grensoverschrijdende_data
DESCRIPTION
testTRANSCRIPT
MANAGEMENT SPECIAL
Verantwoord cloud-gebruik in Nederland
Door: Fred Teunissen
GRENSOVERSCHRIJDENDE DATA
Er is nog veel mistig in de cloud. Ondanks de vele technische
voor delen blijft met name privacy een schemergebied.
Als onder neming zit je daar niet op te wachten. Wat kun je
als Nederlands bedrijf doen, als je de cloud in wilt, maar de
risico’s zo veel mogelijk wilt uitbannen?
Met de cloud kun je twee kanten op. Aan de ene kant zijn er de
imposante technische mogelijkheden, aan de andere kant zijn de
risico’s niet minder imposant, vooral op het gebied van de privacy.
Hoe kun je als IT-manager nu optimaal van de mogelijkheden van
de cloud gebruik maken en tegelijkertijd de risico’s zoveel mogelijk
indammen? Dat blijkt in de praktijk nog helemaal niet zo’n eenvou-
dige opgave.
Neem Google Apps. Als je overweegt je mail, contactpersonen en
agenda’s onder te brengen in Google’s cloud-omgeving, dan weet
je dat die data onze landsgrenzen over gaan. De vraag is of je dan
nog wel voldoet aan de regelgeving op het gebied van de privacy.
Immers, het gaat hier voor een groot deel om persoonsgegevens
en daarop is de nationale en de Europese wetgeving op het
vlak van de bescherming van persoonsgegevens van toepassing.
Kort gezegd komt het erop neer dat die gegevens bij voorkeur
in het eigen land moeten blijven, maar in ieder geval binnen het
gebied van de EU (iets preciezer: de Europese Economische Ruimte,
ofwel de EU plus IJsland, Noorwegen en Liechtenstein). Daarbuiten
mag eventueel ook, maar alleen als de landen waar het om gaat
minstens dezelfde mate van wettelijke bescherming bieden als bin-
nen de EU.
En daar beginnen de problemen, want de privacy wetgeving in de
VS wijkt nogal af. Die bleef altijd al achter bij de Europese, maar de
situatie is nog verder verslechterd door de zogenaamde Patriot Act
van 2003, die de Amerikaanse overheid zeer ruime bevoegdheden
geeft voor het opvragen van (persoons)gegevens bij bedrijven,
waaronder internationaal opererende hosting- en cloudproviders.
De Patriot Act (onlangs nog opnieuw verlengd) verleent de
Amerikaanse overheid het recht van toegang tot alle in de VS op-
geslagen data zonder dat daarvoor rechterlijke toestemming vereist
is. Nog geen man overboord, zou je zeggen, want Google heeft
tien tallen datacentra over de hele wereld. Het enige wat dan zou
moeten gebeuren is dat Google voor zijn Europese Apps-klanten met
zijn Europese datacantra een Europese cloud in elkaar steekt. Moet te
doen zijn, zou je zo denken.
Mooi niet, zo bleek begin dit jaar, na aanvan-
kelijke toezeggingen dat er een Europese
Google-cloud zou komen. De onder-
neming beroept zich op de techniek
die zij toepast om de data binnen
Google Apps via een algoritme
te verknippen en over tal van
datacentra in de wereld
te verspreiden
(‘obfuscation’
of ‘dataver-
sluiering’).
Uit het
oogpunt
van
beveili-
ging een
fantastische
aanpak, want
zou een hacker al
binnendringen in één
van die centra, dan treft die alleen een kleine onbruikbare
stukjes van de gegevens aan. Hoe wil je als IT-manager je beveiliging
nog beter hebben?
Maar uit het oogpunt van geografische plaatsbepaling is het een
ramp. Deze data is overal en nergens. En de sleutel (het algoritme)
zit in de VS.
