Upload File

grensoverschrijdende_data

6
MANAGEMENT SPECIAL Verantwoord cloud-gebruik in Nederland Door: Fred Teunissen GRENSOVERSCHRIJDENDE DATA

Upload: william-ten-hoeve

Post on 27-Dec-2014

108 views

Category:

Documents


0 download

Report

DESCRIPTION

test

TRANSCRIPT

Page 1: grensoverschrijdende_data

MANAGEMENT SPECIAL

Verantwoord cloud-gebruik in Nederland

Door: Fred Teunissen

GRENSOVERSCHRIJDENDE DATA

Page 2: grensoverschrijdende_data

Er is nog veel mistig in de cloud. Ondanks de vele technische

voor delen blijft met name privacy een schemergebied.

Als onder neming zit je daar niet op te wachten. Wat kun je

als Nederlands bedrijf doen, als je de cloud in wilt, maar de

risico’s zo veel mogelijk wilt uitbannen?

Met de cloud kun je twee kanten op. Aan de ene kant zijn er de

imposante technische mogelijkheden, aan de andere kant zijn de

risico’s niet minder imposant, vooral op het gebied van de privacy.

Hoe kun je als IT-manager nu optimaal van de mogelijkheden van

de cloud gebruik maken en tegelijkertijd de risico’s zoveel mogelijk

indammen? Dat blijkt in de praktijk nog helemaal niet zo’n eenvou-

dige opgave.

Neem Google Apps. Als je overweegt je mail, contactpersonen en

agenda’s onder te brengen in Google’s cloud-omgeving, dan weet

je dat die data onze landsgrenzen over gaan. De vraag is of je dan

nog wel voldoet aan de regelgeving op het gebied van de privacy.

Immers, het gaat hier voor een groot deel om persoonsgegevens

en daarop is de nationale en de Europese wetgeving op het

vlak van de bescherming van persoonsgegevens van toepassing.

Kort gezegd komt het erop neer dat die gegevens bij voorkeur

in het eigen land moeten blijven, maar in ieder geval binnen het

gebied van de EU (iets preciezer: de Europese Economische Ruimte,

ofwel de EU plus IJsland, Noorwegen en Liechtenstein). Daarbuiten

mag eventueel ook, maar alleen als de landen waar het om gaat

minstens dezelfde mate van wettelijke bescherming bieden als bin-

nen de EU.

En daar beginnen de problemen, want de privacy wetgeving in de

VS wijkt nogal af. Die bleef altijd al achter bij de Europese, maar de

situatie is nog verder verslechterd door de zogenaamde Patriot Act

van 2003, die de Amerikaanse overheid zeer ruime bevoegdheden

geeft voor het opvragen van (persoons)gegevens bij bedrijven,

waaronder internationaal opererende hosting- en cloudproviders.

De Patriot Act (onlangs nog opnieuw verlengd) verleent de

Amerikaanse overheid het recht van toegang tot alle in de VS op-

geslagen data zonder dat daarvoor rechterlijke toestemming vereist

is. Nog geen man overboord, zou je zeggen, want Google heeft

tien tallen datacentra over de hele wereld. Het enige wat dan zou

moeten gebeuren is dat Google voor zijn Europese Apps-klanten met

zijn Europese datacantra een Europese cloud in elkaar steekt. Moet te

doen zijn, zou je zo denken.

Mooi niet, zo bleek begin dit jaar, na aanvan-

kelijke toezeggingen dat er een Europese

Google-cloud zou komen. De onder-

neming beroept zich op de techniek

die zij toepast om de data binnen

Google Apps via een algoritme

te verknippen en over tal van

datacentra in de wereld

te verspreiden

(‘obfuscation’

of ‘dataver-

sluiering’).

Uit het

oogpunt

van

beveili-

ging een

fantastische

aanpak, want

zou een hacker al

binnendringen in één

van die centra, dan treft die alleen een kleine onbruikbare

stukjes van de gegevens aan. Hoe wil je als IT-manager je beveiliging

nog beter hebben?

Maar uit het oogpunt van geografische plaatsbepaling is het een

ramp. Deze data is overal en nergens. En de sleutel (het algoritme)

zit in de VS.

Wat de zaak echt vreemd maakt is dat Google omgekeerd aan de

Amerikaanse overheid wél garandeert dat Amerikaanse data in

de VS blijven. Voor de VS geldt het argument van die versluiering

blijkbaar niet.

Op zichzelf hoeft het trouwens helemaal nog geen show-stopper te

zijn als persoonsgegevens via online applicaties ergens in de VS of

elders landen, als de aanbieder van de dienst maar voldoet aan de

vereisten volgens de Safe Harbor Agreement tussen de EU en de VS.

