Nadat Minister Spies het Amerikaans ‘datagraaien’ eind augustus nog makkelijk kon wegwuiven met; "er wordt door overheidsinstanties 'geen vertrouwelijke informatie gedeeld' op Yammer", is dit weekend de veiligheid van de Nederlandse cloud weer op de politieke agenda verschenen.
Directe aanleiding tot deze ophef is het rapport van het Instituut voor Informatierecht (IVIR) dat haarfijn de zwakke rechtsbescherming van Nederlandse bedrijven blootlegt. IVIR komt tevens met de ontluisterende constatering dat communicatie en data in Amerikaanse handen niet transparant is. In dit artikel de hoofdpunten uit het rapport, die relevant zijn voor Nederlandse bedrijven in de cloud.
Cloud provider actief in de VS?
Toegang van Amerikaanse veiligheidsdiensten tot gegevens op internet is sinds de Patriot Act geen nieuw gegeven meer. De Amerikaanse wetgeving biedt veiligheidsdiensten ruime mogelijkheden om communicatie en data uit de cloud op te vragen. 
De toegang is laagdrempelig en in het geheel niet transparant. Het opvragen van communicatie en data vindt in het grootste geheim plaats en wordt niet gerapporteerd. Het maakt in deze niet uit of de gegevens in de VS zijn opgeslagen of niet.
Zodra je cloud provider ‘activiteiten’ ontplooit in de VS, of een onderdeel is van een in de VS gevestigde onderneming, kunnen gegevens altijd direct worden opgevraagd. Rechtstreeks via de Amerikaanse vestiging van de cloud provider of indirect via de haar toeleverende bedrijven zoals een backup-dienst.
Cloud in de VS, rechtsbescherming zwak!
Ook de privacybescherming in de VS is fundamenteel anders geregeld dan in Europa en beantwoort niet het niveau van afspraken, die Europese lidstaten hebben gemaakt in het Europees Verdrag tot bescherming van de Rechten van de Mens (EVRM). Bovendien is de mindere rechtsbescherming in de VS alleen van toepassing op Amerikanen zelf, de positie van niet-Amerikanen is nog zwakker. Deze rechtsbescherming is wel aanwezig als Amerikaanse veiligheidsdiensten opvragingen onder Nederlandse wetgeving dienen uit te voeren, omdat de cloud provider geen activiteiten in de VS heeft. Met de opmerking “Nederlandse gebruikers van clouddiensten genieten vanuit Amerikaans juridisch perspectief dezelfde grondrechtelijke bescherming als Noord-Koreanen,” vatten de onderzoekers de zwakke rechtsbescherming cynisch samen.
Beperken van de risico’s, een cloud checklist!
De risico’s voor de privacy en informatieveiligheid zullen aanzienlijk kleiner zijn als communicatie en data worden opgeslagen bij Nederlandse of Europese partijen, die geen banden hebben met de VS. Met een groot deel van de (populaire) cloud providers ‘actief’ in de VS, is dit nog een lastige opdracht, maar zeker niet onmogelijk. Een belangrijke stap die vooraf gaat aan de keuze voor een cloud provider, is een risicoinventarisatie, waardoor een weloverwogen besluit kan worden gekomen. Stel je daarom vooraf een aantal relevante vragen;
- Valt de cloud provider of delen van zijn dienstverlening (bijvoorbeeld back ups) onder Amerikaanse jurisdictie?
- Hoe is het verwijderen van gegevens in de cloud georganiseerd? En wat gebeurt er met de in de cloud verwerkte data in geval van faillissement of overname van de cloud provider of ontbinding van overeenkomst?
- Is het mogelijk om een specifieke contractuele beperking op te nemen voor het geval dat de cloud provider wordt overgenomen?
- Vraag de cloud provider om medewerking bij het maken een goede risicoanalyse en categoriseer de verschillende soorten gegevens, die zouden kunnen worden opgevraagd door de veiligheidsdiensten (transparantie!).
- Ontwerp een decentrale en gefragmenteerde opslag, zodat gegevens niet makkelijk in zijn geheel opvraagbaar zijn en overweeg voor bijzonder vertrouwelijke communicatie en data versleuteling.
Jullie nog suggesties?
Beantwoording van bovenstaande vragen zorgen er tevens voor dat een ‘lock-in’ bij je cloud provider wordt voorkomen en een exit altijd een reële optie blijft. Wellicht zijn er meer maatregelen mogelijk en nodig, aanvullingen zijn altijd welkom en lees ik graag in de reacties hieronder!
Uitgelicht: WordPress bestaat 10 jaar! Kom je ook naar de open borrel @Level Level?
