際際滷

際際滷Share a Scribd company logo

grensoverschrijdende_data

William ten Hoeve
William ten Hoeve

test

1 of 6
Download to read offline
MANAGEMENT SPECIAL GRENSOVERSCHRIJDENDE DATA Verantwoord cloud-gebruik in Nederland Door: Fred Teunissen
Management special - Grensoverschrijdende data VERANTWOORD Verantwoord cloud-gebruik in Nederland Hoe veilig is de Safe Harbor? CLOUD-GEBRUIK Data is als elektriciteit Wat te doen? Links IN NEDERLAND Wat kun je als Nederlands bedrijf doen, als je de cloud in wilt, maar de risicos zo veel mogelijk wilt uitbannen? Er is nog veel mistig in de cloud. Ondanks de vele technische zijn Europese datacantra een Europese cloud in elkaar steekt. Moet te voor足 elen blijft met name privacy een schemergebied. 足 d doen zijn, zou je zo denken. Als onder足 eming zit je daar niet op te wachten. Wat kun je n als Nederlands bedrijf doen, als je de cloud in wilt, maar de Mooi niet, zo bleek begin dit jaar, na aanvan- risicos zo veel mogelijk wilt uitbannen? kelijke toezeggingen dat er een Europese Google-cloud zou komen. De onder- Met de cloud kun je twee kanten op. Aan de ene kant zijn er de neming beroept zich op de techniek imposante technische mogelijkheden, aan de andere kant zijn de die zij toepast om de data binnen risicos niet minder imposant, vooral op het gebied van de privacy. Google Apps via een algoritme te verknippen en over tal van Hoe kun je als IT-manager nu optimaal van de mogelijkheden van datacentra in de wereld de cloud gebruik maken en tegelijkertijd de risicos zoveel mogelijk te verspreiden indammen? Dat blijkt in de praktijk nog helemaal niet zon eenvou- (obfuscation dige opgave. of dataver- sluiering). Neem Google Apps. Als je overweegt je mail, contactpersonen en Uit het agendas onder te brengen in Googles cloud-omgeving, dan weet oogpunt je dat die data onze landsgrenzen over gaan. De vraag is of je dan van nog wel voldoet aan de regelgeving op het gebied van de privacy. beveili- I 足mmers, het gaat hier voor een groot deel om persoonsgegevens ging een en daarop is de nationale en de Europese wetgeving op het fantastische vlak van de bescherming van persoonsgegevens van toepassing. aanpak, want zou een hacker al Kort gezegd komt het erop neer dat die gegevens bij voorkeur binnendringen in 辿辿n in het eigen land moeten blijven, maar in ieder geval binnen het van die centra, dan treft die alleen een kleine onbruikbare gebied van de EU (iets preciezer: de Europese Economische Ruimte, stukjes van de gegevens aan. Hoe wil je als IT-manager je beveiliging ofwel de EU plus IJsland, Noorwegen en Liechtenstein). Daarbuiten nog beter hebben? mag eventueel ook, maar alleen als de landen waar het om gaat minstens dezelfde mate van wettelijke bescherming bieden als bin- Maar uit het oogpunt van geografische plaatsbepaling is het een nen de EU. ramp. Deze data is overal en nergens. En de sleutel (het algoritme) zit in de VS. En daar beginnen de problemen, want de privacy wetgeving in de VS wijkt nogal af. Die bleef altijd al achter bij de Europese, maar de Wat de zaak echt vreemd maakt is dat Google omgekeerd aan de situatie is nog verder verslechterd door de zogenaamde Patriot Act Amerikaanse overheid w辿l garandeert dat Amerikaanse data in van 2003, die de Amerikaanse overheid zeer ruime bevoegdheden de VS blijven. Voor de VS geldt het argument van die versluiering geeft voor het opvragen van (persoons)gegevens bij bedrijven, blijkbaar niet. waaronder internationaal opererende hosting- en cloudproviders. De Patriot Act (onlangs nog opnieuw verlengd) verleent de Op zichzelf hoeft het trouwens helemaal nog geen show-stopper te Amerikaanse overheid het recht van toegang tot alle in de VS op- zijn als persoonsgegevens via online applicaties ergens in de VS of geslagen data zonder dat daarvoor rechterlijke toestemming vereist elders landen, als de aanbieder van de dienst maar voldoet aan de is. Nog geen man overboord, zou je zeggen, want Google heeft vereisten volgens de Safe Harbor Agreement tussen de EU en de VS. tien足 allen datacentra over de hele wereld. Het enige wat dan zou t moeten gebeuren is dat Google voor zijn Europese Apps-klanten met Maar ook daar is het nodige over te doen. 2
