De Amerikaanse antiterreurwet, Patriot Act, conflicteert in ernstige mate met de principes die gelden in de Europese Unie en al helemaal met de Europese richtlijnen omtrent privacy. Merkwaardig genoeg zijn er weinigen in ons land die zich zorgen maken over deze wet. Wat me dan ook verbaast, is dat weinig Nederlandse bedrijven weten wat de Patriot Act precies behelst. Zeker in een tijd waarin de cloud steeds belangrijker wordt.
De Patriot Act betreft elke Amerikaanse staatsburger, waar hij of zij zich ook bevindt. Op basis van deze wet heeft de FBI – mits met toestemming van een rechter – het recht om alle bezittingen van elke Amerikaan in te zien. Dat geldt dus ook voor digitale bezittingen. De arm van de wet reikt erg ver en volgt Amerikanen en Amerikaanse bedrijven over de hele wereld.
Dat kan in de praktijk leiden tot ongekende, verbijsterende situaties. Zo moest onlangs een Europese vestiging van een Amerikaans bedrijf de servers afstaan voor nader onderzoek. De data bevonden zich weliswaar niet op Amerikaans grondgebied, maar waren wel eigendom van Amerikaanse staatsburgers. Een Amerikaanse rechter had vastgesteld dat de FBI gegronde redenen had de data te onderzoeken. De servers werden in beslag genomen en de data geanalyseerd. Dat alles duurde bij elkaar maar liefst elf dagen. Nare bijkomstigheid was, dat er nog meer vestigingen van het bedrijf in Europa aangewezen waren op die servers. Die lagen dus ook anderhalve week stil. Organisaties kunnen hierdoor zoveel schade oplopen, dat het bestaansrecht in gevaar komt.
Dit horrorscenario zou zich zomaar bij de cloud kunnen voordoen. Als organisaties gebruik maken van cloudfaciliteiten, weten zij niet precies waar deze data zich bevinden. Omdat 80 procent van de cloudleveranciers Amerikaanse bedrijven zijn, is de kans groot dat hun data ergens op servers in Seattle of Orlando staan.
Met een beetje gezond verstand zoekt elk Europees bedrijf tot op het bit uit waar hun data fysiek staan. Vervolgens moeten zij uitzoeken onder welk wettelijk regime de host valt. Als de data zich bevinden op Europees grondgebied, met een Europese host, die allemaal vallen onder het recht van de lidstaat en het Europees recht is er weinig reden tot ongerustheid. Hoewel dat geen garantie is.
Er is geen ontkomen aan. We leven in een tijd dat de cloud almaar groeit. Verreweg de meeste betrokkenen bij de cloud zijn Amerikanen. Om het bestaansrecht van een onderneming niet in gevaar te brengen, moeten Europese organisaties dus goed zijn geïnformeerd over de consequenties van de Patriot Act.
Mark Raben
Director Innovation & Product Strategy SAP Nederland
Met de strekking van dit opinie artikel ben ik het wel eens, maar één zin snap ik niet:”Organisaties kunnen hierdoor zoveel schade oplopen, dat het bestaansrecht in gevaar komt.”.
Volgens mij bedoelt de auteur hier niet gevaar voor het bestaansrecht, (dat zou absurd zijn), maar gevaar voor het levensvatbaar (viable) of bedrijfseconomisch voortbestaan. En daarin zou hij volkomen gelijk hebben.
Als je niet borgt dat zowel cloud/data als servers als alle andere devices (!!) buiten Amerikaans recht vallen, dan blijft de vraag hoe je gedaan krijgt, dat de (FBI) onderzoekers verantwoording afleggen over hun bevoegdheden.
Ik zou het overigens wel in perspectief van andere risico’s plaatsen, zoals security. Misschien is risico x schadebedrag bij een inbraak of uitval van bijv. een Amazon virtual server wel veel hoger dan risico x schadebedrag van een beslag en onderzoek obv de PA. of misschien juist zoveel lager dat je het PA risico op de koop toe neemt.
Goed verhaal en een samenvatting van andere opinies.
