Management

Cloud

Privacy blijft heet hangijzer

29 maart 2012

De regelgeving met betrekking tot bescherming van persoonsgegevens is niet erg overzichtelijk. Nationale, Europese, Amerikaanse en andere wetgeving wijken van elkaar af. Bovendien is regelgeving op dit gebied sterk in beweging. De herziening van de Europese privacyrichtlijn blijft onderwerp van discussie. Het is dan ook niet eenvoudig om een per definitie grensoverschrijdend fenomeen als de cloud in landelijke wetgeving te vangen.

Europa

De Wet Bescherming Persoonsgegevens is gebaseerd op de Europese privacyrichtlijn en zegt dat je geen privacygevoelige gegevens mag doorgeven buiten de Europese economische ruimte (de EU plus IJsland, Noorwegen en Liechtenstein). Deze wetgeving dateert van 1995 en is gericht op point-to-point doorgifte, wat onvoldoende toepasbaar is op de huidige situatie. Als je bijvoorbeeld overweegt om je e-mail, contactpersonen en agenda's onder te brengen in de cloudomgeving van Google Apps, moet je weten dat die data onze landsgrenzen overschrijdt. Dat zou al direct in strijd kunnen zijn met de Europese privacyrichtlijn. De gegevens mogen alleen in andere landen terechtkomen, als die dezelfde wettelijke bescherming bieden als de EU. Dat houdt in dat die gegevens bijvoorbeeld niet in de Verenigde Staten terecht mogen komen, omdat de wetgeving daar privacygevoelige informatie aanmerkelijk slechter beschermt.

Patriot Act

Die Amerikaanse wetgeving is er bepaald niet privacyvriendelijker op geworden sinds de zogeheten Patriot Act in 2003 van kracht werd. Met deze wet in de hand heeft de Amerikaanse overheid zonder rechterlijke toestemming toegang tot alle data die binnen de landsgrenzen is opgeslagen. Dat geldt dus ook voor de servers van internationaal opererende hosting- en cloudproviders. Google is zijn toezegging om voor zijn Europese Apps-klanten een Europese cloud te realiseren tot nog toe niet nagekomen. Ook al is alle informatie verregaand versleuteld, de data blijven op Amerikaanse bodem. Sterker nog, Google garandeert de Amerikaanse overheid dat de data in de VS blijven. Bovendien bevindt de encryptiesleutel zich ook in de VS. Hosting en cloudprovider Rackspace biedt flexibele, inhuurbare server- en opslagcapaciteit. Rackspace heeft wel een afzonderlijke Europese cloud gemaakt voor zijn Europese klanten. Alle data bevinden zich geografisch in twee datacentra in Londen.

Safe Harbor Agreement

Om de verschillen in wetgeving tussen de continenten te ondervangen is er tussen de EU en de VS een overeenkomst gesloten: de Safe Harbor Agreement. Deze overeenkomst moet voorkomen dat de asynchrone privacywetgeving in de EU en de VS ernstige belemmeringen zou opwerpen in het economische verkeer. De bij Safe Harbor aangesloten Amerikaanse bedrijven onderschrijven de zeven principes in deze overeenkomst en verklaren dat ze - waar het hun Europese klanten betreft - bij de bescherming van de privacy de Europese regels in acht zullen nemen. Het is mooi dat organisaties als Google en Salesforce.com zich committeren aan Safe Harbor. Alleen biedt dat maar beperkte veiligheid. Dat komt omdat het niet verplicht is Safe Harbor door een derde partij te laten certificeren. Het is dus een belofte zonder zekerheden. In de tijd dat de Amerikaanse overheid jacht maakte op WikiLeaks-servers, werden de Safe Harbor-beloftes van onder meer Amazon. com zonder pardon geschonden. Dit geeft toch weinig vertrouwen. Het is dat ook niet verwonderlijk dat de Safe Harbor Agreement binnen de EU al enige tijd onder vuur ligt.

De risico’s

Al met al bestaat wel de intentie om de privacyregels te respecteren, maar zekerheden zijn er niet. Zelfs in het geval van Rackspace moet het noodgedwongen blijven bij verbale garanties dat data de EU niet zullen verlaten. Iedereen weet dat één muisklik volstaat om de boel binnen één seconde over te bliepen naar Boekarest, Moskou of Hong Kong, of dat partijen van over die EU-grenzen al dan niet bedoeld kunnen meekijken in die data. Daar is vooralsnog geen waterdichte controle op uit te oefenen. De gevolgen van het niet voldoen aan de regels op dit gebied zijn niet mals. Bedrijven die in strijd handelen met de privacyregelgeving, kunnen reputatieschade oplopen. Alsof dat niet al genoeg is, kan het College Bescherming Persoonsgegevens ook nog eens een dwangsom opleggen aan een organisatie die slordig omspringt met persoonsgegevens. Anderzijds betogen sommige kenners dat de risico’s in wezen niet anders zijn geworden met de komst van cloud computing. Ongeacht of men data ouderwets opslaat op papier of in een geavanceerde cloudoplossing, beide vereisen de basale beveiligingsactiviteiten, zoals wachtwoorden, autorisaties enzovoort.