Management special - Grensoverschrijdende data HOE VEILIG IS DE Verantwoord cloud-gebruik in Nederland Hoe veilig is de Safe Harbor? SAFE HARBOR? Data is als elektriciteit Wat te doen? Links Om het probleem van de asynchrone privacy-wetgeving in de EU praktijk op nahouden. Dat ontdekte Chris Connolly, directeur van en de VS te ondervangen (omzeilen is misschien een beter woord) het in Sydney (Australi谷) gevestigde adviesbureau Galexia, die in hebben beide partijen een Safe Harbor Agreement gesloten, 2008 een uitvoerige studie naar de praktijk van Safe Harbor gebaseerd op zeven principes. claims publiceerde. Connolly adviseert de EU dan ook om deze zelf-certificeringen goed tegen het licht houden. Deze overeenkomst is sinds 1 november 2000 van kracht. Door het onderschrijven van de principes in deze overeenkomst verklaren bedrij- Met andere woorden, of we dat nu leuk vinden of niet: in de prak- ven in de VS dat ze bij de bescherming van de privacy waar het hun tijk is een Safe Harbor-verklaring boterzacht. Europese klanten betreft de Europese regels in acht zullen nemen. Precies dit soort juridische en politieke losse eindjes leiden ertoe dat bij Google heeft deze principes onderschreven, evenals Salesforce.com veel bedrijven en instellingen in ons land nog grote aarzeling bestaat en tal van andere SaaS- en cloudaanbieders die hun basis in de om cloud-applicaties als Google Apps of Salesforce.com in gebruik te VS hebben. nemen. De vraag hier is of je de onderschrijving van de Safe Harbor Principles goed genoeg vindt. Bedrijven als Ahold en KLM blijkbaar Het grote zwakke punt van deze Safe Harbor-route is dat het om wel, want zij zijn bezig met een gefaseerde overstap naar Google zelfcertificering gaat. Je kunt deze certificering wel door een derde Apps Premier Edition. Maar financi谷le- en overheidsinstellingen partij laten doen, maar verplicht is dat niet. Daarmee is onderschrij- bekijken deze problematiek met argusogen. Op kleine schaal vinden ving van de Safe Harbor-principes in essentie niet meer dan een er hier en daar wel pilots plaats, maar van grootschalige toepassing van toezegging waarvan je nooit helemaal zeker weet of die in de hitte US-based cloud-applicaties is bij (semi)overheden en financi谷le instellin- van de zakelijke en politieke actualiteit wel stand zal houden. gen is nog geen sprake. De druk die de Amerikaanse overheid onlangs nog op Amazon uit足 oefende om een server van WikiLeaks van zijn cloud te verban- nen geeft wat dit betreft te denken. Amazon ging overstag. Of, nog dichter bij huis: het opvragen door de Amerikaanse overheid van gebruikersgegevens van sympathisanten van WikiLeaks bij Twitter, waaronder die van de Nederlandse XS4ALL-pionier Rop Gongrijp. Ook Twitter ging over- stag. (Twitter onderschrijft de Safe Harbor-principes niet, Amazon.com doet dat wel.) BOTERZACHT Behalve de druk van de politieke prak- tijk is er nog een ander groot punt van zorg. Want zelf- certificering houdt in dat er geen onafhankelijke controle is. Er zijn nogal wat bedrij- ven die met de mond belijden aan de Safe Harbor-princi- pes te voldoen, maar er in werke- lijkheid een andere 3
Management special - Grensoverschrijdende data DATA IS ALS Verantwoord cloud-gebruik in Nederland Hoe veilig is de Safe Harbor? ELEKTRICITEIT Data is als elektriciteit Wat te doen? Links Wie anders dan Google wel een afzonderlijke Europese cloud gericht dat we er redelijkerwijs van uit kunnen gaan dat privacy- heeft gemaakt voor zijn Europese klanten is hosting- en cloudpro足 gevoelige gegevens de EU niet zullen verlaten (dan wel dat zij buiten vider Rackspace. de EU volgens EU-richtlijnen zullen worden behandeld). En misschien nog een stap verder: dat we er ook redelijkerwijs van uit kunnen Rackspace richt zich met dit aanbod met name op klanten die gaan dat het uitgesloten is dat derden er (buiten de EU-wetgeving zekerheid willen hebben dat hun data in de EU blijven. Hierbij gaat om) in kunnen meekijken. het overigens niet om toepassingen, zoals de Apps van Google, maar om andere elementen van cloud computing, zoals flexibele, Totdat er op dit punt betrouwbare certificeringen