Innovatie & Strategie
Hoogleraren maken gehakt van nieuwe cloudkoers kabinet
Onvoorzichtig, slecht getimed, kritische rapporten negerend, en naïef.
Onvoorzichtig, slecht getimed, kritische rapporten negerend, en naïef.
Het recente besluit van de regering om overheidsgebruik van commerciële clouds toe te staan, onder strikte voorwaarden, wordt afgekraakt door experts. Naast een door AG Connect gesproken hoogleraar en de Nederlandse grondlegger van de Apache-opensourcestichting uiten nu ook twee andere deskundigen forse kritiek op deze wijziging in het cloudbeleid van en voor de Rijksoverheid. Zij spreken in de Volkskrant van naïviteit. "Onze overheid moet haar kostbare data niet klakkeloos uitleveren aan Google en Amazon."
"Staatssecretaris Van Huffelen stelde deze zomer voor alle overheidsdata op Amerikaanse servers op te slaan. Ze meent met tech-reuzen afspraken te kunnen maken over privacy, veiligheid en toegankelijkheid. Dat is naïef", stellen hoogleraren Bart Jacobs en José van Dijck. In hun opinie-artikel in de Volkskrant vandaag uiten ze ook teleurstelling. "Net toen we dachten dat we met een staatssecretaris voor Digitalisering écht meters gingen maken met het inrichten van een verantwoorde digitale samenleving op basis van publieke waarden, kwam de eerste tegenvaller."
En die tegenvaller is dus de permissie van de overheid voor zichzelf om clouddiensten van commerciële bedrijven te gebruiken. Wat in de praktijk nogal neerkomt op clouds van bedrijven uit de Verenigde Staten, waarbij meespeelt dat de Amerikaanse regering zichzelf heeft gemachtigd om data te kunnen vorderen ongeacht waar die is opgeslagen. "Overheidsinstanties, met uitzondering van Defensie, mogen voortaan hun data in de commerciële cloud van Amerikaanse bedrijven zetten. Tot nu toe mochten zij alleen eigen clouddiensten gebruiken", schrijven Jacobs en Van Dijck.
Nóg afhankelijker
Zij zijn respectievelijk hoogleraar cybersecurity aan de Radboud Universiteit Nijmegen en universiteitshoogleraar media en digitale samenleving aan de Universiteit Utrecht. Beiden zijn al jaren bezig en begaan met verstrekkende, fundamentele thema's als cybersecurity en privacy, ICT-afhankelijkheid en soevereiniteit. Zo heeft Van Dijck begin 2020 al aan AG Connect haar zorgen geuit over de door corona florerende techreuzen en onze afhankelijkheid daarvan. "We zijn nóg afhankelijker geworden."
Naast software, ICT-dienstverlening en telecommunicatie spelen cloud en internetinfrastructuur daarbij ook een bepalende rol. Eerder deze maand al heeft AG Connect tech-expert en Apache-grondlegger Dirk-Willem Van Gulik gesproken over de nieuwe cloudkoers van het kabinet. Hij vindt het toestaan van commerciële clouds voor overheidsgebruik géén goed idee, net zoals hoogleraar ICT & Recht Frederik Zuiderveen Borgesius van de Radboud Universiteit. Zowel juridisch en technisch als ook politiek-bestuurlijk en qua digitale soevereiniteit zijn er beren op de weg, gaven deze twee deskundigen al aan.
'Gebrek aan visie'
Van Gulik laakt het gebrek aan visie van de Nederlandse overheid. "Er zijn in Nederland en in Europa bedrijven die een cloud kunnen ontwikkelen van hoog niveau. De vraag is of er in Nederland voldoende visie en beleid is om diensten te ontwikkelen die op het niveau van Nederlandse infrastructuur kunnen leveren, zoals de Deltawerken en de wegenbouw."
Jacobs en Van Dijck hekelen nu de koers die is uitgezet in de Kamerbrief van staatssecretaris Alexandra van Huffelen. Die bewindsvrouw voor digitalisering schreef daarin eind augustus dat werken in de cloud inmiddels veilig is en vooral ook efficiënt en goedkoop. "De gedachte is dat zolang we goede afspraken met ze maken over privacy, we met onze overheidsdata goed zitten bij Microsoft, Google en Amazon", duiden de twee hoogleraren.
