Cloud computing stelt de opsporing en vervolging van misdaad voor uitdagingen, is de conclusie van een onderzoeksrapport van het Tilburg Institute for Law, Technology, and Society (TILT). Het onderzoek vond plaats in opdracht van het Ministerie van Veiligheid en Justitie. In cloud computing wordt gegevensopslag en dataverwerking uitbesteed, vaak aan buitenlandse partijen. Het is daarbij vaak moeilijk te bepalen waar gegevens precies liggen opgeslagen. De wetgever en beleidsmakers zullen daar snel op moeten inspelen.
Dataopslag in de cloud is verdeeld over verschillende locaties en is dynamisch. Het ‘verlies van locatie’ vormt een fundamentele uitdaging voor de territoriaal georiënteerde strafvordering. De problemen die dat creëert voor opsporing zijn op zich niet nieuw, maar krijgen wel een nieuwe dimensie door de fundamentele verschuiving die ontstaat wanneer burgers en bedrijven grootschalig data in de cloud plaatsen.
Onderscheid vervaagt
De wetgever moet zich bezinnen op de systematiek van het strafrecht in relatie tot internetaanbieders. De aanbieders van clouddiensten vallen niet naadloos in het bestaande begrippenkader van communicatie- en telecommunicatieaanbieders. Ook vervaagt het onderscheid dat de wet maakt tussen stromende en opgeslagen gegevens.
Voor het beleid liggen er uitdagingen om een barrièremodel te ontwikkelen voor cloudgerelateerde criminaliteit, de beveiliging van cloud computing te stimuleren en om een strategie te ontwikkelen voor het omgaan met het ‘verlies van locatie’. Naast investeren in samenwerking met buitenlandse overheden en cloudaanbieders, vraagt cloud computing ook om een herbezinning op wat soevereiniteit betekent in een netwerkende samenleving.
In de wolken
De praktijk zal beter moeten leren omgaan met computerdoorzoekingen en internettaps in een tijdperk waarin gegevens niet meer op de harde schijf maar ‘in de wolken’ liggen opgeslagen. Dat vergt kennis, expertise en investeringen in het soepel laten verlopen van rechtshulp met andere landen.
Het rapport concludeert dat cloud computing vooralsnog meer knelpunten dan kansen oplevert voor de opsporing en vervolging van strafbare feiten. Als wetgeving, beleid en praktijk echter een nieuwe, systematische en uitgebalanceerde regeling en praktijk ontwerpen voor opsporing in de wolken, kan volgens TILT van deze nood alsnog een deugd worden gemaakt.
Leuk die cloud, maar niet mijn ding. Ik wil precies weten wie mijn gegevens beheerd. Liefst opslag met eigen servers of uitbesteed aan een partij met een duidelijke verantwoordelijkheid. Dat schuiven met gegevens vind ik heel gevaarlijk.
No danger! Buy you self an Mac(Apple), and your problem is solved on a legal way.
Dat ligt er helemaal aan. Als ik een duidelijke afspraak heb met mijn leverancier over beschikbaarheid en locaties van opslag dan heb ik geen probleem en ben ik compliant met de aan mij gestelde eisen.
Een denkfout die vaak gemaakt wordt is dat Cloud Computing betekent dat je nergens meer controle over hebt. In de praktijk heb je gewoon een leverancier die binnen vastgestelde kaders een dienst aanbiedt. Met veel leveranciers vallen zelfs op maat afspraken te maken over de exacte voorwaarden.
Ook bij een eigen datacenter heb je vaak fail-over recovery waarbij je als eindgebruiker niet kunt zeggen of je data vanuit datacenter 1 or datacenter 2 wordt opgeleverd maar waarbij je wel weet dat het uit een vaste reeks locaties komt.
Uiteindelijk staat data altijd opgeslagen op een of andere fysieke drager. Probleem is alleen dat we niet meer weten waar die drager ergens staat/ligt, wie daar nog meer toegang toe heeft, hoeveel kopieen ervan gemaakt zijn, hoe lang en voor welk doel ze bewaard worden etc..
En zolang cloud storage tegen dumpprijzen wordt aangeboden moeten we onze ogen er niet voor sluiten dat er dus op andere manieren geld verdient zal worden. En ook moeten we ons afvragen wat ermee gebeurd als de aanbieder verder onder druk komt te staan en het zakelijk niet zo’n succes blijkt te zijn als erder verwacht. Hoe buigbaar worden de gemaakte afspraken over privacy e.d. dan? En wie controleert dat?