zijn zal cloud inhuurbare server- en opslag足 apaciteit. Maar waar het de opslag c computing omgeven blijven met juridische, zakelijke en politieke van privacy-gevoelige gegevens betreft gelden hier uiteraard weer onzekerheden. Wat jammer is, want het zet een rem op de brede dezelfde Europese regels. toepassing van deze veelbelovende technologie. Rackspace doet niet aan obfuscation (dataversluiering), dus dat HUISWERK scheelt. Alle data zijn geografisch aanwijsbaar, namelijk in twee Wat kunnen bedrijven en instellingen die gebruik willen maken van datacentra in Londen. Is het probleem daarmee opgelost? cloud computing doen om te zorgen dat ze ondanks de bestaande onzekerheden toch voldoen aan de wet- en regelgeving op het Ja en nee gebied van privacy? Ja, want de gegevens zijn niet overal en nergens. Dat geeft enig Dat begint met een flink pak huiswerk, zegt Lieneke Viergever, houvast. Ja, want een Safe Harbor verklaring is niet nodig. Nee, als partner verbonden aan Project Moore Advocaten in Amster- want het is opnieuw een belofte. En de vraag is hoe hard die kan dam en specialist op het gebied van IT-recht en privacy. Je moet zijn. Data is als elektriciteit. Gegevens uit Londen kunnen in een flits je om te beginnen realiseren dat je, ook als je iets uitbesteedt, in Dubai, Washington of Hong Kong zijn. Andere dan verbale ga- toch doorgaans zelf verantwoordelijk blijft voor naleving van de ranties dat deze gegevens de EU niet zullen verlaten kan Rackspace wet. Dat betekent dat je altijd na moet gaan of de aanbieder met desgevraagd niet geven. Niemand controleert of de onderneming wie je in zee gaat voldoende waarborgen biedt ter bescherming zich daadwerkelijk aan zijn woord houdt en je kunt je nergens op van persoonsgegevens. Een simpele bepaling in het cloud contract beroepen als dat niet zo zou blijken te zijn. Er is geen erkend certi- die de aanbieder verplicht om adequate maatregelen te treffen is ficaat op dit punt. En hoe sympathiek het initiatief van Rackspace onvoldoende. ook is, je kunt je afvragen of je met dergelijke verbale garanties wel genoegen mag nemen. Wat overigens evenzeer geldt voor Als voorbeeld geeft ze de doorgifte van gegevens naar de VS. andere Europese clouds, zoals die van Microsoft. 足 Dat is een land buiten de Europese Economische Ruimte. De eerste vraag is dan of de leverancier van cloud-diensten, maar ook diens Het ontbreekt dus aan zekerheden. eventuele subleveranciers in Amerika, aangesloten zijn bij de Safe Aan audits door onafhankelijke Harbor-principes. Als dat het geval is, ben je er nog niet. Je moet derden, waaruit spijker- ook nagaan of deze aanbieder de data niet buiten de VS brengt, hard blijkt dat een bijvoorbeeld naar zijn datacentra in India of Brazili谷, want die cloud-aanbieder zijn doorgifte wordt dan in principe niet gedekt door de Safe Harbor- interne processen principes. zodanig heeft Viergever raadt ter voorkoming van juridische complicaties aan om in- met de aanbieder van de cloud-dienst af te spreken dat hij de data alleen in de Europese Economische Ruimte of in een land met een passend beschermingsniveau verwerkt, zoals Zwitserland. Maar ook als je dat eenmaal bent overeengekomen met een aanbieder kun je niet achterover leunen, aldus Viergever. Je moet erop toezien dat de aanbieder de gegevens ook daadwerkelijk voldoende beveiligt. Aanbieders kunnen het hun klanten in dit opzicht een stuk makkelij- ker maken, bijvoorbeeld door audits te laten doen door onafhanke- lijke derden. Het is altijd aan te raden naar zulke audits te vragen. 4
