Management
Teams, Onedrive en Sharepoint onveilig voor Rijk en onderwijs
Microsoft-versleuteling voldoet niet volgens Privacy Company.
Microsoft-versleuteling voldoet niet volgens Privacy Company.
Rijksoverheid, SURF en Nederlandse hogescholen en universiteiten mogen clouddiensten van Microsoft niet gebruiken voor de uitwisseling of opslag van gevoelige of bijzondere persoonsgegevens. Dat is de althans uitkomst van een DPIA in opdracht van de betrokken organisaties. Met mogelijk grote gevolgen.
De uitkomsten van eerdere ‘data protection impact assessments' (DPIA’s) die werden uitgevoerd voor diensten van Microsoft en Google waren in het verleden een voorbode voor zware onderhandelingen tussen het Rijk en de onderwijswereld met techreuzen, waarbij die laatste partijen vaak flink moesten aanpoten om aan de eisen te voldoen. Deze keer lijkt het wegnemen van alle risico’s moeilijk te worden: de organisaties zullen zelf aan de slag moeten met zelf versleutelen van data, zo blijkt uit een blog van Privacy Company.
Bij de DPIA werd gekeken naar welke risico’s er spelen bij het gebruik van de clouddiensten van Microsoft voor Rijksoverheid en hogescholen en universiteiten. Microsoft heeft naar aanleiding van die conclusies alvast maatregelen genomen om zes grote risico’s te verhelpen. Eén risico kan niet worden weggenomen: het lijkt niet mogelijk uit te sluiten dat de Amerikaanse inlichtingendiensten Microsoft op basis van wetgeving kunnen dwingen data te overhandigen. De aanbeveling van Privacy Company is daarom dat de genoemde organisaties de diensten van Microsoft niet mogen gebruiken voor de uitwisseling of opslag van gevoelige en bijzondere persoonsgegevens.
Zelf data versleutelen
Om alle risico’s weg te nemen moeten Rijksoverheid en hogescholen en universiteiten gevoelige data alleen verwerken of opslaan als de inhoud versleuteld wordt met eigen sleutels. “Dit komt door het hoge risico van mogelijke toegang tot die gegevens vanuit de Verenigde Staten. Dit risico blijft ook bestaan als Microsoft vanaf volgend jaar vrijwel alle persoonsgegevens van haar Europese zakelijke klanten exclusief in Europese datacentra verwerkt”, stelt Privacy Company.
Het risico wordt bovendien niet verholpen als het Amerikaanse bedrijf alle data van Europese inwoners exclusief in Europese datacenters verwerkt, wat vanaf volgend jaar moet gebeuren. Omdat Microsoft een Amerikaans bedrijf is blijven risico’s bestaan, zelfs wanneer de gegevens uitsluitend in de EU worden verwerkt en opgeslagen, omdat gegevens kunnen worden gevorderd via Amerikaanse wetgeving zoals de Cloud Act.
Ook de encryptie die door Microsoft wordt toegepast op de gegevens van klanten tijdens transport via internet en bij opgeslagen bestanden nemen risico’s niet volledig weg, zolang Microsoft door de Amerikaanse overheid gedwongen kan worden gegevens te verstrekken. Europese organisaties die maatregelen willen nemen, moeten volgens Privacy Company een eigen versleuteling gebruiken waartoe ook Microsoft geen toegang heeft.
Autoriteit Persoonsgegevens
Het is nog onduidelijk in hoeverre overheidsorganisaties en onderwijsinstellingen de aanbevelingen van Privacy Company zullen doorvoeren. De Autoriteit Persoonsgegevens onderzoekt de gegevensverwerking momenteel en velt naar verwachting eind 2022 een oordeel. Privacy Company geeft aan dat voor deze DPIA de doorgifterisico's ‘streng zijn beoordeeld’.
