Steeds meer cloud diensten steken de kop op. Diensten waarbij je veelal niet weet in welke landen je data zich bevindt of welke regeringen er (als ze dit willen) toegang toe hebben. Grote Amerikaanse organisaties stellen Europese klanten gerust door hun data onder te brengen in Europese data centra. Zo heeft Microsoft voor haar Europese klanten locaties in Amsterdam en Dublin.
Tijdens de lancering van Office 365 bleek uit monde van Gordon Frazer van Microsoft UK echter dat het in Europa plaatsen van data Europese bedrijven geen enkele garantie biedt tegen het vorderen van data door de Amerikaanse overheid. Met de Amerikaanse Patriot Act in de arm kan de overheid volgens Microsoft elk Amerikaans bedrijf dwingen data af te geven, zelfs als deze zich binnen de landsgrenzen van een andere soevereine staat bevindt. Ook het feit dat het eigenaarschap van de data bij niet-Amerikanen ligt maakt daarin blijkbaar geen enkel verschil.
Het was de eerste keer dat een grote Amerikaanse organisatie als Microsoft publiek toegeeft dat het in een Europees data center plaatsen van Europese data geen enkele privacy-garantie biedt indien een Amerikaanse organisatie (direct of indirect) verantwoordelijk is voor het beheer van deze data. Voor organisaties die met zeer gevoelige gegevens werken en de vertrouwelijkheid hiervan willen kunnen garanderen biedt dit interessante uitdagingen.
Tijd voor content versleuteling
Data wordt in de cloud steeds vaker vogelvrij verklaart. Diensten als Dropbox passen hun voorwaarden aan waarbij ze zichzelf het recht toekennen om gegevens in te zien. Overheden keken al graag mee op de netwerken waar ze toegang toe hebben, maar weten ook steeds gemakkelijker de weg naar bedrijven te vinden voor het vorderen van gegevens. Wil je je hier als organisatie tegen beschermen, dan zul je de gegevens die je buiten je organisatie plaatst op je eigen computer moeten beschermen, vóórdat je de gegevens aan derden overdraagt.
Gelukkig komen er steeds meer initiatieven die 'privacy' en 'cloud' combineren. Zo heeft Dropbox concurrentie van aanbieders als Spideroak en Wuala. Ook gratis, ook centrale opslag van data, ook apps voor smartphones en tablets, maar met het grote verschil dat de data reeds op de pc wordt versleuteld. De dienstverlener kan daardoor (mits je als gebruiker een goed wachtwoord kiest) nooit bij een leesbare vorm van je data.
Lastig bij Google Apps en Office 365
Bij cloud oplossingen als Google Apps en Office 365 is het helaas lastig om data volledig van Google of Microsoft af te schermen. De dienstenaanbieders zouden ervoor kunnen kiezen om gebruikers content-encryption mogelijkheden te bieden. Maar doordat de verwerking (openen, bewerken en weer opslaan) van documenten op de servers plaatsvindt, zullen deze partijen technisch gezien altijd mogelijkheden hebben om data in te zien. Bij het kiezen van cloud oplossingen blijft het dus belangrijk om in de business case ook de risico's van het extern verwerken van data mee te nemen. Als data voor je organisatie té kostbaar is kan het verstandig zijn om de verwerking ervan niet aan organisaties over te dragen die niet kunnen garanderen dat ze de gegevens nooit zullen afgeven aan derden.