Wat de zaak echt vreemd maakt is dat Google omgekeerd aan de
Amerikaanse overheid wél garandeert dat Amerikaanse data in
de VS blijven. Voor de VS geldt het argument van die versluiering
blijkbaar niet.
Op zichzelf hoeft het trouwens helemaal nog geen show-stopper te
zijn als persoonsgegevens via online applicaties ergens in de VS of
elders landen, als de aanbieder van de dienst maar voldoet aan de
vereisten volgens de Safe Harbor Agreement tussen de EU en de VS.
Maar ook daar is het nodige over te doen.
VERANTWOORD CLOUD-GEBRUIK IN NEDERLANDWat kun je als Nederlands bedrijf doen, als je de cloud in wilt, maar de risico’s zo veel mogelijk wilt uitbannen?
2
Verantwoord cloud-gebruik in Nederland
Hoe veilig is de Safe Harbor?
Data is als elektriciteit
Wat te doen?
Links
Management special - Grensoverschrijdende data
3
Om het probleem van de asynchrone privacy-wetgeving in de EU
en de VS te ondervangen (omzeilen is misschien een beter woord)
hebben beide partijen een Safe Harbor Agreement gesloten,
gebaseerd op zeven principes.
Deze overeenkomst is sinds 1 november 2000 van kracht. Door het
onderschrijven van de principes in deze overeenkomst verklaren bedrij-
ven in de VS dat ze bij de bescherming van de privacy – waar het hun
Europese klanten betreft – de Europese regels in acht zullen nemen.
Google heeft deze principes onderschreven, evenals Salesforce.com
en tal van andere SaaS- en cloudaanbieders die hun basis in de
VS hebben.
Het grote zwakke punt van deze Safe Harbor-route is dat het om
zelfcertificering gaat. Je kunt deze certificering wel door een derde
partij laten doen, maar verplicht is dat niet. Daarmee is onderschrij-
ving van de Safe Harbor-principes in essentie niet meer dan een
toezegging waarvan je nooit helemaal zeker weet of die in de hitte
van de zakelijke en politieke actualiteit wel stand zal houden.
De druk die de Amerikaanse overheid onlangs nog op Amazon uit-
oefende om een server van WikiLeaks van zijn cloud te verban-
nen geeft wat dit betreft te denken. Amazon ging overstag.
Of, nog dichter bij huis: het opvragen door de Amerikaanse
overheid van gebruikersgegevens van sympathisanten van
WikiLeaks bij Twitter, waaronder die van de Nederlandse
XS4ALL-pionier Rop Gongrijp. Ook Twitter ging over-
stag. (Twitter onderschrijft de Safe Harbor-principes
niet, Amazon.com doet dat wel.)
BOTERZACHTBehalve de druk van de politieke prak-
tijk is er nog een ander groot
punt van zorg. Want zelf-
certificering houdt
in dat er geen
onafhankelijke
controle is.
Er zijn nogal
wat bedrij-
ven die met
de mond
belijden
aan de Safe
Harbor-princi-
pes te voldoen,
maar er in werke-
lijkheid een andere
praktijk op nahouden. Dat ontdekte Chris Connolly, directeur van
het in Sydney (Australië) gevestigde adviesbureau Galexia, die in
2008 een uitvoerige studie naar de praktijk van Safe Harbor
claims publiceerde. Connolly adviseert de EU dan ook om deze
zelf-certificeringen goed tegen het licht houden.
Met andere woorden, of we dat nu leuk vinden of niet: in de prak-
tijk is een Safe Harbor-verklaring boterzacht.
Precies dit soort juridische en politieke losse eindjes leiden ertoe dat bij
veel bedrijven en instellingen in ons land nog grote aarzeling bestaat
om cloud-applicaties als Google Apps of Salesforce.com in gebruik te
nemen. De vraag hier is of je de onderschrijving van de Safe Harbor
Principles goed genoeg vindt. Bedrijven als Ahold en KLM blijkbaar
wel, want zij zijn bezig met een gefaseerde overstap naar Google
Apps Premier Edition. Maar financiële- en overheidsinstellingen
bekijken deze problematiek met argusogen. Op kleine schaal vinden
er hier en daar wel pilots plaats, maar van grootschalige toepassing van
US-based cloud-applicaties is bij (semi)overheden en financiële instellin-
gen is nog geen sprake.