Management special - Grensoverschrijdende data WAT TE Verantwoord cloud-gebruik in Nederland Hoe veilig is de Safe Harbor? DOEN? Data is als elektriciteit Wat te doen? Links Wat als je al dit huiswerk niet doet? Welke risicos loop je dan? daarvan ook te controleren. Dat controleren lukt over het algemeen bij kleine dienstverleners, maar bij Google niet. Dat kan een reden Viergever: Uiteraard het risico op reputatieschade door te handelen zijn om gevoelige gegevens niet in een Google-cloud op te slaan. in strijd met de privacy-regelgeving. Maar er is meer. Het College Niet omdat Google deze gegevens niet goed zou beveiligen, maar Bescherming Persoonsgegevens kan ook een last onder dwang- omdat je die beveiliging niet kunt controleren. som opleggen en bestuursdwang toepassen als een organisatie slordig omspringt met persoonsgegevens. Om al deze redenen is Antic raadt aan om ook de locatie van de data contractueel vast te het belangrijk specifieke afspraken te maken met de leverancier. leggen. Dat geeft geen zekerheid, maar je kunt dit wel gebruiken Vanuit het oogpunt van beveiliging kan het daarnaast verstandig zijn in je selectieproces. Met partijen die de locatie van de data niet in te kiezen voor een gedifferentieerde aanpak: je brengt dan alleen het contract willen opnemen, ga je niet in zee. gegevens met een laag risicoprofiel naar de cloud. Je kunt ook kiezen voor een hybride aanpak: daarbij breng je gegevens met een hoger En een andere mogelijkheid is dat in het contract de aansprakelijkheid risicoprofiel onder in een private cloud en andere, minder gevoelige wordt geregeld voor het geval het, ondanks eerdere voorzorgen, toch gegevens, in een publieke cloud. nog fout gaat. Dat ontslaat je als opdrachtgever niet van je wettelijke aansprakelijkheid, maar maakt het wel mogelijk de financi谷le gevol- De regelgeving op dit gebied is sterk in beweging, aldus Viergever. gen daarvan af te wentelen op de aanbieder van de cloud-dienst. Momenteel vinden er discussies plaats over de herziening van de Europese privacyrichtlijn waarop de Nederlandse regel- Antic raadt het in het algemeen af gevoelige gegevens in een publieke geving is gebaseerd. Daarnaast ligt de Safe Harbor Agreement cloud op te slaan. Niet doen. Niet in de VS, maar ook niet in Europa. binnen de EU al een tijdje onder vuur. Deze ontwikkelingen zullen Misschien kan dat in een later stadium, maar op dit moment vind ik dat ongetwijfeld hun weerslag hebben op de gebruiksmogelijkheden niet erg verstandig. van cloud computing. ZORG VOOR EEN GOED CONTRACT Volgens Milica Antic, advocaat bij Solv Advocaten in Amster- dam en gespecialiseerd in privacy en online diensten, is het vrijwel onmogelijk zeker te weten of je voldoet aan de Nederlandse en Europese regelgeving, omdat aanbieders van cloud-diensten geen echt harde garanties geven over de locatie van de opgeslagen data. Maar dat betekent volgens haar niet per se dat het daar ophoudt. Je kunt namelijk wel zorgen dat je een overeenkomst met een aanbieder sluit die heel goed in elkaar zit. Neem het punt van de informa- tiebeveiliging. Je kunt geen genoegen nemen met de verzekering dat er aan be- paalde nor- men wordt voldaan. 足 Je bent wettelijk verplicht de beveiliging con- tractueel te rege- len en de uitvoering 5
Verantwoord cloud-gebruik in Nederland Hoe veilig is de Safe Harbor? Data is als elektriciteit Wat als je al dit huiswerk niet doet? Links Verwijzingen in dit artikel: College Bescherming Persoonsgegevens: http://cw.link.idg.nl/cbp Wet bescherming persoonsgegevens: http://cw.link.idg.nl/wbp Richtlijn 95/46/EG van het Europees Parlement: http://cw.link.idg.nl/95/46/EG Gegevensbescherming in de Europese Unie (PDF): http://cw.link.idg.nl/peu Patriot Act (PDF): http://cw.link.idg.nl/pa Patriot Act (Wikipedia): http://cw.link.idg.nl/paw Safe Harbor Agreement: http://cw.link.idg.nl/sha Safe Harbor Agreement (deelnemerslijst): http://cw.link.idg.nl/shad Project Moore Advocaten: http://www.projectmoore.com Solv Advocaten: http://www.solv.nl/ De cloud in het nieuws: Google weigert data in Europa te houden (Webwereld): http://cw.link.idg.nl/ww_ge Amazon gooit onder druk Wikileaks van servers (Webwereld): http://cw.link.idg.nl/ww_aw Justitie vordert Twitter-account Rop Gongrijp (Webwereld): http://cw.link.idg.nl/ww_rg Patriot Act renewed despite warnings of secret law (CNET): http://cw.link.idg.nl/cnet_pa The US Safe Harbor Fact or Fiction (Galexia): http://cw.link.idg.nl/galexia_sh Ahold migreert van Lotus Notes naar Gmail (Webwereld): http://cw.link.idg.nl/ww_ah Google loodst KLM naar de cloud (Webwereld): http://cw.link.idg.nl/ww_klm Rackspace bouwt Europese cloud infrastructuur (Rackspace): http://cw.link.idg.nl/rackspace Kroes waarschuwt voor privacyrisicos cloud (Webwereld): http://cw.link.idg.nl/ww_kroes 6

