amerikaanse hyperscalers (grote cloudleveranciers), en ziet dat als een duidelijk risico voor controle over en bescherming van gevoelige persoonsgegevens. De kritiek richt zich vooral op het gebruik van internationale saas-diensten voor gegevens die onder geheimhoudingsplicht vallen: in veel gevallen zijn die oplossingen volgens Privatim onaanvaardbaar.

Belangrijke knelpunten zijn het ontbreken van echte end-to-end-versleuteling, beperkte transparantie van wereldwijde aanbieders en lange ketens van onderaannemers. Daardoor kunnen aanbieders zelf toegang houden tot leesbare data, kunnen contracten eenzijdig veranderen en is het voor Zwitserse autoriteiten vrijwel onmogelijk na te gaan of privacy- en beveiligingsafspraken worden nageleefd. Juridische onzekerheid wordt vergroot door de Amerikaanse Cloud Act (2018), die Amerikaanse bedrijven kan dwingen data af te geven aan Amerikaanse autoriteiten, zelfs als die data in Zwitserse datacenters staan; Privatim wijst erop dat Amerikaanse ambtenaren sinds 2018 al toegang hebben tot Zwitserse belastinggegevens.

Privatim vindt dat uitbesteding aan cloudaanbieders alleen acceptabel is wanneer de verantwoordelijke organisatie zelf versleutelt en de aanbieder geen toegang heeft tot de sleutel. Voor niet-gevoelige informatie (zoals namen en adressen) zijn Amerikaanse diensten vaak toereikend, maar bij gevoelige of geheimhoudingsplichtige data ontbreekt die garantie. Tegelijk kiezen meerdere grote kantons toch voor Microsoft-clouds, terwijl de lokale aanbieder Proton — bekend om strikte versleuteling — mogelijk uit Zwitserland zou vertrekken omdat zij niet aan toekomstige nationale wetten tot datadeling kan voldoen. Zwitserland werkt zelf aan een eigen cloudwet, maar de discussie toont de spanning tussen praktische cloudkeuzes en de wens om soevereiniteit en privacy te waarborgen.