Het slepende cloud-conflict tussen Microsoft en de Amerikaanse overheid lijkt voorbij. In maart dit jaar hebben de Amerikanen de Cloud Act, een nieuwe wet die het mogelijk maakt om beslag te leggen op data opgeslagen in het buitenland, zowat geruisloos door het senaat geloosd. Microsoft heeft opgevraagde informatie, die opgeslagen was op zijn servers in Ierland, inmiddels overgedragen aan de Amerikaanse autoriteiten.
De CLoud Act bevat een clausule die dicteert dat Amerikaanse organisaties verplicht zijn ‘buitenlandse’ data over te dragen. Mits niet in strijd met de wetgeving in het land waar deze opgeslagen staat. Is onze Europese GDPR of Nederlandse AVG-wetgeving wel opgewassen tegen de wil van de Amerikaanse overheid?
De (schijn)veiligheid
Stel, u overweegt om uw data bij een cloud-leverancier onder te brengen. Dan bent u afhankelijk van wat anderen met die data doen. Het recente Facebook dataschandaal is daar een goed voorbeeld van.
Facebook is een mega-organisatie met enorme clusteringen aan data in beheer. En toch ‘overkwam’ hen het dat die data op andere, oneigenlijke manieren werd gebruikt. Misschien overweegt u wel om uw data bij een grote speler (zoals Microsoft, Amazon en Google) in de markt weg te zetten. Dat geeft wellicht een gevoel van veiligheid. Zo’n grote partij valt namelijk niet van de een op de andere dag om en wordt ook niet zomaar overgenomen. Echter, met de invoering van de Cloud Act heeft de Amerikaanse overheid tegenwoordig blijkbaar iets over die data te zeggen.
Wat Facebook nog ‘overkwam’ is nu dus de standaard en vastgelegd in de wet. Het zal dan wel niet zo’n vaart lopen. Amerika is een ‘vertrouwde’ overheid. Maar het geeft wellicht een beter gevoel als uw data niet onder invloed staat van de Amerikaanse wetgeving.
Overnames en faillissementen
U kunt natuurlijk ook overwegen om uw data bij een kleinere cloud-speler neer te zetten. Dan staat het in Europa, of misschien beter nog, in Nederland. Dan heeft u in ieder geval niets te maken met meneer Trump die beslag kan leggen op uw data
Maar wat gebeurt er met die data wanneer de kleinere speler wordt overgenomen, of in het ergste geval, failliet gaat? Wat gebeurt er dan met uw data en hoe veilig is die dan nog? Ergo, of er nu gekozen wordt voor een grote of kleinere partij, u bent altijd overgeleverd aan factoren die je niet kunt beïnvloeden en die niet afgedekt kunnen worden met een bewerkersovereenkomst.
Keuzestress
De cloud is in feite niets anders dan uw gegevens op iemand anders zijn computer zetten. De grote vraag is en blijft dan ook, waar staat dat kreng? Ofwel, welke lokale wetgeving is van toepassing, nu en in de toekomst? Dus wat kan er nu wel in de cloud en wat niet? Heel simpel, gegevens die in de eigen omgeving staan, vragen niet om extra maatregelen. Terwijl data in de cloud dat per definitie wel nodig heeft. Organisaties hebben nu eenmaal vaak te maken met gevoelige gegevens. Eigen gegevens, zoals offertes of ip-gegevens, wil men niet met anderen delen. En als het over persoonsgegevens gaat, zegt de wet daar iets over. In beide gevallen wilt u niet dat derden (cloud-leveranciers) toegang hebben tot die gegevens.
Stel, u zet al uw data buiten de deur – in de cloud dus. Maar dan wil meneer Trump ineens bij die data kunnen. Er is dan wel keurig een bewerkersovereenkomst opgesteld om uzelf juridisch in te kunnen dekken. Maar geldt die nog ten opzicht van de Cloud Act? Het Microsoft-datacenter in het Ierse Dublin bleek binnen het bereik te zijn van de Amerikaanse veiligheidsdiensten. Denkt u het wel te kunnen winnen van de Amerikaanse overheid?
Ik vind dit een beetje kort door de bocht. De meeste grote spelers en ook Nederlanse Cloud providers hebben hun security zaken prima op orde. Ze zullen nooit zomaar jouw data aan ‘meneer Trump’ geven. Hoe groot is dit gevaar eigenlijk, zeker als jouw data encrypted binnen Europa opgeslagen is?
Het ‘zomaar’ is natuurlijk erg betrekkelijk – de data honger van overheid en veiligheidsdiensten onder het mom van veiligheid lijkt onbegrensd, in de VS maar, getuige de sleepwet, ook in Nederland. Een meer te vertrouwen buitenland dan maar, wellicht binnen Europa maar buiten de EU, maar dan ook nog wel bij een bedrijf dat zijn beveiliging goed op orde heeft – en dan natuurlijk meerdere als je je risico’s ook nog even wilt afdichten.
Clarifying Lawful Overseas Use of Data Act.
Cloud believer Henri is er stil van 🙂
Dhr. Haas klinkt net als Henri, hij vergeet dat alle Nederlandse Cloud providers zonder morren JOUW data aan de (Amerikaanse) overheid geven omdat ze in tegenstelling tot Microsoft meer techneuten dan advocaten in dienst hebben. En of versleuteling je verder helpt is twijfelachtig want recentelijk werden de met PGP Versleutelde berichten van Ennetcom door Justitie ontsleuteld omdat ze middels een gerechtelijk bevel van een Canadese rechter het gehele keymanagement systeem in handen hadden gekregen.
PGP heeft weinig zin Ewout, je moet versleutelen voor je verstuurt, dan wordt het moeilijk.
Dus tekst/bericht door de laatste “onbevlekte” truecrypt halen, Sleutel via een heel ander kanaal bij de ontvanger brengen, vb een binary via een nextcloud installatie als “testprogram.exe” sturen.
Wie kreatief is vindt een manier.
Ik negeer even de flauwe reactie van Dino en snap Ewout zijn reactie wel, ik werk graag met die amerikaanse service providers omdat die nu eenmaal de krachtigste service leveren. Betekent niet dat ik blind ben voor wat dit betekent, al gaat dit voornamelijk om de regeltjes, niet om de praktijk.
Quote uit dit artikel: “Er is dan wel keurig een bewerkersovereenkomst opgesteld om uzelf juridisch in te kunnen dekken.”
Als je aan de AVG wilt houden kun je alleen bewerkersovereenkomsten sluiten met organisaties die zich aan de AVG / GDPR houden. Met de CLOUD act staat alles dus wederom weer op de schop en dit is domweg een probleem. Of bedrijven zich aan de AVG houden blijft jouw verantwoordelijkheid.
Hoe dit verder gaat zal de komende jaren wel duidelijker worden. Er is een kans dat je je niet aan de wet houdt als je persoonsgegevens verwerkt of opslaat met op AWS / GCP / Azure / IBM Cloud.
Al met al is het gewoon een risico analyse. Hoe groot is de impact dat dit een probleem wordt? Wat is de impact als het een probleem wordt?
Vooralsnog ga ik nog uit van een voor mij voordelige risico analyse….
Het gaat tegen alle EU regels in, hoe gaan bedrijven als PHILIPS hier mee om wanneer mijn Eigen Nederlandse Patient data wordt doorgezet naar de US Government? Immers alle Data staat bij Amazon, waar is mijn Privacy?