Column


IT-jurist Peter van Schelven over...

Fiscale gegevens veilig in de cloud?

De raadkamer van de Rechtbank Overijssel heeft in een lezenswaardige uitspraak beslist dat een cloudprovider kan worden verplicht om op vordering van justitie gegevens van klanten te verstrekken voor fiscale opsporingsdoeleinden. Die beslissing vormt een bevestiging van het idee dat een cloudprovider in ons land nimmer volledig kan instaan voor de vertrouwelijkheid van de aan haar toevertrouwde gegevens.

Uit de geanonimiseerde uitspraak blijkt niet om welke provider het precies gaat. Wel wordt duidelijk dat de provider in kwestie fiscale software vanuit de cloud aanbiedt ter ondersteuning van fiscale aangifte- en advieswerkzaamheden voor accountants- en administratiekantoren. Onderdeel van de dienstverlening is tevens de opslag (hosting) van fiscale gegevens, zoals de fiscale aangiftes. Voor die opslag maakt de provider gebruik van de servers van Amazon in Ierland.

Bevel van justitie
November vorig jaar benaderde de FIOD de provider met een verzoek om informatie. De dienst bleek met name geïnteresseerd in de fiscale aangiftes die een van de klanten – een administratiekantoor – over een periode van bijna zes jaar voor derden had verzorgd. Ook richtte de belangstelling zicht tot de opgeslagen bijbehorende aantekeningen van het administratiekantoor.

Het verzoek van de FIOD werd in het kader van een strafrechtelijk onderzoek tegen het desbetreffende administratiekantoor al snel gevolgd door een bevel van de officier van justitie aan de cloudprovider om informatie te verstrekken. Aan dat bevel, dat gedekt was door een voorafgaande machtiging van de rechter-commissaris, heeft de cloudprovider vervolgens gevolg gegeven. Een bestand met de verzochte gegevens is – tegen wil en dank – aan de FIOD verstrekt.

Cloudprovider als verlengstuk
Voor de cloudprovider was daarmee de kous niet af. In een zogeheten beklagprocedure bij de Overijsselse rechtbank heeft zij onder meer de principiële vraag opgeworpen of van haar verlangd kan worden een ‘een verlengstuk van de opsporende autoriteiten’ te moeten zijn. De provider gaf daarbij aan grote commerciële en financiële schade te vrezen als die vraag met ‘ja’ wordt beantwoord.

Zo’n rol als verlengstuk past, aldus de provider, ook niet bij de aard van haar dienstverlening. Immers, de door de gebruikers van de software ingevoerde gegevens zijn niet voor de provider zelf bestemd en zij heeft bovendien geen enkele bemoeienis met de ingevoerde fiscale gegevens. De provider heeft slechts toegang tot de gegevens om technische ondersteuning te kunnen bieden aan de gebruikers van haar software. Voor die gedachte valt, zo lijkt mij, maatschappelijk gezien wel wat te zeggen. Al te vergaande opsporingsbevoegdheden kunnen op die manier het vertrouwen in de cloud ondermijnen en dat is maatschappelijk gezien geen goede zaak.

Juridisch gegoochel
De rechtbank gaat in haar beslissing op het beklag met geen woord in op het principiële standpunt dat een cloud geen verlengstuk van justitie en de FIOD hoeft te zijn. Door met veel juridisch gegoochel met wetsartikelen uit het Wetboek van Strafvordering te beslissen dat het beklag dient te worden afgewezen, komt het er per saldo op neer dat justitie en de FIOD cloudproviders voor hun karretje kunnen spannen.

De uitspraak leert ons dat de vertrouwelijkheid van data in de cloud niet grenzeloos is. Ook als je in contracten met de cloudprovider honderd procent geheimhouding afspreekt, dan nog kan die waarborg door opsporingsautoriteiten worden doorkruist. Eigenlijk wisten we dat al, maar de beslissing van de Almelose rechters laat nog eens zien dat dit niet louter theorie is. Het relativeert daarmee tevens de waarde van contractuele afspraken over de geheimhouding die je van je cloudprovider verwacht. Het is niet anders…


Lees meer over