<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>Post-Kwantum Kriptografie on Arpokrat</title>
    <link>https://arpokrat.com/af/blog/tags/post-kwantum-kriptografie/</link>
    <description>Recent content in Post-Kwantum Kriptografie on Arpokrat</description>
    <generator>Hugo -- gohugo.io</generator><language>af</language><lastBuildDate>Fri, 19 Jun 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://arpokrat.com/af/blog/tags/post-kwantum-kriptografie/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>Data Act vs CLOUD Act: wie beheer werklik u data in die wolk?</title>
      <link>https://arpokrat.com/af/blog/data-act-vs-cloud-act-digital-sovereignty/</link>
      <pubDate>Fri, 19 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://arpokrat.com/af/blog/data-act-vs-cloud-act-digital-sovereignty/</guid>
      <description>&lt;p&gt;Vir jare het die wêreld op &amp;rsquo;n eenvoudige aanname gefunksioneer: data het &amp;rsquo;n fisiese verblyf. As dit op &amp;rsquo;n bediener in Dublin gestoor was, het dit onder Ierse en Europese reg geval. Hierdie aanname het in 2018 inmekaargestort toe die Verenigde State die CLOUD Act aangeneem het — &amp;rsquo;n wet wat Amerikaanse owerhede toegang verleen tot data wat deur Amerikaanse maatskappye beheer word, ongeag waar daardie data fisies in die wêreld gestoor word. Jare later het Brussel met sy eie beskermingsmeganisme gereageer: die Data Act, wat nou volledig van toepassing is en poog om ekstraterritoriale toegang deur owerhede van derde lande tot data wat in die Europese Unie gehou word, te beperk.&lt;/p&gt;
&lt;p&gt;Hier is wat hierdie twee wette werklik bepaal, waar hulle bots, en waarom die enigste werklik robuuste beskerming teen hierdie konflik tegniese ontoeganklikheid bly.&lt;/p&gt;
&lt;h2 id=&#34;die-amerikaanse-cloud-act-toegang-gegrond-op-beheer-nie-ligging-nie&#34;&gt;Die Amerikaanse CLOUD Act: toegang gegrond op beheer, nie ligging nie&lt;/h2&gt;
&lt;p&gt;Die &lt;strong&gt;CLOUD Act&lt;/strong&gt; (&lt;em&gt;Clarifying Lawful Overseas Use of Data Act&lt;/em&gt;), wat in Maart 2018 aangeneem is, het die Amerikaanse reg gewysig deur &lt;strong&gt;18 U.S. Code § 2713&lt;/strong&gt; by te voeg. Hierdie bepaling verplig enige verskaffer van elektroniese kommunikasiedienste of afgeleë rekenaarverwerkingsdienste om die inhoud van &amp;rsquo;n kommunikasie of enige rekord daarmee verband te bewaar, te bewaar of te openbaar, wanneer sodanige data in sy besit, bewaring of beheer is, &lt;strong&gt;ongeag of sodanige data binne of buite die Verenigde State geleë is&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Dit is juis hierdie laaste klousule wat alles verander. Die maatstaf is nie langer die fisiese ligging van die bediener nie, maar die beheer wat die moedermaatskappy oor sy filiale uitoefen. &amp;rsquo;n Amerikaanse maatskappy wat datasentrums in Europa bedryf, bly dus onderhewig aan Amerikaanse lasbriewe, selfs vir data wat volledig op Europese grondgebied gestoor word.&lt;/p&gt;
&lt;h2 id=&#34;die-europese-data-act-n-regssperwal-teen-ekstraterritoriale-toegang&#34;&gt;Die Europese Data Act: &amp;rsquo;n regssperwal teen ekstraterritoriale toegang&lt;/h2&gt;
&lt;p&gt;Die &lt;strong&gt;Regulasie (EU) 2023/2854&lt;/strong&gt;, bekend as die Data Act, het op 11 Januarie 2024 in werking getree en is volledig van toepassing sedert 12 September 2025, met sekere bepalings wat tot 2026 en 2027 uitgefaseer word. &lt;strong&gt;Artikel 32&lt;/strong&gt; daarvan reguleer direk die kwessie van internasionale owerheidstoegang tot data.&lt;/p&gt;
&lt;p&gt;Die teks stel &amp;rsquo;n duidelike reël: enige besluit of vonnis van &amp;rsquo;n hof of administratiewe gesag van &amp;rsquo;n derde land wat &amp;rsquo;n verskaffer van dataverwerking versoek om nie-persoonlike data wat in die Europese Unie gehou word oor te dra of toegang daartoe te verleen, &lt;strong&gt;word slegs erken en afdwingbaar indien dit berus op &amp;rsquo;n internasionale ooreenkoms&lt;/strong&gt;, soos &amp;rsquo;n wedersydse regsbystandsverdrag (MLA), wat tussen die versoekende land en die Unie, of tussen daardie land en die betrokke lidstaat, van krag is.&lt;/p&gt;