Maar ook daar is het nodige over te doen.

VERANTWOORD CLOUD-GEBRUIK IN NEDERLANDWat kun je als Nederlands bedrijf doen, als je de cloud in wilt, maar de risico’s zo veel mogelijk wilt uitbannen?

2

Verantwoord cloud-gebruik in Nederland

Hoe veilig is de Safe Harbor?

Data is als elektriciteit

Wat te doen?

Links

Management special - Grensoverschrijdende data

http://cw.link.idg.nl/wbp
http://cw.link.idg.nl/peu
http://cw.link.idg.nl/paw
http://cw.link.idg.nl/paw
http://cw.link.idg.nl/cnet_pa
http://cw.link.idg.nl/ww_ge
Page 3: grensoverschrijdende_data

3

Om het probleem van de asynchrone privacy-wetgeving in de EU

en de VS te ondervangen (omzeilen is misschien een beter woord)

hebben beide partijen een Safe Harbor Agreement gesloten,

gebaseerd op zeven principes.

Deze overeenkomst is sinds 1 november 2000 van kracht. Door het

onderschrijven van de principes in deze overeenkomst verklaren bedrij-

ven in de VS dat ze bij de bescherming van de privacy – waar het hun

Europese klanten betreft – de Europese regels in acht zullen nemen.

Google heeft deze principes onderschreven, evenals Salesforce.com

en tal van andere SaaS- en cloudaanbieders die hun basis in de

VS hebben.

Het grote zwakke punt van deze Safe Harbor-route is dat het om

zelfcertificering gaat. Je kunt deze certificering wel door een derde

partij laten doen, maar verplicht is dat niet. Daarmee is onderschrij-

ving van de Safe Harbor-principes in essentie niet meer dan een

toezegging waarvan je nooit helemaal zeker weet of die in de hitte

van de zakelijke en politieke actualiteit wel stand zal houden.

De druk die de Amerikaanse overheid onlangs nog op Amazon uit-

oefende om een server van WikiLeaks van zijn cloud te verban-

nen geeft wat dit betreft te denken. Amazon ging overstag.

Of, nog dichter bij huis: het opvragen door de Amerikaanse

overheid van gebruikersgegevens van sympathisanten van

WikiLeaks bij Twitter, waaronder die van de Nederlandse

XS4ALL-pionier Rop Gongrijp. Ook Twitter ging over-

stag. (Twitter onderschrijft de Safe Harbor-principes

niet, Amazon.com doet dat wel.)

BOTERZACHTBehalve de druk van de politieke prak-

tijk is er nog een ander groot

punt van zorg. Want zelf-

certificering houdt

in dat er geen

onafhankelijke

controle is.

Er zijn nogal

wat bedrij-

ven die met

de mond

belijden

aan de Safe

Harbor-princi-

pes te voldoen,

maar er in werke-

lijkheid een andere

praktijk op nahouden. Dat ontdekte Chris Connolly, directeur van

het in Sydney (Australië) gevestigde adviesbureau Galexia, die in

2008 een uitvoerige studie naar de praktijk van Safe Harbor

claims publiceerde. Connolly adviseert de EU dan ook om deze

zelf-certificeringen goed tegen het licht houden.

Met andere woorden, of we dat nu leuk vinden of niet: in de prak-

tijk is een Safe Harbor-verklaring boterzacht.

Precies dit soort juridische en politieke losse eindjes leiden ertoe dat bij

veel bedrijven en instellingen in ons land nog grote aarzeling bestaat

om cloud-applicaties als Google Apps of Salesforce.com in gebruik te

nemen. De vraag hier is of je de onderschrijving van de Safe Harbor

Principles goed genoeg vindt. Bedrijven als Ahold en KLM blijkbaar

wel, want zij zijn bezig met een gefaseerde overstap naar Google

Apps Premier Edition. Maar financiële- en overheidsinstellingen

bekijken deze problematiek met argusogen. Op kleine schaal vinden

er hier en daar wel pilots plaats, maar van grootschalige toepassing van

US-based cloud-applicaties is bij (semi)overheden en financiële instellin-

gen is nog geen sprake.

HOE VEILIG IS DE SAFE HARBOR?

Management special - Grensoverschrijdende data

Verantwoord cloud-gebruik in Nederland

Hoe veilig is de Safe Harbor?

Data is als elektriciteit

Wat te doen?