Naar mijn mening leven we nog steeds in de wereld van Wensdenken 3.0
We willen allemaal zo graag dat het waar is. Dat we al dat moois voor bijna niks krijgen aangeboden. Dat de leverancier er altijd zal zijn en zich netjes an de gemaakte afspraken zal houden.
Maar uit welke hoek komen tot op heden al die beloften, adviezen en voorspellingen? Louter en alleen uit de hoek van partijen die er zelfs rechtstreeks belang bij hebben dat het een succes wordt.
En als we onze hele ziel en zaligheid (lees data en programmatuur) hebben overgeleverd aan deze partijen en daarmee volledig afhankelijk zijn geworden, bij wie moeten we dan zijn als het ineens niet meer zo aantrekkelijk is?
Bij mijn laatste pakketselectie was er ook een cloud aanbieder.
Deze bleek uiteindelijk 2x zo duur als een traditioneel Windows client/server pakket van eigen bodem. 6 maanden later werd de stekker uit het project getrokken omdat het resultaat de investeerders tegen viel. Ik moet er niet aan denken dat betreffende organisatie voor die oplossing had gekozen en na een langdurig migratietraject weer van voren af aan had kunnen beginnen….
Sunny ik respecteer je gevoelens, maar ik respecteer een onderbouwing nog meer.
Waarom vind je dat schuiven met gegevens heel gevaarlijk? Hoe uit zich dat dan? Heb je het onderzocht? Of is het vooral eng omdat je het niet kent?
Bij mij heeft de cloud namelijk precies het tegenovergestelde. Ik voel me pas gerust als ik het in de cloud (redundant) heb opgeslagen, dan hoef ik niet meer bang te zijn voor kapotte computers en diefstal van mijn laptop en heb ik bovendien mijn data altijd bij de hand vanaf elk apparaat wat ik heb.
@Sunny, wie jou gegevens beheert is 1 ding, onder welke landspecifieke regelgeving is een ander ding. Daarmee kan het maar zo zijn dat de eigenaar van de server(s) automatisch (mede-)eigenaar zijn van jou data en daarmee vogelvrij is te doen wat hij/zij daarmee wil.
@Karel, als je niks zinnigs te melden hebt…..
@cor kroon, of het juridisch allemaal in kannen en kruiken is is nog maar de vraag. Verder lijkt het mij verstandig dat er in elk geval ook duidelijk afspraken komen bij overname van de leverancier en verhuizing van de data over de grens.
@guus, in het kort proef ik uit jou verhaal dat de mens geneigd is te kiezen voor de goedkoopste oplossing om de eigen verantwoording te outsourcen? Als dat zo is, ben ik bang je gelijk te moeten geven.
@henri koppen, gevoelige en crusiale bedrijfs informatie op laptops en het niet hebben van redundante data in de vorm van backups is eigen verantwoordelijkheid. Natuurlijk kun je voor goed serverbeheer en recovery scenario’s kiezen, maar de randvoorwaarden en een redelijke vergoeding zijn bij die beslissingen van essentieel belang, maar naar blijkt in de praktijk vaak van ondergeschikt belang en beinvloed door advisering en sturing van belanghebbende partijen. Verder lees de (inter-)nationale doom scenario’s en jurisprudentie er eens op na, onderzoeken en waarschuwingen zijn er inmiddels voldoende geweest. Het gaat bij cloud allang niet meer over “onbekend maakt ongeliefd”.
Mijn vingers jeuken inmiddels al jaren om een adviesburo te starten. Over het algemeen is het ook bij een ‘goede’ cloud zo geregeld dat documenten over verschillende servers zijn verdeeld en niet zo maar te verhuizen/verplaatsen/vergaren zijn.
@Henri
Maar is dit alles niet afhankelijk van het soort data wat je opgeslagen hebt in de cloud?
Om maar even wat uitersten te nemen: het maakt denk ik nogal verschil of we het hier hebben over wat vakantiefoto’s of algoritmes waarmee je zelfs bij 300 km/u nog scherpe foto’s kunt maken van snelheidsovertreders….