HOE VEILIG IS DE SAFE HARBOR?
Management special - Grensoverschrijdende data
Verantwoord cloud-gebruik in Nederland
Hoe veilig is de Safe Harbor?
Data is als elektriciteit
Wat te doen?
Links
4
Wie – anders dan Google – wel een afzonderlijke Europese cloud
heeft gemaakt voor zijn Europese klanten is hosting- en cloudpro-
vider Rackspace.
Rackspace richt zich met dit aanbod met name op klanten die
zekerheid willen hebben dat hun data in de EU blijven. Hierbij gaat
het overigens niet om toepassingen, zoals de Apps van Google,
maar om andere elementen van cloud computing, zoals flexibele,
inhuurbare server- en opslag capaciteit. Maar waar het de opslag
van privacy-gevoelige gegevens betreft gelden hier uiteraard weer
dezelfde Europese regels.
Rackspace doet niet aan obfuscation (dataversluiering), dus dat
scheelt. Alle data zijn geografisch aanwijsbaar, namelijk in twee
datacentra in Londen. Is het probleem daarmee opgelost?
Ja en nee
Ja, want de gegevens zijn niet overal en nergens. Dat geeft enig
houvast. Ja, want een Safe Harbor verklaring is niet nodig. Nee,
want het is opnieuw een belofte. En de vraag is hoe hard die kan
zijn. Data is als elektriciteit. Gegevens uit Londen kunnen in een flits
in Dubai, Washington of Hong Kong zijn. Andere dan verbale ga-
ranties dat deze gegevens de EU niet zullen verlaten kan Rackspace
desgevraagd niet geven. Niemand controleert of de onderneming
zich daadwerkelijk aan zijn woord houdt en je kunt je nergens op
beroepen als dat niet zo zou blijken te zijn. Er is geen erkend certi-
ficaat op dit punt. En hoe sympathiek het initiatief van Rackspace
ook is, je kunt je afvragen of je met dergelijke verbale ‘garanties’
wel genoegen mag nemen. Wat overigens evenzeer geldt voor
andere Europese clouds, zoals die van Microsoft.
Het ontbreekt dus aan zekerheden.
Aan audits door onafhankelijke
derden, waaruit spijker-
hard blijkt dat een
cloud-aanbieder zijn
interne processen
zodanig
heeft
in-
gericht dat we er redelijkerwijs van uit kunnen gaan dat privacy-
gevoelige gegevens de EU niet zullen verlaten (dan wel dat zij buiten
de EU volgens EU-richtlijnen zullen worden behandeld). En misschien
nog een stap verder: dat we er ook redelijkerwijs van uit kunnen
gaan dat het uitgesloten is dat ‘derden’ er (buiten de EU-wetgeving
om) in kunnen ‘meekijken’.
Totdat er op dit punt betrouwbare certificeringen zijn zal cloud
computing omgeven blijven met juridische, zakelijke en politieke
onzekerheden. Wat jammer is, want het zet een rem op de brede
toepassing van deze veelbelovende technologie.
HUISWERKWat kunnen bedrijven en instellingen die gebruik willen maken van
cloud computing doen om te zorgen dat ze – ondanks de bestaande
onzekerheden – toch voldoen aan de wet- en regelgeving op het
gebied van privacy?