Links

http://cw.link.idg.nl/sha
http://cw.link.idg.nl/shad
http://cw.link.idg.nl/ww_aw
http://cw.link.idg.nl/ww_aw
http://cw.link.idg.nl/ww_rg
http://cw.link.idg.nl/galexia_sh
http://cw.link.idg.nl/galexia_sh
http://cw.link.idg.nl/ww_ah
http://cw.link.idg.nl/ww_klm
Page 4: grensoverschrijdende_data

4

Wie – anders dan Google – wel een afzonderlijke Europese cloud

heeft gemaakt voor zijn Europese klanten is hosting- en cloudpro-

vider Rackspace.

Rackspace richt zich met dit aanbod met name op klanten die

zekerheid willen hebben dat hun data in de EU blijven. Hierbij gaat

het overigens niet om toepassingen, zoals de Apps van Google,

maar om andere elementen van cloud computing, zoals flexibele,

inhuurbare server- en opslag capaciteit. Maar waar het de opslag

van privacy-gevoelige gegevens betreft gelden hier uiteraard weer

dezelfde Europese regels.

Rackspace doet niet aan obfuscation (dataversluiering), dus dat

scheelt. Alle data zijn geografisch aanwijsbaar, namelijk in twee

datacentra in Londen. Is het probleem daarmee opgelost?

Ja en nee

Ja, want de gegevens zijn niet overal en nergens. Dat geeft enig

houvast. Ja, want een Safe Harbor verklaring is niet nodig. Nee,

want het is opnieuw een belofte. En de vraag is hoe hard die kan

zijn. Data is als elektriciteit. Gegevens uit Londen kunnen in een flits

in Dubai, Washington of Hong Kong zijn. Andere dan verbale ga-

ranties dat deze gegevens de EU niet zullen verlaten kan Rackspace

desgevraagd niet geven. Niemand controleert of de onderneming

zich daadwerkelijk aan zijn woord houdt en je kunt je nergens op

beroepen als dat niet zo zou blijken te zijn. Er is geen erkend certi-

ficaat op dit punt. En hoe sympathiek het initiatief van Rackspace

ook is, je kunt je afvragen of je met dergelijke verbale ‘garanties’

wel genoegen mag nemen. Wat overigens evenzeer geldt voor

andere Europese clouds, zoals die van Microsoft.

Het ontbreekt dus aan zekerheden.

Aan audits door onafhankelijke

derden, waaruit spijker-

hard blijkt dat een

cloud-aanbieder zijn

interne processen

zodanig

heeft

in-

gericht dat we er redelijkerwijs van uit kunnen gaan dat privacy-

gevoelige gegevens de EU niet zullen verlaten (dan wel dat zij buiten

de EU volgens EU-richtlijnen zullen worden behandeld). En misschien

nog een stap verder: dat we er ook redelijkerwijs van uit kunnen

gaan dat het uitgesloten is dat ‘derden’ er (buiten de EU-wetgeving

om) in kunnen ‘meekijken’.

Totdat er op dit punt betrouwbare certificeringen zijn zal cloud

computing omgeven blijven met juridische, zakelijke en politieke

onzekerheden. Wat jammer is, want het zet een rem op de brede

toepassing van deze veelbelovende technologie.

HUISWERKWat kunnen bedrijven en instellingen die gebruik willen maken van

cloud computing doen om te zorgen dat ze – ondanks de bestaande

onzekerheden – toch voldoen aan de wet- en regelgeving op het

gebied van privacy?

“Dat begint met een flink pak huiswerk,” zegt Lieneke Viergever,

als partner verbonden aan Project Moore Advocaten in Amster-

dam en specialist op het gebied van IT-recht en privacy. “Je moet

je om te beginnen realiseren dat je, ook als je iets uitbesteedt,

toch doorgaans zelf verantwoordelijk blijft voor naleving van de

wet. Dat betekent dat je altijd na moet gaan of de aanbieder met

wie je in zee gaat voldoende waarborgen biedt ter bescherming

van persoonsgegevens. Een simpele bepaling in het cloud contract

die de aanbieder verplicht om adequate maatregelen te treffen is

onvoldoende.”

Als voorbeeld geeft ze de doorgifte van gegevens naar de VS.

“Dat is een land buiten de Europese Economische Ruimte. De eerste

vraag is dan of de leverancier van cloud-diensten, maar ook diens

eventuele subleveranciers in Amerika, aangesloten zijn bij de Safe

Harbor-principes. Als dat het geval is, ben je er nog niet. Je moet

ook nagaan of deze aanbieder de data niet buiten de VS brengt,

bijvoorbeeld naar zijn datacentra in India of Brazilië, want die

doorgifte wordt dan in principe niet gedekt door de Safe Harbor-

principes.”