27 mei as bestaat WordPress precies 10 jaar. Bij Level Level genieten we al sinds jaar en dag van de oneindige mogelijkheden, de gebruiksvriendelijkheid en de tomeloze energie die van de WordPress community uitgaat. Maandag 27 mei om 19:00 vieren we daarom het 10-jarig bestaan met een borrel bij ons in Rotterdam. Natuurlijk doen we dat helemaal volgens het open source principe: iedereen die iets heeft met WordPress, is welkom om met ons - en o.a. Frank Janssen - te komen proosten, tafelvoetballen en eindeloos te discussiëren over plugins en thema’s.
Meer weten?
Heeft Neelie Kroes namens de EU niet een programma voor clouddiensten in Europa aangekondigd. Daar lijkt me alles voor te zeggen, al is het natuurlijk wel belangrijk ook in Europa op de kleine lettertjes te letten.
Kies je zelf een cloudprovider, dan kun je wellicht iets aan die tips hebben. Maar wat als je gebruik maakt van de ‘normale’ diensten van Google, Apple, Amazon?
Dank voor de samenvatting. In dit licht bezien is het interessant je af te vragen wat we hier van zouden vinden wanneer de Apple’s, Google’s en Amazon’s van deze wereld Chinese bedrijven zouden zijn.
Voor zover mij bekend zijn Europese alternatieven er niet echt. Ik zou dolgraag overstappen op een alternatief voor Dropbox om eens wat te noemen. Suggesties?
@Ruud Kessels: kijk eens naar Wuala. Uit Zwitserland.
@Erwin: gedownload.
Maar is dat echt het enige Europese antwoord dat we hebben? Magertjes toch?
@ruud
Op mijn lijstje ‘to do’ in 10 minuten bij elkaar gevonden:
http://www.interxion.com/
http://ischannels.com/
http://www.servoy.com/
http://www.tblox.com/
dat sterkt mij dat er veel meer goede partijen in EU en NL te vinden zijn.
Dank voor jullie reacties!
@Fons
Klopt, de EU heeft dit onderwerp ook op de agenda staan, waarvan hulde! Maar ondanks het goede werk van Neelie Kroes gaan besluitvormingsprocessen traag, ik wil daar niet op wachten.
@Ruud
Ons bondgenootschap (en vertrouwen) met de VS is ‘close’, wij hebben er uit het verre verleden onze vrijheid aan te danken. Kritisch zijn in die relatie gaat ons nu slecht af vind ik, goed dat het bij de EU is belegd.
Ik sta op het punt http://box4bizz.com/features/secure-cloud-storage/ te testen, een storage aanbieder. Net als WorkVoices een Nederlandse aanbieder.
@Erwin
Hoor en lees het vaker van Wuala, lees graag je ervaringen (als je die hebt).
Een andere manier om de vendor lock-in te voorkomen is om gebruik te maken van een cloud management platform (CMP). Zo’n platform past als een loper op de deuren van alle belangrijke cloud aanbieders. Hiermee kun je bouwen, hosten, ontwerpen, implementeren en managen vanuit een interface. Bevalt een cloud aanbieder niet (meer) dan kun je eenvoudig switchen. Je hoeft dus niet het hele zaakje opnieuw op te bouwen bij de concurrent.
Er is een aantal bedrijven actief met een CMP, zoals bijvoorbeeld RightScale en GiMiScale.
Interessant artikel Raoul.
De locatie van de opslag blijft een hekel punt voor veel bedrijven. Na dit soort berichtgevingen uiteraard begrijpelijk. Steeds meer aanbieders bieden dan ook zakelijk clouddiensten aan van een datacenter uit Nederland. Je data en back-up blijven dan binnen de landsgrenzen. Ook wij bij Fort Blue/ Fort Orange hebben de data van onze klanten binnen onze landsgrenzen staan.
@Raoul: Wuala werkt voor mij heel mooi. Gelijksoortige functies als Dropbox, maar inclusief mogelijkheid om een map van je computer te syncen met Wuala (zodat ie dus en in de cloud en op je andere computers staat). Pas je iets aan op je werk-pc, dan synct ie naar Wuala. Werk je thuis vanuit Wuala, dan synct ie terug naar je werk-pc.
Wel minder integratie met andere diensten, zo mis ik bijvoorbeeld de integratie met Goodreader (op de Ipad). Dat heeft Dropbox dan weer wel.
En, belangrijk punt: Wuala versleutelt alles en je wachtwoord staat nergens opgeslagen. Redelijk veilig dus (niet je wachtwoord vergeten!).
Wederom mooie aanvullingen!
@Elmer
Mooie oplossingen die CMP’s. Zeker als ze een volledig vendor management gaan voeren, hebben ze commercieel bestaansrecht. Gezien de in mijn blog geschetste problemen met rechtszekerheid zou ik wel kiezen voor een partij die geen banden heeft met de VS. GiMiScale lijkt dat te zijn.
@Wouter
Dank je en goed om jullie te leren kennen.