Slechte timing
Zij pareren echter dat dit beleid onvoorzichtig is qua timing en wijzen daarbij op twee relevante rapporten die zeer recent zijn verschenen. Ten eerste de memo van advocatenkantoor Greenberg Traurig over de Amerikaanse Cloud Act. Die memo is opgesteld voor het Nationaal Cyber Security Centrum (NCSC) van het Nederlandse ministerie van Justitie en daar sinds mid augustus openlijk te lezen. Dit document geeft aan dat er geen enkele ruimte voor twijfel is wat betreft de veiligheid van Nederlandse overheidsdiensten in clouds van Amerikaanse aanbieders. Er zijn praktisch gezien geen garanties te geven, schrijft ook het NCSC naar aanleiding hiervan.
"Onder de Cloud-Act (de Clarifying Lawful Overseas Use of Data Act uit 2018 die ook op Nederland van toepassing is) mogen je gegevens door de Amerikaanse overheid worden opgevraagd zonder dat jij of bijvoorbeeld je werkgever daarvan op de hoogte zijn." Daaruit volgt dan dat Nederlandse overheden dus nooit kunnen voldoen aan de Algemene verordening gegevensbescherming (AVG) als ze privacygevoelige data opslaan in of verwerken via clouds van Amerikaanse herkomst.
Cloudmonopolisten
Mogelijk nog zorgwekkender is het tweede rapport waar staatssecretaris Van Huffelen volgens de kritische hoogleraren aan voorbij gaat. Dat is de Marktstudie Clouddiensten die is uitgevoerd door de Autoriteit Consument en Markt (ACM). Dit rapport is begin september uitgekomen en toont aan dat de Amerikaanse techreuzen Amazon, Google en Microsoft de cloudmarkt nagenoeg volledig in handen hebben.
"En hoewel hun clouddiensten op het eerste gezicht competitief en goedkoop lijken, waarschuwt de ACM dat overstappen van de ene naar de andere dienst moeilijk, zo niet onmogelijk is, tenzij de gebruiker bereid is daar flink voor te betalen. Betalen doe je namelijk vooral om je data er weer uit te halen, en dat zijn kosten die Nederlandse instellingen en overheden meestal niet incalculeren", waarschuwen hoogleraren Jacobs en Van Dijck. Hetzelfde valt te zeggen voor het combineren van meerdere clouds van verschillende leveranciers. En ook dan is vastzitten nog mogelijk. De kosten van een cloudexit zijn al jaren wel bekend in de IT-wereld, waar AG Connect begin 2016 al tips voor gaf.
Verder verstrikt in het web
In het recente ACM-rapport wordt nog een bijkomende complicatie aangestipt. Namelijk de 'zuigwerking' van clouddiensten. Wanneer een organisatie (bedrijf of overheidsinstantie) eenmaal effectief gevangen zit in de cloudomgeving van één Amerikaanse aanbieder raakt die klant "steeds verder ingesponnen in dat dienstenweb". Jacobs en Van Dijck wijzen op gebrekkige interoperabiliteit en dataportabiliteit als "de belangrijkste redenen waarom gebruikers van Big Tech-clouddiensten grote kans lopen op volledige afhankelijkheid, een zogenoemde vendor lock-in". In de zomer van 2017 is dit al eens aangekaart door AG Connect, bij monde van onderzoeksbureau Forrester.
De Nederlandse overheid lijkt hier niet goed oog voor te hebben en vanuit de Europese overheid valt voorlopig ook geen soelaas te verwachten, menen de twee criticasters. "De EU Data Act, die op dit moment in de maak is in Brussel, schiet vooralsnog tekort om technische en financiële overstapdrempels tussen clouddiensten te slechten, laat staan om open standaarden af te dwingen."
'Onbegrijpelijk, naïviteit'
"Alleen al deze twee rapporten maken van Van Huffelens aanmoediging van Nederlandse overheden om eigen servers in te ruilen voor Amerikaanse publieke clouddiensten, onbegrijpelijk. Haar optimisme dat je door stevig onderhandelen met Google, Microsoft en Amazon wel degelijk afspraken kunt maken over privacy, veiligheid en toegankelijkheid, getuigt van een merkwaardige naïviteit."
Het hebben van alleen afspraken over de waarborging van privacy zijn onvoldoende, betogen Jacobs en Van Dijck. Dat stellen zij niet alleen, maar is de afgelopen jaren al meermaals gebleken. Onder meer met trans-Atlantische afspraken zoals de Safe Harbor Agreement tussen de EU en de VS, plus het daarna gauw opgetuigde Privacy Shield. Beide zijn ongeldig verklaard op juridische gronden en uiteengespat.
Techjournalist, ICT-kenner en contentproducent bij AG Connect.
Versleuteling (al dan niet met sleutels in eigen beheer) klinkt leuk, maar houd er maar alvast rekening mee dat op niet al te lange termijn de huidige versleuteltechnieken vrij eenvoudig zijn te ontsleutelen. Dit door voortschrijding der techniek.