“Dat begint met een flink pak huiswerk,” zegt Lieneke Viergever,
als partner verbonden aan Project Moore Advocaten in Amster-
dam en specialist op het gebied van IT-recht en privacy. “Je moet
je om te beginnen realiseren dat je, ook als je iets uitbesteedt,
toch doorgaans zelf verantwoordelijk blijft voor naleving van de
wet. Dat betekent dat je altijd na moet gaan of de aanbieder met
wie je in zee gaat voldoende waarborgen biedt ter bescherming
van persoonsgegevens. Een simpele bepaling in het cloud contract
die de aanbieder verplicht om adequate maatregelen te treffen is
onvoldoende.”
Als voorbeeld geeft ze de doorgifte van gegevens naar de VS.
“Dat is een land buiten de Europese Economische Ruimte. De eerste
vraag is dan of de leverancier van cloud-diensten, maar ook diens
eventuele subleveranciers in Amerika, aangesloten zijn bij de Safe
Harbor-principes. Als dat het geval is, ben je er nog niet. Je moet
ook nagaan of deze aanbieder de data niet buiten de VS brengt,
bijvoorbeeld naar zijn datacentra in India of Brazilië, want die
doorgifte wordt dan in principe niet gedekt door de Safe Harbor-
principes.”
Viergever raadt ter voorkoming van juridische complicaties aan om
met de aanbieder van de cloud-dienst af te spreken dat hij de data
alleen in de Europese Economische Ruimte of in een land met een
passend beschermingsniveau verwerkt, zoals Zwitserland. Maar ook
als je dat eenmaal bent overeengekomen met een aanbieder kun je
niet achterover leunen, aldus Viergever. “Je moet erop toezien dat
de aanbieder de gegevens ook daadwerkelijk voldoende beveiligt.
Aanbieders kunnen het hun klanten in dit opzicht een stuk makkelij-
ker maken, bijvoorbeeld door audits te laten doen door onafhanke-
lijke derden. Het is altijd aan te raden naar zulke audits te vragen.”
DATA IS ALS ELEKTRICITEIT
Management special - Grensoverschrijdende data
Verantwoord cloud-gebruik in Nederland
Hoe veilig is de Safe Harbor?
Data is als elektriciteit
Wat te doen?
Links
Wat als je al dit huiswerk niet doet? Welke risico’s loop je dan?
Viergever: “Uiteraard het risico op reputatieschade door te handelen
in strijd met de privacy-regelgeving. Maar er is meer. Het College
Bescherming Persoonsgegevens kan ook een last onder dwang-
som opleggen en bestuursdwang toepassen als een organisatie
slordig omspringt met persoonsgegevens. Om al deze redenen is
het belangrijk specifieke afspraken te maken met de leverancier.
Vanuit het oogpunt van beveiliging kan het daarnaast verstandig zijn
te kiezen voor een gedifferentieerde aanpak: je brengt dan alleen
gegevens met een laag risicoprofiel naar de cloud. Je kunt ook kiezen
voor een hybride aanpak: daarbij breng je gegevens met een hoger
risicoprofiel onder in een private cloud en andere, minder gevoelige
gegevens, in een publieke cloud.”
De regelgeving op dit gebied is sterk in beweging, aldus Viergever.
“Momenteel vinden er discussies plaats over de herziening van
de Europese privacyrichtlijn waarop de Nederlandse regel-
geving is gebaseerd. Daarnaast ligt de Safe Harbor Agreement
binnen de EU al een tijdje onder vuur. Deze ontwikkelingen zullen
ongetwijfeld hun weerslag hebben op de gebruiksmogelijkheden
van cloud computing.”
ZORG VOOR EEN GOED CONTRACTVolgens Milica Antic, advocaat bij Solv Advocaten in Amster-
dam en gespecialiseerd in privacy en online diensten, is het
vrijwel onmogelijk zeker te weten of je voldoet aan de
Nederlandse en Europese regelgeving, omdat aanbieders
van cloud-diensten geen echt harde garanties geven
over de locatie van de opgeslagen data. Maar dat
betekent volgens haar niet per se dat het daar
ophoudt. “Je kunt namelijk wel zorgen dat
je een overeenkomst met een aanbieder
sluit die heel goed in elkaar zit. Neem
het punt van de informa-
tiebeveiliging. Je kunt
geen genoegen
nemen met de
verzekering
dat er aan be-
paalde nor-
men wordt
voldaan.
