Amerikaanse overheid kan bij e-mail van Nederlandse overheden en kritieke bedrijven
Joost Schellevis | redacteur Tech
Nederlandse overheden, zogenoemde "vitale" bedrijven, scholen en in mindere mate zorginstellingen besteden hun maildiensten op grote schaal uit aan Amerikaanse bedrijven. Dat blijkt uit onderzoek van de NOS naar het cloudgebruik van ruim 20.000 bedrijven, organisaties en overheden.
De organisaties hebben hun eigen mailservers uitgezet en hun mail naar Microsoft en Google verplaatst. Hoewel de servers vaak in Nederland of elders in de EU staan, kan de Amerikaanse overheid daar toegang toe krijgen.
Microsoft heeft verreweg de meeste e-mail in handen: dat is bij zes op de tien organisaties zo. Daaronder ook e-mail van de Tweede Kamer, de
Ook de Nationale ombudsman, het Planbureau voor de Leefomgeving en de Kamer van Koophandel zijn overgestapt op mailservers van Microsoft. En terwijl ministeries hun mail nog op eigen servers hebben staan, heeft meer dan de helft van de gemeenten de overstap naar Microsoft-servers gemaakt.
Dat brengt risico's met zich mee, blijkt uit een kritisch rapport van denktank Clingendael in opdracht van de AIVD, dat vandaag uitkomt. Amerikaanse wetgeving maakt het namelijk mogelijk om mee te kijken in de data, ongeacht waar ze zijn ondergebracht, waarschuwt Clingendael. Zeker voor overheden brengt dat nationale-veiligheidsrisico's met zich
Microsoft benadrukt dat het klanten goed beschermt en zich aan de privacywet AVG houdt. "De wetgeving om data op te vragen heeft specifiek betrekking op uitzonderlijke omstandigheden waarin een vermoeden van een ernstig misdrijf wordt vastgesteld." Microsoft zal zich daar "waar mogelijk" tegen verzetten, aldus het bedrijf.
Voorkomen kan niet
Maar voorkomen kunnen ze het niet, stelt onderzoekster Maaike Okano-Heijmans van Clingendael. "Dat het tot nu toe niet is gebeurd, zegt niet zo veel. Er zijn wetten die Amerikaanse bedrijven verplichten data te overhandigen."
En wetten kunnen gewijzigd worden. "Wie had de coronapandemie of de Russische invasie in Oekraïne voorzien?" Als er iets onvoorstelbaars gebeurt in de relatie tussen de Europese Unie en de Verenigde Staten, is onze grote afhankelijkheid van Amerikaanse diensten een groot risico, benadrukt de onderzoeker. "We moeten Europese alternatieven behouden, omdat we die kunnen gebruiken voor de belangrijkste systemen en het hoogste niveau van privacy."
Tien tot vijftien jaar geleden draaiden bedrijven en organisaties doorgaans zelf een mailserver, ook vaak met software van Microsoft, maar nu is het gebruikelijker om dat uit te besteden aan een extern bedrijf. Dat is goedkoper en makkelijker: zelf een computerserver in de lucht houden vereist investeringen in apparatuur en dure technische kennis. Google en Microsoft doen dat tegen een maandelijks tientje per gebruiker.
NOS
Niet alleen kleine bedrijven zonder eigen ICT-afdeling voelen zich daartoe aangetrokken, dus ook bijvoorbeeld de Tweede Kamer. "De Tweede Kamer is een te kleine organisatie om zelf een e-maildienst te ontwikkelen en onderhouden", laat de instantie weten in een reactie aan de NOS. "Daarom is na zorgvuldige afweging gekozen voor een gerenommeerde partij, die garant kan staan voor een betrouwbare dienstverlening." Andere overheden en branche-organisaties delen soortgelijke ervaringen.
Ook 63 procent van de circa 3800 grootste bedrijven waarvan de NOS een website kon achterhalen, gebruikt clouddiensten van Microsoft of Google. Daaronder zijn industriegiganten als scheepsbouwer Damen, ingenieurs- en adviesbedrijf Royal Haskoning en staalconcern Tata Steel.
Van 110 zogenoemde vitale bedrijven die de NOS onderzocht, draait 60 procent op Microsoft of Google. Daarbij gaat het om bedrijven die cruciaal zijn voor het functioneren van de Nederlandse samenleving. Zo kozen alle netbeheerders voor Microsoft, net als ABN, ING en Rabobank, de meeste drinkwaterbedrijven en luchthaven Schiphol.
Geen Europees alternatief
Die populariteit van Microsoft en Google komt ook doordat een goed Europees alternatief ontbreekt, stelt Clingendael. "Er zijn maar weinig Europese alternatieven, en de diensten die zij aanbieden zijn veel beperkter", stelt Okano-Heijmans.
Zorg, media en scholen
Het marktaandeel van Amerikaanse techbedrijven is onder scholen bijzonder groot: meer dan de helft van de scholen kiest voor Microsoft, terwijl 15 procent zijn data bij Google heeft ondergebracht.
Ook mediaorganisaties leunen sterk op Amerikaanse techbedrijven. Driekwart van de 69 onderzochte media gebruikt mailservers van Microsoft of Google, waaronder grote mediaorganisaties als DPG Media, de NPO en de NOS. De zorgsector is een stuk terughoudender. Daar heeft iets meer dan een kwart zijn diensten ondergebracht bij Microsoft of Google.
Tekenend is dat zelfs Nederlandse internetbedrijven voor Microsoft kiezen. Zo hebben telecomproviders KPN, Odido en internetknooppunt NL-IX hun mail bij Microsoft staan. Zeker bij KPN is dat opmerkelijk omdat KPN zelf ook clouddiensten aan zakelijke klanten verkoopt. Het bedrijf reageerde niet op vragen daarover.
Google, Microsoft en ook Amazon hebben daardoor een marktaandeel van 80 procent in Nederland. "De Nederlandse overheid geeft veel geld uit aan ICT, die zou het ook aan Europese bedrijven kunnen geven om ze sterker te maken", stelt Okano-Heijmans.
Verantwoording
Voor dit onderzoek analyseerde de NOS 21.670 domeinnamen van grote organisaties en overheden. We haalden de zogenoemde DNS-instellingen op, waarmee is in te zien waar de organisaties hun infrastructuur hebben ondergebracht. Specifiek voor dit artikel keken we naar de zogenoemde "mail exchange"-records, die waren bij ruim 18.000 domeinnamen aanwezig. Vervolgens keken we waar die MX-records naar verwezen.
De lijst met relevante domeinnamen is uit meerdere bronnen samengesteld. Voor die van grote bedrijven gebruikten we Company.info. De overheidsinstellingen komen uit het websiteregister van de overheid en het register van overheidsorganisaties. De domeinnamen van scholen komen uit de open data van DUO. Voor zorginstellingen haalden we geautomatiseerd de domeinnamen van Zorgkaart Nederland. De vitale organisaties en media verzamelden we met de hand.
