In het nieuws: Jeroen Schouten van Google die aangeeft dat gebruikers die zeker willen weten dat hun data niet buiten Europa opgeslagen wordt beter verder kunnen zoeken. Een gewaagde uitspraak die goed uitpakt voor concurrent Microsoft, die wél officediensten aanbiedt waarvan de data binnen Europa wordt opgeslagen.
Dat de opslag buiten Europa verstrekkende gevolgen kan hebben bleek onlangs bij de klopjacht van de Amerikaanse overheid op Twitterdata. In het kader van WikiLeaks werden ook de gegevens van de Nederlandse Rob Gonggrijp opgevraagd. Vrij eenvoudig, want die data staat op servers in de Verenigde Staten en kan dus via Amerikaans recht worden opgevraagd.
Is dat nu zo erg? In het geval van Rob Gonggrijp's twitteraccount levert het wellicht geen schokkende data op, maar stel dat je gehele financiële administratie op Google Docs staat en je wordt op een lijst met mogelijke verdachten in de Verenigde Staten geplaatst. Bijvoorbeeld vanwege eenmalig e-mailcontact vanuit je gmail-account met een potentiële zakenrelatie, die later verdacht wordt van het bezit van kinderporno. Daar heb je niks mee te maken, maar je staat in zijn contactenlijst dus de Amerikaanse overheid gaat jou ook even doorlichten. En daarbij gelden de Europese privacybeschermingen (zoals bijvoorbeeld uitgewerkt in de Wet bescherming persoonsgegevens) natuurlijk niet voor zover er gegevens over jou op servers in de Verenigde Staten staan.
Misschien is de plaatsing van zulke gegevens bij diensten die niet binnen Europa worden gehost dus niet zo slim. Hoeveel gebruikers trekken zich hier niets van aan omdat bijvoorbeeld Google Docs net iets prettiger werkt dan Microsofts online suite? Vermoedelijk vrij veel en ik begrijp ook best dat je in eerste instantie minder aandacht schenkt aan de dataopslag dan aan de gebruiksvriendelijkheid van de applicatie. Maar als je gegevens dan een keer door een overheidsinstantie buiten Europa worden doorgelicht en je krijgt daar lucht van, dan denk je daar misschien anders over.
Gebruiksvoorwaarden geven soms wel aan waar de gegevens worden opgeslagen. Dan is het wel direct de vraag: hoeveel gebruikers lezen die gebruiksvoorwaarden helemaal door en weten dan dus ook dat hun gegevens op bijvoorbeeld servers in de Verenigde Staten worden opgeslagen? De dienst is volledig vertaald naar het Nederlands en de voorwaarden zijn dat ook: dat wekt vertrouwen.
Misschien wordt het tijd voor meer duidelijkheid richting de gebruikers over de opslaglocatie van gegevens. Kan dit niet, net als bijvoorbeeld een SSL-certificaat, prominenter in beeld? Of moeten we dit overlaten aan de marketingafdelingen van de aanbieders. Hoe groter het besef bij de gebruikers dat dit belangrijk is, hoe meer de online dienstverleners zich zullen moeten aanpassen om hun klanten te behouden.
Overigens biedt Google al wel de garantie aan overheidsinstanties in de Verenigde Staten ten aanzien van de data-opslag: die vindt niet in het buitenland plaats. Het lijkt me een kwestie van tijd, alleen al vanuit concurrentie-oogpunt, voordat Google die mogelijkheid ook biedt aan Europeanen.
“Misschien wordt het tijd voor meer duidelijkheid richting de gebruikers over de opslaglocatie van gegevens.”
Dat lijkt me sowieso een heel goed idee. Want zodra een gebruiker een persoonsgegeven van een ander op de server buiten de EU plaatst – zoals bijvoorbeeld gebeurt bij het invoeren van een contactpersoon en eigenlijk ieder mailtje dat je aan iemand typt – zonder expliciete voorafgaande toestemming en/of zonder dat dat strikt noodzakelijk is om bijvoorbeeld een overeenkomst uit te kunnen voeren, maakt die gebruiker in feite zelf inbreuk op de Europese privacyregels.
Hoog tijd dat de grote, massieve cloud wordt opgebroken in (gebruiksvriendelijke) schaapwolkjes!
Disclaimer: Ik doelde met “zoals bijvoorbeeld gebeurt bij het invoeren van een contactpersoon en eigenlijk ieder mailtje dat je aan iemand typt” uiteraard alleen op diegenen die dat doen met gebruikmaking van een clouddienst zoals gmail, hotmail of andere vormen van webmail waar de gegevens op servers buiten de EU (kunnen) belanden.
Help de wolken verdampen.
Als bedrijf wordt het een kwestie van goede contracten afsluiten en niet “zomaar” een url kopen en daar je dienst van betrekken.
Als bedrijf zelf is het verstandig eerst een risico analyse te maken van welke data mag waar terecht komen.
Vanuit je risicoprofiel ga je specificeren en stel je je offerte aanvraag op.
Goed is als onderdeel van je offerte ook een bezoekje te (laten) brengen aan die bedrijven om te zien hoe ze gehuisvest zijn en referenties op te vragen.
Daarnaast is het ook nog leuk wie er host en de providers zijn.
Ook is het handig om audits af te spreken zodat je af en toe eens controleert of alle toezeggingen ook in de praktijk worden waargemaakt.
Je stopt al je informatie dan wel in een wolk maar wolken hebben de neiging te verdampen. Je moet ‘m dus wel onderhouden.
Het is verleidelijk alles buiten de deur te doen maar waak voor je continuïteit, zorg dat je Escrows afsluit en je kennis borgt.
Als de wolk verdampt ben je alles kwijt en kwijt is in dit geval niet zoek.
Een goed idee de cloud, maar leer met de nadelen om te gaan.
Andere vragen zijn:
Hoe zijn de backups geregeld
Zijn er Chinese walls
Hoe is de geheimhouding geregeld
Voldoen ze aan privacy richtlijnen.
Bedenk dat dit een nog jonge tak van sport is. Gedraaid door kleine bedrijven en goedwilende entrepeneurs.
Mijn eerste kennismaking was ,het op papier, aardige bedrijf binnen te lopen door de inloopduer van een garagedeur.
Is dat erg? Ik verbaasde me maar dacht later “een goede manier om de kosten te drukken”. En ze leveren een prima WEBDienst.
Goedendag, ik heb ook wel eens gehoord dat Nederlandse zorginstellingen of financiele instellingen uberhaupt geen gegevens over de Nederlandse grens zouden mogen opslaan ivm privacy wetgeving, zelfs niet in andere EU landen Klopt dit, of zijn er toch mogelijkheden?