@Erwin
Dank voor je toelichting, helemaal eens dat versleuteling een dikke plus is voor Wuala.
@Raoul: Er is nog een andere mogelijkheid en dat is met name gericht op datatransfer (WeTransfer / YouSendit) genaamd FileCap. Gevoelige bestanden versturen zonder dat ze de cloud in gaan. Dit stukje software draait in je eigen netwerk achter je eigen firewall en is dus minstens net zo veilig als elke andere server in het netwerk (nog iets veiliger zelfs want de bestanden worden versleuteld opgeslagen en verstuurd.
Voor sommige zaken moet je eigenlijk helemaal niet de cloud in willen gaan als je het mij vraagt. FileCap is trouwens geen in-house dropbox dus geen sharing.
@Willem Jan
Dank voor je tip. Het is de mix aan maatregelen die de minste risico’s opleveren, lijkt het. Versleuteling is daarin een belangrijke.
Op Eburon nog een interessante opmerking gelezen over ‘de aantekeningen op e-books’. Lees hier het korte verhaal-> http://www.eburon.nl/131012_ophef_over_clouddiensten_ook_van_toepassing_op_ebookopslag?goback=%2Egde_96234_member_175033428
Raoul,
Goed artikel. Hier en daar klinkt wat “angst” voor de Cloud, ook in de reacties. Even wat olie op het vuur; opslaan in Nederland biedt ook geen bescherming, onderschat de overeenkomst tussen de Amerikaanse en Nederlandse inlichtingendienst niet. Als ze willen krijgen ze alles.
Nu even wat nuanceringen; aantal Amerikaanse partijen hebben Safe Harbor (http://export.gov/safeharbor/) ondertekend, betekent niet alles maar is zeker een begin.
Uiteindelijk ligt de verantwoordelijkheid voor privacy bescherming altijd bij jezelf en moet je als bedrijf een aantal zaken goed regelen voordat je gebruikt maakt van Cloud Services; bepaal goed wat je wel en niet in Cloud wil opslaan en zorg intern dat er zogenaamde Binding Corporate rules zijn. Tot slot, laat aantal zaken in het contract opnemen.
@Maudy, ik ben het met je eens dat bedrijven/overheden een eigen verantwoordelijkheid hebben. Tegelijkertijd is het gebruik van cloud services natuurlijk nog vrij nieuw, en heeft het qua organisatie en beveiliging zulke implicaties dat het mooi zou zijn als clouddiensten helder communiceren over de implicaties van het gebruik van hun dienst. Dan kunnen potentiële klanten tenminste een goede afweging maken van alle voor- en nadelen.
Heldere samenvatting, Raoul. Dit onderwerp wordt natuurlijk steeds belangrijker nu steeds meer bedrijven en organisaties kiezen voor clouddiensten.
Na het lezen van de notitie heb ik mijn constateringen en tips ook even samengevat, en ik kwam op ongeveer hetzelfde uit als jij. Voor de duidelijkheid heb ik deze op ons blog geplaatst, inclusief antwoorden op de meeste vragen die jij stelt: http://blog.viadesk.nl/nieuws/gegevens-in-amerikaanse-of-nederlandse-cloud-checklist/
Het zou mooi zijn als er een onafhankelijk overzicht was van hoe verschillende Nederlandse, Europese en Amerikaanse clouddiensten scoren op deze criteria. Voelt iemand zich geroepen?
Goed dat het onderwerp leeft, en iedereen met goede suggesties komt. In de reacties zie ik meer overeenkomsten dan verschillen
.
@Maudy
. Bij WorkVoices inventariseer ik momenteel verschillende cloudiensten op genoemde criteria, omdat klanten er om vragen. Ik zal hier t.z.t. op Frankwatching verslag van doen.
Angst zou ik willen vervangen door bewustwording. Ik zou aan dit laatste graag een steentje bij willen dragen omdat ik zie dat genoemde elementaire vragen nu niet worden gesteld. Dit vind ik raar omdat de meeste bedrijven in hun ICT beleid wel aangeven hoe ‘veilig’ ze met data om willen gaan. Een uitkomst van de checklist kan zijn dat een bedrijf met reden kiest voor ‘Amerikaanse’ clouddiensten. Prima, daar is dan over nagedacht. Verder helemaal eens met je opmerking over eigen verantwoordelijkheid. Mijn ding.
@Roel
Goed om te lezen dat ik het bij het rechte eind had, die paar jaar rechtenstudie betaald zich nu gelukkig uit.
Goed weekend!
Mooi voorbeeld van een conflict tussen 2 Nederlandse partijen om een Nederlandse afbeelding op een Nederlandse server. Eigenaar van een publieke dropbox houdt kopie in bestand en wordt volgens Amerikaans recht aangepakt.
http://www.nu.nl/internet/2966391/nederlands-screenshot-offline-gehaald-via-amerikaans-recht.html