More Related Content

grensoverschrijdende_data

  • 1. MANAGEMENT SPECIAL GRENSOVERSCHRIJDENDE DATA Verantwoord cloud-gebruik in Nederland Door: Fred Teunissen
  • 2. Management special - Grensoverschrijdende data VERANTWOORD Verantwoord cloud-gebruik in Nederland Hoe veilig is de Safe Harbor? CLOUD-GEBRUIK Data is als elektriciteit Wat te doen? Links IN NEDERLAND Wat kun je als Nederlands bedrijf doen, als je de cloud in wilt, maar de risicos zo veel mogelijk wilt uitbannen? Er is nog veel mistig in de cloud. Ondanks de vele technische zijn Europese datacantra een Europese cloud in elkaar steekt. Moet te voor足 elen blijft met name privacy een schemergebied. 足 d doen zijn, zou je zo denken. Als onder足 eming zit je daar niet op te wachten. Wat kun je n als Nederlands bedrijf doen, als je de cloud in wilt, maar de Mooi niet, zo bleek begin dit jaar, na aanvan- risicos zo veel mogelijk wilt uitbannen? kelijke toezeggingen dat er een Europese Google-cloud zou komen. De onder- Met de cloud kun je twee kanten op. Aan de ene kant zijn er de neming beroept zich op de techniek imposante technische mogelijkheden, aan de andere kant zijn de die zij toepast om de data binnen risicos niet minder imposant, vooral op het gebied van de privacy. Google Apps via een algoritme te verknippen en over tal van Hoe kun je als IT-manager nu optimaal van de mogelijkheden van datacentra in de wereld de cloud gebruik maken en tegelijkertijd de risicos zoveel mogelijk te verspreiden indammen? Dat blijkt in de praktijk nog helemaal niet zon eenvou- (obfuscation dige opgave. of dataver- sluiering). Neem Google Apps. Als je overweegt je mail, contactpersonen en Uit het agendas onder te brengen in Googles cloud-omgeving, dan weet oogpunt je dat die data onze landsgrenzen over gaan. De vraag is of je dan van nog wel voldoet aan de regelgeving op het gebied van de privacy. beveili- I 足mmers, het gaat hier voor een groot deel om persoonsgegevens ging een en daarop is de nationale en de Europese wetgeving op het fantastische vlak van de bescherming van persoonsgegevens van toepassing. aanpak, want zou een hacker al Kort gezegd komt het erop neer dat die gegevens bij voorkeur binnendringen in 辿辿n in het eigen land moeten blijven, maar in ieder geval binnen het van die centra, dan treft die alleen een kleine onbruikbare gebied van de EU (iets preciezer: de Europese Economische Ruimte, stukjes van de gegevens aan. Hoe wil je als IT-manager je beveiliging ofwel de EU plus IJsland, Noorwegen en Liechtenstein). Daarbuiten nog beter hebben? mag eventueel ook, maar alleen als de landen waar het om gaat minstens dezelfde mate van wettelijke bescherming bieden als bin- Maar uit het oogpunt van geografische plaatsbepaling is het een nen de EU. ramp. Deze data is overal en nergens. En de sleutel (het algoritme) zit in de VS. En daar beginnen de problemen, want de privacy wetgeving in de VS wijkt nogal af. Die bleef altijd al achter bij de Europese, maar de Wat de zaak echt vreemd maakt is dat Google omgekeerd aan de situatie is nog verder verslechterd door de zogenaamde Patriot Act Amerikaanse overheid w辿l garandeert dat Amerikaanse data in van 2003, die de Amerikaanse overheid zeer ruime bevoegdheden de VS blijven. Voor de VS geldt het argument van die versluiering geeft voor het opvragen van (persoons)gegevens bij bedrijven, blijkbaar niet. waaronder internationaal opererende hosting- en cloudproviders. De Patriot Act (onlangs nog opnieuw verlengd) verleent de Op zichzelf hoeft het trouwens helemaal nog geen show-stopper te Amerikaanse overheid het recht van toegang tot alle in de VS op- zijn als persoonsgegevens via online applicaties ergens in de VS of geslagen data zonder dat daarvoor rechterlijke toestemming vereist elders landen, als de aanbieder van de dienst maar voldoet aan de is. Nog geen man overboord, zou je zeggen, want Google heeft vereisten volgens de Safe Harbor Agreement tussen de EU en de VS. tien足 allen datacentra over de hele wereld. Het enige wat dan zou t moeten gebeuren is dat Google voor zijn Europese Apps-klanten met Maar ook daar is het nodige over te doen. 2