Ruud, je doet een aanname dat wat in de Patriot Act gold, ook geldt in de Cloud Act. Echter, de Cloud Act Memo geeft juist aan dat gebruik van je eigen sleutels een van de redenen is dat een Cloud provider niet in “possession, custody and control” van de data is en de Cloud Act niet van toepassing maakt. Natuurlijk is er eerst een jurisprudentie in de US nodig om te garanderen dat de advocaten van dat kantoor het bij het juiste eind hebben.
Los van dit alles is bij gebruik van privacy data en helemaal bijzondere privacy data verstandig om je eigen sleutels te gebruiken bij gebruik van publieke IaaS- en PaaS-diensten. Die mogelijkheid moet natuurlijk wel aangebonden worden door de Cloud provider, maar dat gebeurd wel steeds meer. Bij SaaS-diensten zal dat een stuk moeilijk zijn.
Bij dit beleid hoeft ook niet meer moeilijk gedaan te worden over privacy als het gaat om een onderzoek naar oversterfte. De Tweede Kamer had daarom gevraagd, maar de data worden niet beschikbaar gesteld.
Tom, In de voormalige Patriot Act was voldoende dat de provider bij de informatie kon komen (“possession, custody and control” had). Formele rechten op data waren niet relevant evenmin trouwens of de data in de VS of Europa waren opgeslagen. Dat is, voorzover ik weet, in de huidige Cloud Act allemaal nog steeds zo. Aangezien VS providers hoge boetes kunnen belopen en zelfs gevangenisstraf kunnen krijgen als ze niet aan op de Cloud Act gebaseerde vorderingen voldoen, is bovendien de vraag of ze desalniettemin bereid zijn mee te werken aan de opslag van data waarvan op voorhand is uitgesloten dat ze desgevorderd daadwerkelijk (dwz in een betekenisvolle vorm) aan hun overheid kunnen worden verstrekt.
Als ik hetgeen in de laatste alinea op pagina 3 en begin pagina 4 van Cloud Act Memo goed lees, dan zou het versleutelen van de data in de public Cloud met je eigen keys het risico van het opvragen van je data aan je Cloud provider door een Amerikaanse overheidsinstantie minimaal zijn, daar je Cloud provider zelf niet bij de eigenlijke data kan en in dat geval de gevraagde gegevens niet bezit, controleert of in bewaring heeft. In dat laatste geval vallen de gegevens niet binnen het bereik van de Cloud Act. Zolang de data dan fysiek binnen de EU opgeslagen wordt, zou ik denken dat je gewoon AVG compliant kan zijn.
Die kritiek van Jacobs en Van Dijck is terecht. “Probleempje” is echter dat Van Huffelen zelf nauwelijks iets weet van IT, daarop dus ook geen beleidsvisie kan hebben en bijgevolg volledig afhankelijk van de adviezen van haar ambtenaren zo die al wel terzake deskundig zijn. De werkelijkheid is dat diverse Amerikaanse overheidsdiensten wettelijk toegang hebben tot alle in de cloud opgeslagen informatie die toegankelijk is voor Amerikaanse Cloud providers. Enige garantie, zo die van MS, Google en Amazon sowieso al geloofwaardig zou zijn, dat dat hier anders zal zijn kunnen kunnen die bedrijven dus eenvoudig niet geven. Overigens was dat jaren geleden exact de reden waarom toen nadrukkelijk werd gekozen voor een eigen Nederlandse overheidscloud.
Nieuwe verkiezingen?
Ik heb het idee dat niemand hier ook maar enige kennis heeft genomen van de juridische achtergrond van het besluit, de voorwaarden waaronder je wel een niet in de cloud mag, en hoe, en dergelijke.
En dat er vooral een campagne wordt gevoerd door mensen die graag zelf die data zouden beheren.
Het is echt niet zo dat men binnen de overheid nu maar de staatsgeheimen in een dropbox mikt. Wat een ongelooflijk naïef idee.
Hier is een tip voor de redactie: vraag eens na wat de voorwaarden zijn om iets in een cloud te mogen zetten, en in welke dan? Begin maar te googelen op "SLM Rijk".
Misschien moeten we potentiële ministers eerst een test laten afleggen over het gebied waar ze verantwoordelijk voor zijn. Ik bedoel maar: het is je job als een ander en je laat je boekhouding toch ook niet doen door je lifecoach? Iets eenvoudig als "noem 3 versies van windows" of "zou je de informatie van alle Europeanen toevertrouwen aan een buitenlandse mogendheid".