Viergever raadt ter voorkoming van juridische complicaties aan om

met de aanbieder van de cloud-dienst af te spreken dat hij de data

alleen in de Europese Economische Ruimte of in een land met een

passend beschermingsniveau verwerkt, zoals Zwitserland. Maar ook

als je dat eenmaal bent overeengekomen met een aanbieder kun je

niet achterover leunen, aldus Viergever. “Je moet erop toezien dat

de aanbieder de gegevens ook daadwerkelijk voldoende beveiligt.

Aanbieders kunnen het hun klanten in dit opzicht een stuk makkelij-

ker maken, bijvoorbeeld door audits te laten doen door onafhanke-

lijke derden. Het is altijd aan te raden naar zulke audits te vragen.”

DATA IS ALS ELEKTRICITEIT

Management special - Grensoverschrijdende data

Verantwoord cloud-gebruik in Nederland

Hoe veilig is de Safe Harbor?

Data is als elektriciteit

Wat te doen?

Links

http://cw.link.idg.nl/rackspace
http://www.projectmoore.com
Page 5: grensoverschrijdende_data

Wat als je al dit huiswerk niet doet? Welke risico’s loop je dan?

Viergever: “Uiteraard het risico op reputatieschade door te handelen

in strijd met de privacy-regelgeving. Maar er is meer. Het College

Bescherming Persoonsgegevens kan ook een last onder dwang-

som opleggen en bestuursdwang toepassen als een organisatie

slordig omspringt met persoonsgegevens. Om al deze redenen is

het belangrijk specifieke afspraken te maken met de leverancier.

Vanuit het oogpunt van beveiliging kan het daarnaast verstandig zijn

te kiezen voor een gedifferentieerde aanpak: je brengt dan alleen

gegevens met een laag risicoprofiel naar de cloud. Je kunt ook kiezen

voor een hybride aanpak: daarbij breng je gegevens met een hoger

risicoprofiel onder in een private cloud en andere, minder gevoelige

gegevens, in een publieke cloud.”

De regelgeving op dit gebied is sterk in beweging, aldus Viergever.

“Momenteel vinden er discussies plaats over de herziening van

de Europese privacyrichtlijn waarop de Nederlandse regel-

geving is gebaseerd. Daarnaast ligt de Safe Harbor Agreement

binnen de EU al een tijdje onder vuur. Deze ontwikkelingen zullen

ongetwijfeld hun weerslag hebben op de gebruiksmogelijkheden

van cloud computing.”

ZORG VOOR EEN GOED CONTRACTVolgens Milica Antic, advocaat bij Solv Advocaten in Amster-

dam en gespecialiseerd in privacy en online diensten, is het

vrijwel onmogelijk zeker te weten of je voldoet aan de

Nederlandse en Europese regelgeving, omdat aanbieders

van cloud-diensten geen echt harde garanties geven

over de locatie van de opgeslagen data. Maar dat

betekent volgens haar niet per se dat het daar

ophoudt. “Je kunt namelijk wel zorgen dat

je een overeenkomst met een aanbieder

sluit die heel goed in elkaar zit. Neem

het punt van de informa-

tiebeveiliging. Je kunt

geen genoegen

nemen met de

verzekering

dat er aan be-

paalde nor-

men wordt

voldaan.

Je bent

wettelijk

verplicht de

beveiliging con-

tractueel te rege-

len en de uitvoering

daarvan ook te controleren. Dat controleren lukt over het algemeen

bij kleine dienstverleners, maar bij Google niet. Dat kan een reden

zijn om gevoelige gegevens niet in een Google-cloud op te slaan.

Niet omdat Google deze gegevens niet goed zou beveiligen, maar

omdat je die beveiliging niet kunt controleren.”

Antic raadt aan om ook de locatie van de data contractueel vast te

leggen. “Dat geeft geen zekerheid, maar je kunt dit wel gebruiken

in je selectieproces. Met partijen die de locatie van de data niet in

het contract willen opnemen, ga je niet in zee.”

En een andere mogelijkheid is dat in het contract de aansprakelijkheid

wordt geregeld voor het geval het, ondanks eerdere voorzorgen, toch

nog fout gaat. Dat ontslaat je als opdrachtgever niet van je wettelijke

aansprakelijkheid, maar maakt het wel mogelijk de financiële gevol-

gen daarvan af te wentelen op de aanbieder van de cloud-dienst.”

Antic raadt het in het algemeen af gevoelige gegevens in een publieke

cloud op te slaan. “Niet doen. Niet in de VS, maar ook niet in Europa.

Misschien kan dat in een later stadium, maar op dit moment vind ik dat

niet erg verstandig.”