  • 3. Management special - Grensoverschrijdende data HOE VEILIG IS DE Verantwoord cloud-gebruik in Nederland Hoe veilig is de Safe Harbor? SAFE HARBOR? Data is als elektriciteit Wat te doen? Links Om het probleem van de asynchrone privacy-wetgeving in de EU praktijk op nahouden. Dat ontdekte Chris Connolly, directeur van en de VS te ondervangen (omzeilen is misschien een beter woord) het in Sydney (Australi谷) gevestigde adviesbureau Galexia, die in hebben beide partijen een Safe Harbor Agreement gesloten, 2008 een uitvoerige studie naar de praktijk van Safe Harbor gebaseerd op zeven principes. claims publiceerde. Connolly adviseert de EU dan ook om deze zelf-certificeringen goed tegen het licht houden. Deze overeenkomst is sinds 1 november 2000 van kracht. Door het onderschrijven van de principes in deze overeenkomst verklaren bedrij- Met andere woorden, of we dat nu leuk vinden of niet: in de prak- ven in de VS dat ze bij de bescherming van de privacy waar het hun tijk is een Safe Harbor-verklaring boterzacht. Europese klanten betreft de Europese regels in acht zullen nemen. Precies dit soort juridische en politieke losse eindjes leiden ertoe dat bij Google heeft deze principes onderschreven, evenals Salesforce.com veel bedrijven en instellingen in ons land nog grote aarzeling bestaat en tal van andere SaaS- en cloudaanbieders die hun basis in de om cloud-applicaties als Google Apps of Salesforce.com in gebruik te VS hebben. nemen. De vraag hier is of je de onderschrijving van de Safe Harbor Principles goed genoeg vindt. Bedrijven als Ahold en KLM blijkbaar Het grote zwakke punt van deze Safe Harbor-route is dat het om wel, want zij zijn bezig met een gefaseerde overstap naar Google zelfcertificering gaat. Je kunt deze certificering wel door een derde Apps Premier Edition. Maar financi谷le- en overheidsinstellingen partij laten doen, maar verplicht is dat niet. Daarmee is onderschrij- bekijken deze problematiek met argusogen. Op kleine schaal vinden ving van de Safe Harbor-principes in essentie niet meer dan een er hier en daar wel pilots plaats, maar van grootschalige toepassing van toezegging waarvan je nooit helemaal zeker weet of die in de hitte US-based cloud-applicaties is bij (semi)overheden en financi谷le instellin- van de zakelijke en politieke actualiteit wel stand zal houden. gen is nog geen sprake. De druk die de Amerikaanse overheid onlangs nog op Amazon uit足 oefende om een server van WikiLeaks van zijn cloud te verban- nen geeft wat dit betreft te denken. Amazon ging overstag. Of, nog dichter bij huis: het opvragen door de Amerikaanse overheid van gebruikersgegevens van sympathisanten van WikiLeaks bij Twitter, waaronder die van de Nederlandse XS4ALL-pionier Rop Gongrijp. Ook Twitter ging over- stag. (Twitter onderschrijft de Safe Harbor-principes niet, Amazon.com doet dat wel.) BOTERZACHT Behalve de druk van de politieke prak- tijk is er nog een ander groot punt van zorg. Want zelf- certificering houdt in dat er geen onafhankelijke controle is. Er zijn nogal wat bedrij- ven die met de mond belijden aan de Safe Harbor-princi- pes te voldoen, maar er in werke- lijkheid een andere 3
  • 4. Management special - Grensoverschrijdende data DATA IS ALS Verantwoord cloud-gebruik in Nederland Hoe veilig is de Safe Harbor? ELEKTRICITEIT Data is als elektriciteit Wat te doen? Links Wie anders dan Google wel een afzonderlijke Europese cloud gericht dat we er redelijkerwijs van uit kunnen gaan dat privacy- heeft gemaakt voor zijn Europese klanten is hosting- en cloudpro足 gevoelige gegevens de EU niet zullen verlaten (dan wel dat zij buiten vider Rackspace. de EU volgens EU-richtlijnen zullen worden behandeld). En misschien nog een stap verder: dat we er ook redelijkerwijs van uit kunnen Rackspace richt zich met dit aanbod met name op klanten die gaan dat het uitgesloten is dat derden er (buiten de EU-wetgeving zekerheid willen hebben dat hun data in de EU blijven. Hierbij gaat om) in kunnen meekijken. het overigens niet om toepassingen, zoals de Apps van Google, maar om andere elementen van cloud computing, zoals flexibele, Totdat er op dit punt betrouwbare certificeringen zijn zal cloud inhuurbare server- en