Op het gebied van wetgeving voor data in de cloud is er een werkgroep binnen de EU actief, ook is er recententelijk een voorstel gedaan om de wet aan te passen, het gaat in eerste instantie om persoonlijke data. Meer gegeven op: http://ec.europa.eu/justice/data-protection/index_en.htm
Ik denk dat het niet verstandig is om vast te gaan stellen waar data in de cloud staat, dit is een onmogelijke opgave, de cloud provider zal in zijn systemen de voorkeuren van zijn klanten moeten registreren en ervoor moeten zorgen dat de data daar dan ook staat. Dit zou dus een audit element van de cloudprovider moeten zijn. Dit is bij veel partijen bespreekbaar en realiseerbaar. Vervolgens moet de data worden voorzien van een back-up en daar kan willekeur ontstaan omdat dit technische processen zijn en de back-up data dus op een niet gewenste plek komt te staan, ook hier zullen goede afspraken over moeten worden gemaakt. Je kunt er ook voor kiezen om zelf een back-up van de data te behouden, bijvoorbeeld in je private cloud.
Zoals ik al vaker aangeef lijkt het mij niet verstandig om te starten met allerlei belangrijke data in de cloud, start bijvoorbeeld met ontwikkel en test systemen of systemen met beperkte data sets. Nog beter is te starten met je eigen cloud en vervolgens delen daarvan op basis van classificatie buiten je private cloud (public) te plaatsen.
Waar ik in het verhaal moeite mee heb is het feit dat er wordt geschreven dat er servers in beslag worden genomen en dat daardoor het voortbestaan van de onderneming in gevaar is gekomen. Dit kan je voorkomen door de servers opnieuw vanuit back-up op te starten of via een kloon, kopie, snapshots of wat dan ook. Als dit het geval is geweest dan was het serverbeheer niet op orde.
Laatst een bijeenkomst over de Cloud meegemaakt en nagenoeg de eerste vraag ging over dit onderwerp.
Het gevaar zit hem niet zozeer bij grote bedrijven -die zijn, of zouden, hiervan op de hoogte- maar vooral het nietsvermoedende MKB dat vaak maar kleine buffers heeft en een uitval zoals het artikel kenschetst mogelijk niet weten te overleven.
Ik zou een voorstander zijn van tegenwetgeving die de mogelijke gevolgen van The Patriot Act in Europa weet te beperken. Amerika zal onder het huidige bewind niet snel nog aggresievere wetgeving invoeren, zeker niet als de europese wetgeving puur defensief in aard is.
Overigens zou The Patriot Act een stimulans moeten zijn voor europese cloudverleners. Een kans die nog niet gegrepen is zo lijkt.
@Niels: Europese cloud-initiatieven zijn er wel degelijk: Bijvoorbeeld Canopy, een initatief van Atos, VMware en EMC.
http://www.businesscloud9.com/content/atos-throws-cloud-canopy-over-europe/8034
of
http://atos.net/en-us/Newsroom/en-us/Press_Releases/2012/2012_02_15_01.htm
Ja, patriot act is evil. Maar first: consider the source, ofwel Mark werkt voor SAP, en die hebben een belang bij het verkondigen van deze waarheid. Ik ben momenteel niet bij machtte om de bronnen op te lepelen, maar de Patriot Act word erg weinig buiten USA toegepast. Ook gezien universiteiten Google Apps aanbieden worden veel risico’s wat uitvergroot. Pak de voorbeelden er maar bij van ingrepen van de USA, er is in alle gevallen sprake van “rook”, ofwel er bestaat een link naar grijze gebieden, en als MKB bedrijf moet je beseffen wanneer jij zo’n kandidaat bent. Brein bevat gelijke trekjes. Dus ja, patriot act is een ding, maar maakt veel minder “slachtoffers” dan zaken als mismanagement en andere zaken.
2 dingen; zorg voor een exit strategie en backup als je van een andere partij afhankelijk word (bijv. SAP , Amazon, Google, Oracle, Microsoft of andere dienstverlener)
En 2 (had ruzie met iPhone), doe een risico analyse. Wat is het risico als mijn toegang tot data wordt onzegt?