Je bent
wettelijk
verplicht de
beveiliging con-
tractueel te rege-
len en de uitvoering
daarvan ook te controleren. Dat controleren lukt over het algemeen
bij kleine dienstverleners, maar bij Google niet. Dat kan een reden
zijn om gevoelige gegevens niet in een Google-cloud op te slaan.
Niet omdat Google deze gegevens niet goed zou beveiligen, maar
omdat je die beveiliging niet kunt controleren.”
Antic raadt aan om ook de locatie van de data contractueel vast te
leggen. “Dat geeft geen zekerheid, maar je kunt dit wel gebruiken
in je selectieproces. Met partijen die de locatie van de data niet in
het contract willen opnemen, ga je niet in zee.”
En een andere mogelijkheid is dat in het contract de aansprakelijkheid
wordt geregeld voor het geval het, ondanks eerdere voorzorgen, toch
nog fout gaat. Dat ontslaat je als opdrachtgever niet van je wettelijke
aansprakelijkheid, maar maakt het wel mogelijk de financiële gevol-
gen daarvan af te wentelen op de aanbieder van de cloud-dienst.”
Antic raadt het in het algemeen af gevoelige gegevens in een publieke
cloud op te slaan. “Niet doen. Niet in de VS, maar ook niet in Europa.
Misschien kan dat in een later stadium, maar op dit moment vind ik dat
niet erg verstandig.”
5
WAT TE DOEN?
Management special - Grensoverschrijdende data
Verantwoord cloud-gebruik in Nederland
Hoe veilig is de Safe Harbor?
Data is als elektriciteit
Wat te doen?
Links
6
Verwijzingen in dit artikel:
College Bescherming Persoonsgegevens: http://cw.link.idg.nl/cbp
Wet bescherming persoonsgegevens: http://cw.link.idg.nl/wbp
Richtlijn 95/46/EG van het Europees Parlement: http://cw.link.idg.nl/95/46/EG
Gegevensbescherming in de Europese Unie (PDF): http://cw.link.idg.nl/peu
Patriot Act (PDF): http://cw.link.idg.nl/pa
Patriot Act (Wikipedia): http://cw.link.idg.nl/paw
Safe Harbor Agreement: http://cw.link.idg.nl/sha
Safe Harbor Agreement (deelnemerslijst): http://cw.link.idg.nl/shad
Project Moore Advocaten: http://www.projectmoore.com
Solv Advocaten: http://www.solv.nl/
De cloud in het nieuws:
Google weigert data in Europa te houden (Webwereld): http://cw.link.idg.nl/ww_ge
Amazon gooit onder druk Wikileaks van servers (Webwereld): http://cw.link.idg.nl/ww_aw
Justitie vordert Twitter-account Rop Gongrijp (Webwereld): http://cw.link.idg.nl/ww_rg
Patriot Act renewed despite warnings of ‘secret’ law (CNET): http://cw.link.idg.nl/cnet_pa
The US Safe Harbor – Fact or Fiction (Galexia): http://cw.link.idg.nl/galexia_sh
Ahold migreert van Lotus Notes naar Gmail (Webwereld): http://cw.link.idg.nl/ww_ah
Google loodst KLM naar de cloud (Webwereld): http://cw.link.idg.nl/ww_klm
Rackspace bouwt Europese cloud infrastructuur (Rackspace): http://cw.link.idg.nl/rackspace
Kroes waarschuwt voor privacyrisico’s cloud (Webwereld): http://cw.link.idg.nl/ww_kroes
Verantwoord cloud-gebruik in Nederland
Hoe veilig is de Safe Harbor?
Data is als elektriciteit
Wat als je al dit huiswerk niet doet?
Links