Privacy in de cloud . . . garantie tot aan de grens

Privacy in de Cloud

Privacy in de Cloud

Naarmate meer gegevens worden verwerkt en opgeslagen in cloudomgevingen wordt aandacht voor bescherming van die gegevens steeds belangrijker. Bij cloudoplossingen is zekerheid over de veiligheid van data echter moeilijk te geven omdat het vrijwel onmogelijk is te bepalen wat de fysieke locatie van data is. Derhalve is ook niet duidelijk welke wet- en regelgeving van toepassing is. Het is zelfs de vraag of het überhaupt mogelijk is data in de cloud af te schermen voor ‘vreemde ogen’.

Door Rolf Kuijpers

Sinds Edward Snowden aan het licht bracht dat de Amerikaans overheid met behulp van het programma PRISM inzage heeft in grote hoeveelheden persoonsgegevens, komen er steeds meer vragen over het gebruik en de inzet van clouddiensten. Met name afnemers van deze diensten zijn gespitst op de vraag hoe gegevens in een cloudomgeving beschermd worden. Hun klanten moeten er immers zeker van kunnen zijn dat hun privacy garandeerd is.

Verwijzen naar wet- en regelgeving is niet steekhoudend. Bijvoorbeeld de Wet Bescherming Persoonsgegevens (WBP) die in ons land van kracht is, biedt bij gebruik van clouddiensten onvoldoende garanties omdat cloudoplossingen altijd grensoverschrijdend zijn. Dat maakt het praktisch onmogelijk om te bepalen wat de fysieke locatie van data is. Derhalve is ook niet duidelijk welke wet- en regelgeving van toepassing is.

Weliswaar stellen alle overheden strenge eisen aan bescherming van persoonsgegevens, maar diezelfde overheden kunnen met een beroep op de nationale veiligheid hun wetgeving  terzijde schuiven en zich toegang tot privégegevens verschaffen. Dat geldt met name als gegevens worden overgedragen naar landen buiten de Europese Economische Regio (EER). Bijvoorbeeld de Amerikaanse Patriot Act dwingt bedrijven die een vestiging in de Verenigde Staten hebben om de overheid onbeperkt toegang tot gegevens te verschaffen.

Locatie van data

Bepalen van de locatie van data om op die manier vast te stellen welke regels van toepassing zijn is door de aard van cloudcomputing in de praktijk vrijwel onmogelijk. Het success van cloudoplossingen is namelijk van twee factoren afhankelijk: Schaalgrootte en betrouwbaarheid. Schaalgrootte moet tot efficiency leiden en daarmee tot reductie van kosten voor de afnemer. Daarnaast moet data beschikbaar, betrouwbaar en integer zijn.

Om schaalvoordelen te behalen, en daarnaast vertraging in het netwerk te voorkomen, is de technische infrastructuur van clouddiensten doorgaans sterk geografisch gespreid. Op haar beurt is de geleverde dienst zelf weer sterk geabstraheerd van de locatie van de infrastructuur. Hierdoor is voor een klant van een clouddienst nauwelijks te bepalen waar zijn gegevens op enig moment zijn. Bovendien zijn de meeste leveranciers van cloud oplossingen niet gecharmeerd van steeds weer nieuwe audits die elk een ander referentiekader als uitgangspunt hebben.

Beter is het daarom te onderkennen wat de risico’s zijn van cloudcomputing, hoe groot die risico’s zijn en hoe men desondanks toch op een veilige manier gebruik kan maken van clouddiensten.

Risico’s

Afnemers van clouddiensten dienen zich bewust te zijn van het risico dat gegevens die zij bij een cloudaanbieder opslaan toegankelijk kunnen zijn voor een andere dan de eigen overheid. Daarbij wordt vooral de Amerikaanse overheid genoemd, maar toegang tot privégegevens is geen exclusieve Amerikaanse bevoegdheid. Ook andere overheden zijn gerechtigd om zich toegang te verschaffen tot wettelijk beschermde gegevens. De bevoegdheden die dit mogelijk maken zijn niet nieuw, en bij de afwegingen hieromtrent dient men steeds voor ogen te houden hoe de risico’s zich verhouden tot de voordelen die het gebruik van clouddiensten met zich meebrengen.

Daarom verdient het aanbeveling om bij gebruik van diensten uit een cloudomgeving niet alleen het ‘of en hoe’ te overwegen, maar ook stil te staan bij de vraag bij welke aanbieder men aanklopt en in welke mate men diensten wil afnemen.

Andersom geldt voor aanbieders van clouddiensten dat het ook in hun belang is om bewust om te gaan met de risico’s die een klant bij hen loopt. Goede leveranciers zijn daarom over het algemeen graag bereid om mee te denken over oplossingen die tegemoet komen aan de bijzondere wensen van potentiële  klanten.

Voor zowel aanbieders als afnemers geldt dat ze voortdurend voor ogen moeten houden hoe de risico’s zich verhouden tot eventuele voordelen.

Privacy wetgeving

In grote lijnen kennen de meeste landen wetgeving aangaande privacy, en/of bescherming van persoonsgegevens. Deze wetgeving garandeert individuen het recht om sommige zaken voor zichzelf te houden. Daarnaast beoogt deze wetgeving dat betrokken personen controle kunnen uitoefenen op gegevens die anderen over hen bezitten. Tot slot bevat deze wetgeving regels voor het doorgeven van gegevens aan andere landen, vooral buiten de EER.

Naast privacywetgeving hebben verreweg de meeste landen ook wetgeving voor bescherming van algemene belangen en nationale veiligheid. Dat zijn wetten betreffende onderzoeken door toezichthouders en belastingdiensten en wetgeving rond de activiteit van inlichtingendiensten. Ze kennen bevoegdheden toe aan overheden om inbreuk te maken op de privacy van natuurlijke personen. Deze bevoegdheden zijn in alle landen met – sterk wisselende – waarborgen en controlemiddelen omkleed.