opslag足 apaciteit. Maar waar het de opslag c computing omgeven blijven met juridische, zakelijke en politieke van privacy-gevoelige gegevens betreft gelden hier uiteraard weer onzekerheden. Wat jammer is, want het zet een rem op de brede dezelfde Europese regels. toepassing van deze veelbelovende technologie. Rackspace doet niet aan obfuscation (dataversluiering), dus dat HUISWERK scheelt. Alle data zijn geografisch aanwijsbaar, namelijk in twee Wat kunnen bedrijven en instellingen die gebruik willen maken van datacentra in Londen. Is het probleem daarmee opgelost? cloud computing doen om te zorgen dat ze ondanks de bestaande onzekerheden toch voldoen aan de wet- en regelgeving op het Ja en nee gebied van privacy? Ja, want de gegevens zijn niet overal en nergens. Dat geeft enig Dat begint met een flink pak huiswerk, zegt Lieneke Viergever, houvast. Ja, want een Safe Harbor verklaring is niet nodig. Nee, als partner verbonden aan Project Moore Advocaten in Amster- want het is opnieuw een belofte. En de vraag is hoe hard die kan dam en specialist op het gebied van IT-recht en privacy. Je moet zijn. Data is als elektriciteit. Gegevens uit Londen kunnen in een flits je om te beginnen realiseren dat je, ook als je iets uitbesteedt, in Dubai, Washington of Hong Kong zijn. Andere dan verbale ga- toch doorgaans zelf verantwoordelijk blijft voor naleving van de ranties dat deze gegevens de EU niet zullen verlaten kan Rackspace wet. Dat betekent dat je altijd na moet gaan of de aanbieder met desgevraagd niet geven. Niemand controleert of de onderneming wie je in zee gaat voldoende waarborgen biedt ter bescherming zich daadwerkelijk aan zijn woord houdt en je kunt je nergens op van persoonsgegevens. Een simpele bepaling in het cloud contract beroepen als dat niet zo zou blijken te zijn. Er is geen erkend certi- die de aanbieder verplicht om adequate maatregelen te treffen is ficaat op dit punt. En hoe sympathiek het initiatief van Rackspace onvoldoende. ook is, je kunt je afvragen of je met dergelijke verbale garanties wel genoegen mag nemen. Wat overigens evenzeer geldt voor Als voorbeeld geeft ze de doorgifte van gegevens naar de VS. andere Europese clouds, zoals die van Microsoft. 足 Dat is een land buiten de Europese Economische Ruimte. De eerste vraag is dan of de leverancier van cloud-diensten, maar ook diens Het ontbreekt dus aan zekerheden. eventuele subleveranciers in Amerika, aangesloten zijn bij de Safe Aan audits door onafhankelijke Harbor-principes. Als dat het geval is, ben je er nog niet. Je moet derden, waaruit spijker- ook nagaan of deze aanbieder de data niet buiten de VS brengt, hard blijkt dat een bijvoorbeeld naar zijn datacentra in India of Brazili谷, want die cloud-aanbieder zijn doorgifte wordt dan in principe niet gedekt door de Safe Harbor- interne processen principes. zodanig heeft Viergever raadt ter voorkoming van juridische complicaties aan om in- met de aanbieder van de cloud-dienst af te spreken dat hij de data alleen in de Europese Economische Ruimte of in een land met een passend beschermingsniveau verwerkt, zoals Zwitserland. Maar ook als je dat eenmaal bent overeengekomen met een aanbieder kun je niet achterover leunen, aldus Viergever. Je moet erop toezien dat de aanbieder de gegevens ook daadwerkelijk voldoende beveiligt. Aanbieders kunnen het hun klanten in dit opzicht een stuk makkelij- ker maken, bijvoorbeeld door audits te laten doen door onafhanke- lijke derden. Het is altijd aan te raden naar zulke audits te vragen. 4
  • 5. Management special - Grensoverschrijdende data WAT TE Verantwoord cloud-gebruik in Nederland Hoe veilig is de Safe Harbor? DOEN? Data is als elektriciteit Wat te doen? Links Wat als je al dit huiswerk niet doet? Welke risicos loop je dan? daarvan ook te controleren. Dat controleren lukt over het algemeen bij kleine dienstverleners, maar bij Google niet. Dat kan een reden Viergever: Uiteraard het risico op reputatieschade door te handelen zijn om gevoelige gegevens niet in een Google-cloud op te slaan. in strijd met de privacy-regelgeving. Maar er is meer. Het College Niet omdat Google deze gegevens niet goed zou beveiligen, maar Bescherming