Zekerheid is niet te geven

Zekerheid is niet te geven

Zijn data in cloudomgevingen eigenlijk wel veilig? Die vraag wordt steeds vaker gesteld na onthullingen over overheden die aftappen, afluisteren en meelezen. Maar garanties zijn niet te geven.

Rolf Kuijpers

Barack Obama had enkele weken terug een boze Angela Merkel aan de lijn. De Braziliaanse presi­dent Dilma Rousseff zei onlangs een bezoek aan Amerika af. En Charles Rivkin, de Amerikaanse ambassadeur in Parijs, werd bij de Franse minis­ter van Buitenlandse Zaken op het matje geroe­pen. Allemaal een gevolg van de onthullingen van Edward Snowden, die aan het licht bracht dat de Amerikaans overheid inzage heeft in grote hoeveelheden persoonsgegevens. De NSA zou in ons land bijvoorbeeld ruim anderhalf miljoen telefoontjes hebben afgeluisterd. Hoewel het bij zulke telefoontaps niet gaat om het van a tot z afluisteren van gesprekken, maar om het automa­tisch detecteren van een conversatie op steek­woorden als ‘aanslag’, hebben deze onthullingen toch veel mensen wakker geschud. Hoe staat het met de privacy van data als je niet weet waar die data worden verwerkt en opgeslagen? Vooral afnemers van clouddiensten willen nu weten hoe gegevens in een cloudomgeving beschermd worden. Patiënten in een ziekenhuis willen er zeker van zijn dat informatie over hun gezond­heid niet op de burelen van de Amerikaanse overheid belandt. En elke Nederlander van wie gegevens in de systemen van de Belastingdienst worden verwerkt, moet erop kunnen vertrou­wen dat er geen ‘vreemde ogen’ mee gluren.

Praktisch onmogelijk

Natuurlijk er is wet- en regelgeving op dit terrein. Niet alleen ons land, ook andere landen hebben regels waaraan ze zich houden. Maar bij cloudoplossingen is sluitende wetgeving niet mogelijk. De Wet bescherming persoonsgege­vens (Wbp) die in ons land van kracht is, biedt bij gebruik van clouddiensten onvoldoende garanties, omdat cloudoplossingen per definitie grensoverschrijdend zijn. Dat maakt het prak­tisch onmogelijk om te bepalen wat de fysieke locatie van data is (zie kader ‘Waar worden data verwerkt?’). En dus is ook niet duidelijk welke wet- en regelgeving van toepassing is.

Erop vertrouwen dat wetten en regels in andere landen voldoende garanties bieden, aangezien die regels tenslotte ook tot doel hebben om de privacy van het individu te beschermen, is niet aan te raden. Elke overheid kan namelijk met een beroep op de nationale veiligheid zijn wetgeving opzij schuiven en zich toegang tot privégegevens verschaffen. Dat geldt niet alleen voor de Amerikaanse overheid. Ook de Duitse, Franse en zelfs de Nederlandse overheid kunnen zich vanuit veiligheidsoverwegingen toegang tot privédata verschaffen. Hoewel landen hierover nooit informatie geven, gebeurt dit in een aantal gevallen ook. Wel is het zo dat wanneer gege­vens worden overgedragen naar landen buiten de Europese Economische Regio (EER), data soms wel heel gemakkelijk ter inzage aan derden worden gegeven. Zo dwingt de Amerikaanse Patriot Act bedrijven die een vestiging in de Ver­enigde Staten hebben om de overheid onbeperkt toegang te verschaffen tot gegevens. Daarom is het zaak te onderkennen wat de risico’s zijn van cloudcomputing, hoe groot die risico’s zijn en hoe je toch op een veilige manier gebruik kunt maken van clouddiensten.