&lt;p&gt;By gebrek aan so &amp;rsquo;n ooreenkoms voorsien artikel 32 &amp;rsquo;n tweede weg, maar een wat streng gereguleer word: die buitelandse besluit kan slegs uitgevoer word indien die regstelsel van die derde land vereis dat die versoek gemotiveer, eweredig en voldoende spesifiek is — byvoorbeeld deur &amp;rsquo;n duidelike verband met spesifieke persone of misdrywe te toon — en indien die gemotiveerde beswaar van die ontvanger aan die oorsig van &amp;rsquo;n bevoegde hof in daardie derde land onderwerp kan word.&lt;/p&gt;
&lt;h2 id=&#34;n-direkte-regbotsing&#34;&gt;&amp;rsquo;n Direkte regbotsing&lt;/h2&gt;
&lt;p&gt;Die probleem is onmiddellik: die CLOUD Act vereis openbaarmaking gegrond op die beheer wat die moedermaatskappy uitoefen, sonder vergelykbare eweredigheidsvoorwaardes soos dié wat die Europese reg vereis. Die Data Act, omgekeerd, onderwerp die erkenning van so &amp;rsquo;n versoek aan die bestaan van &amp;rsquo;n internasionale ooreenkoms of aan presiese prosedurele waarborge. &amp;rsquo;n Amerikaanse maatskappy wat in Europa bedrywig is en deur &amp;rsquo;n Amerikaanse owerheid versoek word om data te oorhandig wat in die Unie gehuisves word, bevind hom dus vasgevang tussen twee teenstrydige regsverpligtinge: voldoen aan die Amerikaanse lasbrief en sodoende die reg van die Unie skend, of die Data Act eerbiedig en blootstelling aan die gevolge van &amp;rsquo;n weiering in die Verenigde State riskeer.&lt;/p&gt;
&lt;p&gt;Hierdie spanning is nie teoreties nie. Dit is reeds deur die Hof van Justisie van die Europese Unie (CJEU) gedokumenteer in twee belangrike beslissings, &lt;strong&gt;Schrems I&lt;/strong&gt; (2015) en &lt;strong&gt;Schrems II&lt;/strong&gt; (2020). In die Schrems II-uitspraak het die CJEU beslis dat Amerikaanse toesig ingevolge &lt;strong&gt;Artikel 702 van die FISA&lt;/strong&gt; (&lt;em&gt;Foreign Intelligence Surveillance Act&lt;/em&gt;) en &lt;strong&gt;Uitvoerende Bevel 12333&lt;/strong&gt; nie die minimumwaarborge eerbiedig wat die reg van die Unie ingevolge die eweredigheidsbeginsel vereis nie, en dus nie as beperk tot wat streng noodsaaklik is, beskou kan word nie. Die Hof het ook die afwesigheid van &amp;rsquo;n effektiewe regsmiddel vir betrokke persone uit die Unie aangeteken, in stryd met artikel 47 van die Handves van Fundamentele Regte. Hierdie beslissing het die Privacy Shield-raamwerk, wat tot dan toe data-oordragte tussen die EU en die VSA gereël het, ongeldig verklaar.&lt;/p&gt;
&lt;h2 id=&#34;die-strukturele-risiko-harvest-now-decrypt-later&#34;&gt;Die strukturele risiko: Harvest Now, Decrypt Later&lt;/h2&gt;
&lt;p&gt;Buite die jurisdiksiekonflik weeg &amp;rsquo;n meer verraderlike bedreiging op data wat in infrastruktuur gehuisves word wat aan Amerikaanse reg onderhewig is: die sogenaamde &lt;a href=&#34;https://arpokrat.com/af/blog/harvest-now-decrypt-later-hndl-zero-knowledge/&#34;&gt;&lt;strong&gt;Harvest Now, Decrypt Later&lt;/strong&gt;&lt;/a&gt;
-strategie (HNDL). Die beginsel is dat &amp;rsquo;n inligtingsdiens of vyandelike staatsrolspeler vandag versleutelde data onderskep en stoor, in afwagting van voldoende kwantumberekeningsvermoëns om dit in die toekoms te ontsyfer.&lt;/p&gt;
&lt;p&gt;Hierdie strategie verander enige voortgesette afhanklikheid van &amp;rsquo;n Amerikaanse wolkinfrastruktuur in &amp;rsquo;n uitgestelde sekuriteitsskuld: wat vandag vertroulik is, kan oor tien of vyftien jaar leesbaar word, sonder dat enige verdere aksie van die aanvaller se kant nodig is — slegs tyd en geduld.&lt;/p&gt;
&lt;h2 id=&#34;waarom-slegs-tegniese-ontoeganklikheid-n-ware-waarborg-bied&#34;&gt;Waarom slegs tegniese ontoeganklikheid &amp;rsquo;n ware waarborg bied&lt;/h2&gt;