Voor Europese afnemers van clouddiensten is vooral belangrijk stil te staan bij privacywetgeving die verwerking van gegevens buiten de EER verbiedt.

WBP

Indien een in Nederland gevestigde organisatie gebruik maakt van een cloudaanbieder is bijna altijd de WBP van toepassing. Zelfs het eenvoudige opslaan van persoonsgegevens in een cloudomgeving valt al onder de reikwijdte van de WBP.

De WBP bepaalt dat persoonsgegevens door een verantwoordelijke of een door hem ingeschakelde cloudaanbieder in principe niet buiten de EER mogen worden verwerkt. Er is inmiddels een aantal modelcontracten in omloop waarin alle relevante bepalingen zijn vastgelegd die recht doen aan de regelgeving hieromtrent. Een andere oplossing om aan de eisen in de WBP te voldoen is om uitsluitend gebruik te maken van technische oplossingen zoals European Clouds. Dan is men er zeker van dat data nooit buiten de grenzen van Europa wordt opgeslagen en verwerkt. Daarnaast kan aan encryptie worden gedacht. Versleutelde data is doorgaans niet makkelijk te ontcijferen. Wel moet daarbij worden opgemerkt dat inmiddels berichten in omloop zijn waaruit blijkt dat overheidsdiensten in de Verenigde Staten dataencryptie makkelijk kunnen omzeilen.

Sowieso is het met het oog op de privacywetgeving belangrijk dat bedrijven zich bij het opstellen van een contract met een cloudaanbieder laten bijstaan door een expert op het terrein van privacybescherming. Deze kan er op toezien dat in het contract een aantal relevante rechten en verplichtingen worden opgenomen, waaraan beide partijen moeten voldoen.

US Patriot Act

De Patriot Act wordt vaak genoemd als dé grote bedreiging voor een veilig gebruik van clouddiensten. Kort gezegd hebben Amerikaanse autoriteiten de bevoegdheid bij cloudaanbieders opgeslagen gegevens te vorderen. Ook hebben deze diensten de bevoegdheid om technische apparatuur of software te installeren waarmee het gegevensverkeer onderschept kan worden.

Gegevens kunnen worden gevorderd van ieder bedrijf of van elke persoon die daarover ‘possession, custody or control’ heeft, ofwel iedereen die over deze gegevens kan beschikken. Het is dus niet direct relevant op welk grondgebied een Amerikaans bedrijf zijn gegevens opslaat.

Voor de uitoefening van een aantal van deze bevoegdheden is geen gerechtelijk bevel nodig. Soms hoeft er zelfs geen vermoeden van een misdrijf te bestaan of een bedreiging voor de nationale veiligheid. Bij de uitoefening van sommige bevoegdheden kan geheimhouding worden opgelegd aan de betrokken aanbieder, zodat de klant van die aanbieder niet op de hoogte mag worden gesteld van de daadwerkelijke toepassing van die bevoegdheden door de autoriteit.

Niet uniek

De hierboven beschreven situatie in de Verenigde Staten is overigens niet uniek. Nederland, Frankrijk en Duitsland kennen vergelijkbare regelingen. Wel bijzonder is de brede rechtsmacht die Amerikaanse autoriteiten hebben. Daardoor staan ook sommige buitenlandse aanbieders bloot aan vorderingen tot het overleggen of onderscheppen van gegevens, ook als zij geen vestiging in de Verenigde Staten hebben. Bovendien is het mogelijk dat een Amerikaanse werknemer, onderaannemer of dochtermaatschappij van een niet-Amerikaans bedrijf toegang tot gegevens moet verschaffen.

Daarbij moet worden opgemerkt dat inlichtingendiensten doorgaans zonder medeweten en dus zonder medewerking van cloudaanbieders opereren, waardoor ook deze diensten te kampen hebben met de complexiteit van de infrastructuur van een cloudomgeving.

Voorbeeld case; Ministerie van Binnenlandse Zaken

Het Ministerie van Binnenlandse zaken heeft biometrische gegevens, vingerafdrukken om specifiek te zijn, van de gehele Nederlandse bevolking in beheer. Zij heeft de IT hiervoor ge-outsourced in Belfast, bij een lokale IT dienstverlener. Dit omvat ook de opslag van al deze gegevens en het hosten van de applicatie waarmee deze benaderd kunnen worden voor identiteitsverificatie.

De IT dienstverlener heeft geen vestigingen of groepsmaatschappijen in de Verenigde Staten, doet daar ook niet continue en stelselmatig zaken, en heeft geen Amerikaanse werknemers. Zij maakt echter wel gebruik van een onderaannemer waar in parallel een back-up van de applicatie en de databank met persoonsgegevens draait. De onderaannemer kan zich voor support doeleinden toegang verschaffen tot die applicatie en tot de databank. Deze onderaannemer heeft een vestiging in de Verenigde Staten.

Nu de onderaannemer onder Amerikaans rechtsmacht valt, kan de Amerikaanse overheid zich toegang verschaffen tot de opgeslagen gegevens. Er valt goed te beargumenteren dat deze gegevens foreign intelligence information bevatten. Om een dwarsstraat te noemen, de Verenigde Staten zouden bij hen bekende vingerafdrukken van vermeende terroristen kunnen matchen met de Nederlandse databank. En ook geldt hier dat het mogelijk is dat het Nederlandse Ministerie nooit op de hoogte raakt van toegang door de Amerikaanse autoriteiten.

Rolf Kuijpers is management consultant bij Quint Wellington Redwood, een adviesbureau dat zich richt op het grensvlak van organisatie en IT.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s