Voorbeeld; je doet wat met Amazon EC2 en S3. Valt onder Patriot Act ook als data zich in Ierland bevindt. Wordt je virtuele servers ingenomen of je toegang tot amazon ontzegt, zorg dan dat je de backups van je virtuele servers bij een andere leverancier weer live brengt met dito data. Kun je dit niet omdat de data te groot geworden is? Besef dan wel de moelijke gevolgen. Het probleem wat ik met SAP heb is dat je in feite geen exit strategie hebt. Je commitment gaat zeer ver….
Aardig verhaal al moest ik wel even lachen om de scherpzinnige constatering van Peter Ambaghtsheer.
Ik denk dat het grootste gevaar van de patriot act is dat deze vooral gebruikt zal worden voor zaken die niets met staatveiligheid of aanverwante flauwekul te maken hebben, maar vooral voor het doorzoeken van data teneinde Amerikaanse bedrijven een economische dan wel technologische voorsprong te geven.
Niemand kan mijn stelling ontkennen want de patriot act rijkt zo ver dat er geen enkele controlle meer over mogelijk is.
@Huub er zijn inderdaad voldoende Europese en zelfs Nederlandse cloudaanbieders. Canopy zou ik eerst door een bekwame jurist laten beoordelen. Wat als EMC en VMware daar mede-eigenaar van zijn dan is het niet volledig buiten bereik van de Patriot Act.
Daarnaast zul je je de vraag moeten stellen wat zal er gebeuren als bijvoorbeeld de FBI aan de Nederlandse justitie vraagt om mee te werken aan een onderzoek…
Uiteindelijk blijf je zelf ten alle tijden verantwoordelijk voor je eigen data en zul je dus ook over recover/uitwijk/exit-strategieën moeten nadenken.
Remko
Zo’n vijf jaar terug werd mij door mijn baas (directeur van een europees IT-bedrijf) gevraagd wat ik van het begrip cloud vond. Ik heb op dat moment aangegeven dat het een onbeheersbaar beest zou worden. Zij met de grootste mond zullen de touwtjes in handen krijgen, security en privacy zullen de grootste probleemgebieden worden. En zie … na vijf jaar begint het dan toch eindelijk te dagen dat we een tijdperk zijn binnengetreden waarin we overgeleverd zijn aan overheden die over andere overheden heen walsen. Het wordt tijd dat Europa zijn eigen Netwerk gaat bouwen en beheren met Europese wetgeving. Omdat de VN niet in staat is de grote jongens te managen moeten de continenten het zelf maar organiseren. Trouwens schaalverkleining is op zijn minst het overwegen waard in relatie tot werkgelegenheid en stabiliteit.
Interessant artikel, met name omdat het aantoont dat het niks met Cloud van doen heeft. Het betrof hier fysieke servers. Wellicht makkelijker met Cloud maar moeilijkheidsgraad is irrelevant in deze. Als er data wordt opgevraagd tussen landen en dan vooral specifiek US naar andere landen kan dat “eenvoudig” worden gedaan. Vooral ook op basis van bilaterale verdragen en zeker niet op basis van PA. Deze laatste wordt dan ook vaak gebruikt als FUD aanpak van “Europese” cloud providers die uiteindelijk op basis van deze geldende “bi-la’s” net zo zeer onderhevig zijn aan wettelijke verplichtingen ten aanzien van het overdragen van gegeven ten aanzien van gegevens inzake criminele activiteiten
Ik ken dit specifieke voorbeeld niet maar interessant is zeker om te weten of dit op basis van PA is gebeurt en zo zo ja, dat indien geweigerd het zeker op andere verdragsgronden onderhands tussen opsporings instanties was geregeld waar het criminele activiteiten betrof.
Interessante reacties na de raid op Megaupload : http://www.washingtonsblog.com/2012/01/did-the-feds-just-kill-the-cloud-storage-model.html
“This latest takedown of MegaUpload though reveals the inherent weakness of cloud computing, which is that if it is not in your POSSESSION, you do not OWN it.”