&lt;p&gt;Die regsontleding kom neer op &amp;rsquo;n gevolgtrekking wat deur baie nakomingskundiges gedeel word: hoe solied die Data Act se regsraamwerk ook al is, dit bly &amp;rsquo;n teks wat geopolitieke magsverhoudings en diplomatieke druk kan omseil, vertraag of herinterpreteer. Die enigste beskerming wat van geen toekomstige onderhandeling afhang nie, is &lt;strong&gt;tegniese onuitvoerbaarheid&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;&amp;rsquo;n &lt;strong&gt;Zero-knowledge&lt;/strong&gt;-argitektuur, waar die diensverskaffers nóg die besit nóg die bewaring van die ontsleutelingssleutels het, maak &amp;rsquo;n lasbrief materieel onwerkend. &amp;rsquo;n Mens kan nie gedwing word om iets te oorhandig wat jy nooit besit nie.&lt;/p&gt;
&lt;p&gt;Dit is die logika wat ekosisteme soos &lt;strong&gt;Arpokrat&lt;/strong&gt; struktureer:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Jurisdiksieneutralisering&lt;/strong&gt;: die infrastruktuur word in Switserland gehuisves, onder die Federale Wet op Databeskerming (LPD/FADP), buite die direkte toepassingsveld van die ekstraterritorialiteit van die CLOUD Act&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Afwesigheid van bewaring&lt;/strong&gt;: die zero-knowledge-argitektuur ontneem die diensverskaffers enige vermoë om sleutels of inhoud wat hulle nooit hou nie, oor te dra&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Vermindering van die identiteitsvoetspoor&lt;/strong&gt;: deur die verpligting tot registrasie per telefoonnommer of e-posadres — identifiseerders wat FISA Artikel 702-gebaseerde toesig maklik kan opspoor — te verwyder, hou die gebruiker op om &amp;rsquo;n identifiseerbare intekenaar te wees en word &amp;rsquo;n anonieme kriptografiese sleutel&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;die-bewaringsketting-stop-nie-by-boodskapversleuteling-nie&#34;&gt;Die bewaringsketting stop nie by boodskapversleuteling nie&lt;/h2&gt;
&lt;p&gt;&amp;rsquo;n Punt wat dikwels in nakomingsontledings onderskat word: dit is nie voldoende om die inhoud van &amp;rsquo;n kommunikasie te versleutel as die onderliggende bedryfstelsel — hetsy Android of iOS — voortgaan om metadata of telemetrie op kernvlak te versamel, met bestemming by bedieners wat onder Amerikaanse jurisdiksie val nie. Die beskerming van geheimhouding vereis &amp;rsquo;n volledige sluiting van die bewaringsketting, van die inhoud tot by die materiële infrastruktuur self.&lt;/p&gt;
&lt;p&gt;Dit is waarom digitale soewereiniteit ook &amp;rsquo;n besinning oor die gebruikte bedryfstelsel vereis, nie net oor boodskapappe nie. Ont-gegoogeliseerde stelsels, waar modules soos Bluetooth of GNSS-geoligging direk op kernvlak gedeaktiveer kan word, elimineer fisiese aanvalsvektore wat geen toepassingsversleuteling kan vergoed nie.&lt;/p&gt;
&lt;h2 id=&#34;post-kwantum-kriptografie-n-reeds-ingeslane-horison&#34;&gt;Post-kwantum kriptografie: &amp;rsquo;n reeds ingeslane horison&lt;/h2&gt;
&lt;p&gt;In die lig van die bedreiging wat die HNDL-strategie inhou, word die aanvaarding van post-kwantum kriptografie (PQC)-standaarde &amp;rsquo;n noodsaaklikheid vir enigeen wat die vertroulikheid van sensitiewe data op die lang termyn wil waarborg — hetsy dit besigheidsgeheime, professionele korrespondensie of gesondheidsdata betref. Versleuteling wat vandag as robuust beskou word volgens klassieke standaarde, waarborg nie dat dit die kwantumberekeningsvermoëns sal weerstaan wat in die volgende vyftien jaar verwag word nie.&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;Die konflik tussen die Data Act en die CLOUD Act illustreer &amp;rsquo;n breër werklikheid: digitale soewereiniteit kan nie meer uitsluitlik op wetgewing gebou word nie, hoe solied dit ook al is. Dit vereis &amp;rsquo;n sluiting van die bewaringsketting op elke vlak — van die versleutelingsprotokol tot die huisvestingsjurisdiksie, met die bedryfstelsel self ingesluit. Dit is hierdie laagsgewyse benadering, eerder as vertroue wat op &amp;rsquo;n enkele regulatoriese raamwerk berus, wat vandag ware digitale soewereiniteit deur ontwerp definieer.&lt;/p&gt;
</description>
    </item>
  </channel>
</rss>