Het onderzoek naar Microsoft in opdracht van het Rijk en de onderwijswereld komt niet uit de lucht vallen. Zo werden er in 2019 al nieuwe afspraken gemaakt met Microsoft over de privacyvoorwaarden van zo’n 300.000 digitale werkplekken bij het Rijk. SURF stelde dezelfde voorwaarden voor de Nederlandse hogescholen en universiteiten. Ook Amerikaanse techgigant Google moest na druk vanuit de onderwijswereld en het Rijk om tafel om tot nieuwe afspraken te komen over de gegevensbescherming van scholieren en voor rijksambtenaren. De onderhandelingen werden iedere keer opgestart na onderzoek van Privacy Company en een later volgend advies van de Autoriteit Persoonsgegevens.
De volledige DPIA van Privacy Company is hier te lezen.
Too little, too late lijkt al jaren het motto opeenvolgende regeringen. Er lijken maar weinig besluiten genomen te worden met een visie waar we als NL over 10, 20 en 30 jaar willen zijn en om met dat als leidraad ook te handelen. Momenteel zijn lijken we alleen bezig om de struisvogelkoppen van de afgelopen 20 jaar op te graven.
Ten tijde van de Patriot Act, waren eigenlijk alle instanties in europa zeer terughouden met het gebruik van data bij diensten van Amerikaanse bedrijven. Dat kostte de Amerikanen geld. Daar houden ze niet van. De regels zijn toen veranderd, met de Cloud Act, zodat 'hun' bedrijven weer geld konden verdienen in Europa. Let op: dit vinden ze echt heel belangrijk, het gaat hier om een enorme markt.
Maar waar staan we nu: het gebruik van amerikaanse cloud diensten kan wél, als we maar veel geld uitgeven aan het sgn. double-key-encryption. Een dure oplossing die het 'kostenprobleem' nu bij de gebruiker legt.
Dit lijkt mij de minst wenselijke oplossing voor dit probleem. De europese unie moet harder inzetten op juridisch sluitende afspraken met de V.S. om dure, schijnveilige oplossingen te kunnen voorkomen.
We hebben de boot gemist, maar er is nog hoop
Het is boeiend om te zien dat overheden eerst allerlei wetgeving bedenken en pas later, veel later, gaan kijken hoe ze die moeten vertalen in de praktijk. Hét voorbeeld is de AVG/GDPR. Het beschermen van individuele privacy is een groot goed en Europa kan terecht trots zijn op wat op dit punt bereikt is. Maar de bescherming van de collectieve privacy, vertaald in de grootschalige verwerking van vertrouwelijke gegevens door of namens de overheid, zou minstens evenveel, zo niet veel meer aandacht moeten krijgen. En dat is een deel van de problematiek die nu speelt. Wat velen al wisten wordt via deze DPIA kennelijk nogmaals aangetoond: een groot deel van het van onze vertrouwelijke data wordt via niet-AVG compliant omgevingen en op een niet-AVG compliant wijze verwerkt. En dat met medeweten en soms in opdracht van de overheid en niet een of ander schimmig particulier bedrijfje. Op papier geen probleem: we hebben immers verwerkersovereenkomsten en BCR’s. Maar daarmee is het echte probleem niet opgelost.
Een weg terug is er feitelijk niet: AWS, Microsoft, Google enz. zitten in de haarvaten van onze samenleving inclusief de overheid. Te laat hebben we werk gemaakt van de praktische vertaling van die mooie wetgeving. We hebben gewoon de boot gemist op dit gebied. Maar dat betekent niet dat we het hoofd in de schoot moeten werpen. De overheid is hier echt aan zet. We hebben het dan vooral over de digitale infrastructuur: waar worden onze vertrouwelijke gegevens opgeslagen, wie verwerkt ze en wie heeft er toegang toe? Dat proberen we achteraf op te lossen met allerlei juridische constructies, terwijl we technische oplossingen hebben die veel meer effect sorteren en allerlei juridisch priegelwerk kunnen voorkomen. Er wordt heel veel gepraat, er zijn veel beleidsnota’s en visiedocumenten, maar die ontberen samenhang en goede afstemming. Er zijn standaarden die we moet toepassen en als we dat niet doen dat moet de non-compliance worden uitgelegd. Signalen die regelmatig opkomen uit de praktijk worden met interesse waargenomen en eindigen te vaak in de vele bureaulades van een verkokerd overheidsapparaat. Het is wachten op een corona-achtige crisis om deze vastgelopen situatie vlot te trekken.