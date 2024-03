Nederlandse overheden, zogenoemde "vitale" bedrijven, scholen en in mindere mate zorginstellingen besteden hun maildiensten op grote schaal uit aan Amerikaanse bedrijven. Dat blijkt uit onderzoek van de NOS naar het cloudgebruik van ruim 20.000 bedrijven, organisaties en overheden.

De organisaties hebben hun eigen mailservers uitgezet en hun mail naar Microsoft en Google verplaatst. Hoewel de servers vaak in Nederland of elders in de EU staan, kan de Amerikaanse overheid daar toegang toe krijgen.

Microsoft heeft verreweg de meeste e-mail in handen: dat is bij zes op de tien organisaties zo. Daaronder ook e-mail van de Tweede Kamer, de Eerste Kamer, de Autoriteit Financiële Markten en de Nederlandse Zorgautoriteit.

Ook de Nationale ombudsman, het Planbureau voor de Leefomgeving en de Kamer van Koophandel zijn overgestapt op mailservers van Microsoft. En terwijl ministeries hun mail nog op eigen servers hebben staan, heeft meer dan de helft van de gemeenten de overstap naar Microsoft-servers gemaakt.

Dat brengt risico's met zich mee, blijkt uit een kritisch rapport van denktank Clingendael in opdracht van de AIVD, dat vandaag uitkomt. Amerikaanse wetgeving maakt het namelijk mogelijk om mee te kijken in de data, ongeacht waar ze zijn ondergebracht, waarschuwt Clingendael. Zeker voor overheden brengt dat nationale-veiligheidsrisico's met zich mee.

Microsoft benadrukt dat het klanten goed beschermt en zich aan de privacywet AVG houdt. "De wetgeving om data op te vragen heeft specifiek betrekking op uitzonderlijke omstandigheden waarin een vermoeden van een ernstig misdrijf wordt vastgesteld." Microsoft zal zich daar "waar mogelijk" tegen verzetten, aldus het bedrijf.

Voorkomen kan niet

Maar voorkomen kunnen ze het niet, stelt onderzoekster Maaike Okano-Heijmans van Clingendael. "Dat het tot nu toe niet is gebeurd, zegt niet zo veel. Er zijn wetten die Amerikaanse bedrijven verplichten data te overhandigen."

En wetten kunnen gewijzigd worden. "Wie had de coronapandemie of de Russische invasie in Oekraïne voorzien?" Als er iets onvoorstelbaars gebeurt in de relatie tussen de Europese Unie en de Verenigde Staten, is onze grote afhankelijkheid van Amerikaanse diensten een groot risico, benadrukt de onderzoeker. "We moeten Europese alternatieven behouden, omdat we die kunnen gebruiken voor de belangrijkste systemen en het hoogste niveau van privacy."

Tien tot vijftien jaar geleden draaiden bedrijven en organisaties doorgaans zelf een mailserver, ook vaak met software van Microsoft, maar nu is het gebruikelijker om dat uit te besteden aan een extern bedrijf. Dat is goedkoper en makkelijker: zelf een computerserver in de lucht houden vereist investeringen in apparatuur en dure technische kennis. Google en Microsoft doen dat tegen een maandelijks tientje per gebruiker.