Persoonsgegevens kan ook een last onder dwang- omdat je die beveiliging niet kunt controleren. som opleggen en bestuursdwang toepassen als een organisatie slordig omspringt met persoonsgegevens. Om al deze redenen is Antic raadt aan om ook de locatie van de data contractueel vast te het belangrijk specifieke afspraken te maken met de leverancier. leggen. Dat geeft geen zekerheid, maar je kunt dit wel gebruiken Vanuit het oogpunt van beveiliging kan het daarnaast verstandig zijn in je selectieproces. Met partijen die de locatie van de data niet in te kiezen voor een gedifferentieerde aanpak: je brengt dan alleen het contract willen opnemen, ga je niet in zee. gegevens met een laag risicoprofiel naar de cloud. Je kunt ook kiezen voor een hybride aanpak: daarbij breng je gegevens met een hoger En een andere mogelijkheid is dat in het contract de aansprakelijkheid risicoprofiel onder in een private cloud en andere, minder gevoelige wordt geregeld voor het geval het, ondanks eerdere voorzorgen, toch gegevens, in een publieke cloud. nog fout gaat. Dat ontslaat je als opdrachtgever niet van je wettelijke aansprakelijkheid, maar maakt het wel mogelijk de financi谷le gevol- De regelgeving op dit gebied is sterk in beweging, aldus Viergever. gen daarvan af te wentelen op de aanbieder van de cloud-dienst. Momenteel vinden er discussies plaats over de herziening van de Europese privacyrichtlijn waarop de Nederlandse regel- Antic raadt het in het algemeen af gevoelige gegevens in een publieke geving is gebaseerd. Daarnaast ligt de Safe Harbor Agreement cloud op te slaan. Niet doen. Niet in de VS, maar ook niet in Europa. binnen de EU al een tijdje onder vuur. Deze ontwikkelingen zullen Misschien kan dat in een later stadium, maar op dit moment vind ik dat ongetwijfeld hun weerslag hebben op de gebruiksmogelijkheden niet erg verstandig. van cloud computing. ZORG VOOR EEN GOED CONTRACT Volgens Milica Antic, advocaat bij Solv Advocaten in Amster- dam en gespecialiseerd in privacy en online diensten, is het vrijwel onmogelijk zeker te weten of je voldoet aan de Nederlandse en Europese regelgeving, omdat aanbieders van cloud-diensten geen echt harde garanties geven over de locatie van de opgeslagen data. Maar dat betekent volgens haar niet per se dat het daar ophoudt. Je kunt namelijk wel zorgen dat je een overeenkomst met een aanbieder sluit die heel goed in elkaar zit. Neem het punt van de informa- tiebeveiliging. Je kunt geen genoegen nemen met de verzekering dat er aan be- paalde nor- men wordt voldaan. 足 Je bent wettelijk verplicht de beveiliging con- tractueel te rege- len en de uitvoering 5
  • 6. Verantwoord cloud-gebruik in Nederland Hoe veilig is de Safe Harbor? Data is als elektriciteit Wat als je al dit huiswerk niet doet? Links Verwijzingen in dit artikel: College Bescherming Persoonsgegevens: http://cw.link.idg.nl/cbp Wet bescherming persoonsgegevens: http://cw.link.idg.nl/wbp Richtlijn 95/46/EG van het Europees Parlement: http://cw.link.idg.nl/95/46/EG Gegevensbescherming in de Europese Unie (PDF): http://cw.link.idg.nl/peu Patriot Act (PDF): http://cw.link.idg.nl/pa Patriot Act (Wikipedia): http://cw.link.idg.nl/paw Safe Harbor Agreement: http://cw.link.idg.nl/sha Safe Harbor Agreement (deelnemerslijst): http://cw.link.idg.nl/shad Project Moore Advocaten: http://www.projectmoore.com Solv Advocaten: http://www.solv.nl/ De cloud in het nieuws: Google weigert data in Europa te houden (Webwereld): http://cw.link.idg.nl/ww_ge Amazon gooit onder druk Wikileaks van servers (Webwereld): http://cw.link.idg.nl/ww_aw Justitie vordert Twitter-account Rop Gongrijp (Webwereld): http://cw.link.idg.nl/ww_rg Patriot Act renewed despite warnings of secret law (CNET): http://cw.link.idg.nl/cnet_pa The US Safe Harbor Fact or Fiction (Galexia): http://cw.link.idg.nl/galexia_sh Ahold migreert van Lotus Notes naar Gmail (Webwereld): http://cw.link.idg.nl/ww_ah Google loodst KLM naar de cloud (Webwereld): http://cw.link.idg.nl/ww_klm Rackspace bouwt Europese cloud infrastructuur (Rackspace): http://cw.link.idg.nl/rackspace Kroes waarschuwt voor privacyrisicos cloud (Webwereld): http://cw.link.idg.nl/ww_kroes 6