Communicatie en data in de cloud: hoe beperk je de risico’s?

0

Nadat Minister Spies het Amerikaans ‘datagraaien’ eind augustus nog makkelijk kon wegwuiven met; “er wordt door overheidsinstanties ‘geen vertrouwelijke informatie gedeeld’ op Yammer”, is dit weekend de veiligheid van de Nederlandse cloud weer op de politieke agenda verschenen.

Directe aanleiding tot deze ophef is het rapport van het Instituut voor Informatierecht (IVIR) dat haarfijn de zwakke rechtsbescherming van Nederlandse bedrijven blootlegt. IVIR komt tevens met de ontluisterende constatering dat communicatie en data in Amerikaanse handen niet transparant is. In dit artikel de hoofdpunten uit het rapport, die relevant zijn voor Nederlandse bedrijven in de cloud.

Cloud provider actief in de VS?

Toegang van Amerikaanse veiligheidsdiensten tot gegevens op internet is sinds de Patriot Act geen nieuw gegeven meer. De Amerikaanse wetgeving biedt veiligheidsdiensten ruime mogelijkheden om communicatie en data uit de cloud op te vragen. Uncle Sam watching youDe toegang is laagdrempelig en in het geheel niet transparant. Het opvragen van communicatie en data vindt in het grootste geheim plaats en wordt niet gerapporteerd. Het maakt in deze niet uit of de gegevens in de VS zijn opgeslagen of niet.

Zodra je cloud provider ‘activiteiten’ ontplooit in de VS, of een onderdeel is van een in de VS gevestigde onderneming, kunnen gegevens altijd direct worden opgevraagd. Rechtstreeks via de Amerikaanse vestiging van de cloud provider of indirect via de haar toeleverende bedrijven zoals een backup-dienst.

Cloud in de VS, rechtsbescherming zwak!

Ook de privacybescherming in de VS is fundamenteel anders geregeld dan in Europa en beantwoort niet het niveau van afspraken, die Europese lidstaten hebben gemaakt in het Europees Verdrag tot bescherming van de Rechten van de Mens (EVRM). Bovendien is de mindere rechtsbescherming in de VS alleen van toepassing op Amerikanen zelf, de positie van niet-Amerikanen is nog zwakker. Deze rechtsbescherming is wel aanwezig als Amerikaanse veiligheidsdiensten opvragingen onder Nederlandse wetgeving dienen uit te voeren, omdat de cloud provider geen activiteiten in de VS heeft. Met de opmerking “Nederlandse gebruikers van clouddiensten genieten vanuit Amerikaans juridisch perspectief dezelfde grondrechtelijke bescherming als Noord-Koreanen,” vatten de onderzoekers de zwakke rechtsbescherming cynisch samen.

Beperken van de risico’s, een cloud checklist!

De risico’s voor de privacy en informatieveiligheid zullen aanzienlijk kleiner zijn als communicatie en data worden opgeslagen bij Nederlandse of Europese partijen, die geen banden hebben met de VS. Met een groot deel van de (populaire) cloud providers ‘actief’ in de VS, is dit nog een lastige opdracht, maar zeker niet onmogelijk. Een belangrijke stap die vooraf gaat aan de keuze voor een cloud provider, is een risicoinventarisatie, waardoor een weloverwogen besluit kan worden gekomen. Stel je daarom vooraf een aantal relevante vragen;

  1. Valt de cloud provider of delen van zijn dienstverlening (bijvoorbeeld back ups) onder Amerikaanse jurisdictie?
  2. Hoe is het verwijderen van gegevens in de cloud georganiseerd? En wat gebeurt er met de in de cloud verwerkte data in geval van faillissement of overname van de cloud provider of ontbinding van overeenkomst?
  3. Is het mogelijk om een specifieke contractuele beperking op te nemen voor het geval dat de cloud provider wordt overgenomen?
  4. Vraag de cloud provider om medewerking bij het maken een goede risicoanalyse en categoriseer de verschillende soorten gegevens, die zouden kunnen worden opgevraagd door de veiligheidsdiensten (transparantie!).
  5. Ontwerp een decentrale en gefragmenteerde opslag, zodat gegevens niet makkelijk in zijn geheel opvraagbaar zijn en overweeg voor bijzonder vertrouwelijke communicatie en data versleuteling.

Jullie nog suggesties?

Beantwoording van bovenstaande vragen zorgen er tevens voor dat een ‘lock-in’ bij je cloud provider wordt voorkomen en een exit altijd een reële optie blijft. Wellicht zijn er meer maatregelen mogelijk en nodig, aanvullingen zijn altijd welkom en lees ik graag in de reacties hieronder!