Als sportclub heb ik ook onze huisstijl, boekhouding etc. gedeeld via de cloud met mijn mede bestuursleden. Werkt als een tierelier, en als een ander (op wat voor manier dan ook) kan lezen is er geen man overboord.
Hoe anders zou dat zijn met de financiële resultaten van het beursgenoteerde bedrijf waar ik in voor werk …
Hoe lastig kan het zijn om wettelijk verplicht alle data voor in de cloud aan de client kant te encrypten? Je loopt dan wel tegen de technische beperking aan van indexering op basis van inhoud en zoeken wordt wat trager maar het is wel een goede manier om ervoor te zorgen dat alleen gebruikers de inhoud kunnen inzien.
Vertrouwen is goed, encryptie is beter.
Zoals ik het lees gaat dit niet om “onze” data die niet veilig staat omdat anderen er mogelijk bij kunnen, maar gaat het juist over bewijsmateriaal voor Justitie. Wie kan Justitie bijvoorbeeld verantwoordelijk stellen voor bepaalde data die in de cloud staat.
Al vanaf het begin van het ‘cloud’ verhaal ben ik redelijk conservatief, en op momenten, achterdochtig geweest en gebleven. De dooddoener dat het een duidelijke toegevoegde waarde zou hebben, dat het goedkoper zou zijn, naadloos/moeiteloos zou passen in om het even welke IT strategie, dat is nu steeds duidelijker niet zo.
Zoals ik al eerder aangaf is de enige besparing die je zou kunnen aanmerken als een besparing dat je met iets minder FTE toe kan, overigens, het is telkens het FTE verhaal wat de grootste boosdoener is van de budget overschrijdingen in meer dan 90% van de gevallen.
Terug naar cloud. Eén groot voorbeeld heb ik meermaals gegeven. Op mijn eenvoudige vraag of ik de garantie krijg dat niets van mijn data op servers komt te staan van zg GEC’s, ik moest telkens weer uitleggen wat GEC’s ook alweer waren, kreeg ik die garantie niet. In andere woorden; ik kan in de VS juridisch worden opgehangen als men daar weet dat mijn data onverhoopt op servers staan van landen zoals Pakistan, Iran, Irak, Oesbekisthan, en andere landen die nog steeds op de grote zwarte lijst staan. Men kan zelfs besluiten tot vervolging over te gaan als ik niet weet dat mijn data daar onverhoopt zou worden ontdekt.
Een andere dan maar. Wie is wanneer en waar verantwoordelijk voor de back up van data en wie spreek ik aan voor de restore hiervan. Ik heb al verschillende concepten onder ogen gehad waarin in de kleine lettertjes was opgenomen dat er sprake kon zijn van ‘beperkte aansprakelijkheid’, vooral daar waar het data was op servers van derde gestald. Immers, die clubs zijn volkomen verantwoordelijk voor de back up en restore van….
Recentelijk heb ik meegedaan aan een pilot om mijn mail in de cloud te zetten. Het was gratis dus wat kon me gebeuren? Dat kan ik u vertellen. Ik ben blij dat ik erg omslachtig redundant bezig ben gebleven. Momenteel is men al acht dagen bezig met het restore van mijn mail bestanden. Gelukkig heb ik mijn mail historie maar niet aan de cloud toevertrouwd.
Nu komt men eindelijk eens aan het kopje toe … Cloudopslag evreist nieuwe wetgeving. Niemand geeft hier dan ook een duidelijke aanzet hoe die nieuwe wetgeving er dan uit zou moeten komen te zien. Als we kijken naar het Amerikaanse model? Die eisen namelijk dat alle data gestored op ‘Amerikaanse’ servers, integraal beschikbaar moet zijn voor security diensten van de VS die zonder tussenkomst van enige rechter, onverkort toegang moet kunnen hebben tot die data. Lees hier ook even bits en pieces en encrypted data. Veel hiervan vervat ondermeer in de Home Security Act.
Pavake geeft aan wat ik in den beginnen al geconcludeerde. Zeer ‘gevoelige’ corporate data moet je niet in de cloud willen, soms nog niet eens in een data center maar gewoon in eigen huis. Het zijn namelijk niet de kosten die dat met zich mee brangt maar de absolute duidelijkheid en zekerheid dat derden moeilijk tot niet toegang hebben tot die data.
Kortom, cloud, leuke hype maar intussen wel een beetje doorgezaagd.