Datalekken

Niet alleen de privacywetgeving in verband met cloudcomputing komt in aanmerking voor verbetering. Dat geldt evenzeer voor iets als het melden van datalekken. Een berucht voorbeeld is de digitale inbraak bij DigiNotar, een Nederlandse commerciële certificaatautoriteit. Hoewel men wist dat een hacker in juni 2011 valse certificaten had uitgegeven, werd daar geen melding van gemaakt. Door dit datalek te verzwijgen verloor DigiNotar het vertrouwen van de overheid, waarna faillissement volgde. Er is wetgeving in de maak die regelt dat datalekken aan de klant worden gemeld. Tot die tijd kunnen bedrijven die hun beveiliging niet op orde hebben, dankbaar gebruik maken van de doofpot.

Heft in eigen hand

Blijft de vraag: in hoeverre kun je de cloud gebruiken als jouw organisatie absoluut compliant moet zijn aan de Europese regelgeving? Uiteindelijk blijft een organisatie zelf verantwoordelijk voor het naleven van de wet, hoeveel er ook is uitbesteed. Tot op zekere hoogte kun je als bedrijf natuurlijk het heft in eigen handen nemen. Bijvoorbeeld door er zelf op toe te zien dat een aanbieder de gegevens ook daadwerkelijk voldoende beveiligt. Dat kun je doen door als klant een onafhankelijke partij opdracht te geven audits uit te voeren. Een andere optie is om alleen gegevens met een laag risicoprofiel in de cloud te zetten en echt privacygevoelige informatie in huis te houden, bijvoorbeeld in een private cloud. Deze vorm is voor veel ondernemingen een eerste toepassing van cloudcomputing. Encryptie van de data werpt uiteraard ook weer een extra barrière op voor kwaadwillenden. Des te merkwaardiger is het om te zien hoe weinig encryptie nog wordt gebruikt. Belangrijk is het sluiten van een goed contract met de aanbieder. Neem bijvoorbeeld geen genoegen met de nogal gemakzuchtige verzekering dat er qua informatiebeveiliging aan bepaalde normen wordt voldaan. Niet alleen schrijft de wet voor dat je de beveiliging contractueel moet regelen, maar ook dat je zelf de uitvoering daarvan controleert. Zo kun je bijvoorbeeld de locatie waar de data is opgeslagen contractueel vastleggen. Niet dat dit nu de gewenste zekerheden biedt, maar je kunt er wel je selectieproces mee versterken. Partijen die de locatie van de data niet in het contract willen opnemen vallen af. Regel in het contract ook de aansprakelijkheid voor het geval het toch fout gaat. Wettelijk blijft de verantwoordelijkheid bij jezelf, maar met dit contract in de hand kun je in ieder geval eventueel financiële gevolgen op het conto schrijven van de aanbieder van de clouddienst.

Aanverwante zorgen

Naast de zoektocht naar compliancy op gebied van privacyrichtlijnen zijn er nog andere haken en ogen aan cloudcomputing. Zo is het in een cloudomgeving niet vanzelfsprekend dat je altijd toegang hebt tot je eigen gegevens. Onlangs blokkeerde Facebook bijvoorbeeld de mogelijkheid om vriendenlijsten te exporteren naar concurrerende toepassingen, zoals Google+. Dit ogenschijnlijk onschuldige voorbeeld toont aan dat de controle over de toegang tot eigen gegevens bij de cloudaanbieder ligt. Een ander punt van zorg is de vrijheid van informatievergaring. Aanbieders kunnen op hun clouds namelijk filters aanbrengen. Je krijgt dan uitsluitend of hoofdzakelijk informatie te zien die volgens de aanbieder relevant is voor jou. Hiervoor wordt business intelligence software gebruikt. Een soort kunstmatige intelligentie dus die jouw voorkeuren, wensen en interesses in patronen vastlegt. Google past een dergelijk filter toe bij zoekopdrachten, waardoor verschillende mensen op basis van een identieke zoekopdracht afwijkende resultaten krijgen voorgeschoteld. Misschien is dit handig enerzijds, maar anderzijds is het beperkend en betuttelend. Een derde zorgelijke ontwikkeling is het feit dat democratische controlemechanismen de snelheid van technologische ontwikkelingen niet kan bijbenen. Activisten en klokkenluiders als Julian Assange beweren dat machtige ondernemingen en politieke elites hier misbruik van zullen maken, of dat al doen.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!