5

WAT TE DOEN?

Management special - Grensoverschrijdende data

Verantwoord cloud-gebruik in Nederland

Hoe veilig is de Safe Harbor?

Data is als elektriciteit

Wat te doen?

Links

http://cw.link.idg.nl/cbp
http://cw.link.idg.nl/cbp
http://cw.link.idg.nl/ww_kroes
http://cw.link.idg.nl/ww_kroes
http://www.solv.nl/
Page 6: grensoverschrijdende_data

6

Verwijzingen in dit artikel:

College Bescherming Persoonsgegevens: http://cw.link.idg.nl/cbp

Wet bescherming persoonsgegevens: http://cw.link.idg.nl/wbp

Richtlijn 95/46/EG van het Europees Parlement: http://cw.link.idg.nl/95/46/EG

Gegevensbescherming in de Europese Unie (PDF): http://cw.link.idg.nl/peu

Patriot Act (PDF): http://cw.link.idg.nl/pa

Patriot Act (Wikipedia): http://cw.link.idg.nl/paw

Safe Harbor Agreement: http://cw.link.idg.nl/sha

Safe Harbor Agreement (deelnemerslijst): http://cw.link.idg.nl/shad

Project Moore Advocaten: http://www.projectmoore.com

Solv Advocaten: http://www.solv.nl/

De cloud in het nieuws:

Google weigert data in Europa te houden (Webwereld): http://cw.link.idg.nl/ww_ge

Amazon gooit onder druk Wikileaks van servers (Webwereld): http://cw.link.idg.nl/ww_aw

Justitie vordert Twitter-account Rop Gongrijp (Webwereld): http://cw.link.idg.nl/ww_rg

Patriot Act renewed despite warnings of ‘secret’ law (CNET): http://cw.link.idg.nl/cnet_pa

The US Safe Harbor – Fact or Fiction (Galexia): http://cw.link.idg.nl/galexia_sh

Ahold migreert van Lotus Notes naar Gmail (Webwereld): http://cw.link.idg.nl/ww_ah

Google loodst KLM naar de cloud (Webwereld): http://cw.link.idg.nl/ww_klm

Rackspace bouwt Europese cloud infrastructuur (Rackspace): http://cw.link.idg.nl/rackspace

Kroes waarschuwt voor privacyrisico’s cloud (Webwereld): http://cw.link.idg.nl/ww_kroes

Verantwoord cloud-gebruik in Nederland

Hoe veilig is de Safe Harbor?

Data is als elektriciteit

Wat als je al dit huiswerk niet doet?

Links

http://cw.link.idg.nl/cbp
http://cw.link.idg.nl/wbp
http://cw.link.idg.nl/95/46/EG
http://cw.link.idg.nl/peu
http://cw.link.idg.nl/pa
http://cw.link.idg.nl/paw
http://cw.link.idg.nl/sha
http://cw.link.idg.nl/shad
http://www.projectmoore.com
http://www.solv.nl/
http://cw.link.idg.nl/ww_ge
http://cw.link.idg.nl/ww_aw
http://cw.link.idg.nl/ww_rg
http://cw.link.idg.nl/cnet_pa
http://cw.link.idg.nl/galexia_sh
http://cw.link.idg.nl/ww_ah
http://cw.link.idg.nl/ww_klm
http://cw.link.idg.nl/rackspace
http://cw.link.idg.nl/ww_kroes

Daniel Zanella and Alexander Weygers

Chapter-01

Acetone Peroxide

Tragic Heroes

Cakes Recipes

Star Wars Original Trilogy Trivia (Episodes IV-VI)

Bhagavad Gita

Who Killed God

Introduction to Six Sigma

Star Wars Trivia!

Fortran

How Computer Keyboards Work

Heidegger Kritik

Compressing And Decompressing Folders

The Best American Humorous Short Stories

Puntuación PAEF,s

(Tesla) - The Tesla Magnetic Car Engine

Barclays1

Improve the Color Quality Of Your Monitor

Physical Modelling Synthesis Overview

Bodybuilding - The Rock Hard Challenge (Month 1 Training)

Simple Functions in Haskell

18 Tricks to Teach Your Body

European Colinization of Latin America

The Last Carnival I Ever Saw

Jan Van Eyck and the Man In A Red Turban

Basic Buffer Overflows Explained

United States Constitution

Steve Jobs' Commencement Speech at Stanford

расписание электричек Москва-Железка

Oedipus The King: The Ideal Tragic Play

Iron Mills Essay

Effective Parenting: Establishing Boundaries

Venture Capital

Star Wars Prequel Trilogy Trivia (Episodes I-III)