Afnemers van clouddiensten dienen zich er bewust van te zijn dat gegevens die zij bij een cloudaanbieder opslaan toegankelijk kunnen zijn voor een andere dan de eigen overheid. Dat is overigens niet nieuw. Ook in het verle­den bestond er wetgeving die aan overheden vergaande bevoegdheden toekende. Wel is het met de opkomst van clouddiensten nu zo dat niet meer duidelijk is met welke overheid, of overheden, zich mogelijk toegang tot privége­gevens verschaft/verschaffen. Maar om nou om die reden te besluiten géén gebruik te maken van clouddiensten, is wellicht niet de meest verstandige optie. Beter is het om voor ogen te houden hoe mogelijke risico’s zich verhouden tot de voordelen die het gebruik van clouddien­sten met zich meebrengen. Daarom verdient het aanbeveling om bij gebruik van diensten uit een cloudomgeving niet alleen het ‘of en hoe’ te overwegen, maar ook stil te staan bij de vraag bij welke aanbieder je aanklopt en in welke mate je diensten wilt afnemen. Andersom geldt voor aanbieders van clouddiensten dat het ook in hun belang is om bewust om te gaan met de risico’s die een klant bij hen loopt. Goede leveranciers zijn daarom over het algemeen graag bereid om mee te denken over oplossingen die tegemoet komen aan de bijzondere wensen van potentiële klanten. Ook voor aanbieders geldt dat ze voort­durend voor ogen moeten houden hoe de risico’s zich verhouden tot de eventuele voordelen.

Wettelijke bescherming

Veel landen hebben privacywetgeving en/of wetgeving voor de bescherming van persoonsge­gevens. In grote lijnen garandeert deze wetgeving dat individuen het recht hebben om sommige zaken voor zichzelf te houden. Daarnaast beoogt deze wetgeving dat betrokken personen controle kunnen uitoefenen op gegevens die anderen over hen bezitten. Tot slot bevat deze wetgeving regels voor het doorgeven van gegevens aan andere landen, vooral buiten de EER.

Naast privacywetgeving hebben verreweg de meeste landen ook wetgeving voor bescherming van algemene belangen en nationale veiligheid. Dat zijn wetten betreffende onderzoeken door toezichthouders en belastingdiensten en wetge­ving rond de activiteit van inlichtingendiensten. Ze kennen bevoegdheden toe aan overheden om inbreuk te maken op de privacy van natuurlijke personen. Deze bevoegdheden zijn in alle landen met – sterk wisselende - waarborgen en controle­middelen omkleed.

Voor Europese afnemers van clouddiensten is het vooral belangrijk stil te staan bij privacywetge­ving die verwerking van gegevens buiten de EER verbiedt. Als een in Nederland gevestigde organi­satie gebruik maakt van een cloudaanbieder, dan is bijna altijd de Wet bescherming persoonsgege­vens (Wbp) van toepassing. Zelfs het eenvoudige opslaan van persoonsgegevens in een cloudom­geving valt al onder de reikwijdte van de Wbp. De Wbp bepaalt dat degene die verantwoordelijk is voor de verwerking van de persoonsgegevens (zijnde degene die ‘het doel en de middelen voor de verwerking van persoonsgegevens vaststelt’) of een door hem ingeschakelde cloudaanbieder deze persoonsgegevens in principe niet buiten de EER mogen verwerken. Er is een aantal modelcontracten in omloop waarin alle relevante bepalingen zijn vastgelegd die recht doen aan deze regelgeving.

Een andere oplossing om aan de eisen in de Wbp te voldoen is uitsluitend gebruik te maken van technische oplossingen, zoals European clouds. Dan ben je er zeker van dat data nooit buiten de grenzen van Europa worden opgeslagen en ver­ werkt. Daarnaast kun je aan encryptie denken. Versleutelde data zijn doorgaans niet gemakkelijk te ontcijferen. Wel moet daarbij worden opge­merkt dat er berichten in omloop zijn waaruit blijkt dat overheidsdiensten in de Verenigde Staten dataencryptie makkelijk kunnen omzeilen als het sleutelbeheer ook bij de cloudaanbieder wordt gedaan. Sowieso is het met het oog op de privacywetgeving belangrijk dat bedrijven zich bij het opstellen van een contract met een clou­daanbieder laten bijstaan door een expert op het terrein van privacybescherming. Deze kan erop toezien dat in het contract een aantal relevante rechten en verplichtingen worden opgenomen waaraan beide partijen moeten voldoen.

US Patriot Act

De Patriot Act wordt vaak genoemd als dé grote bedreiging voor een veilig gebruik van cloud­diensten. Amerikaanse autoriteiten hebben de bevoegdheid om opgeslagen gegevens te vorderen van cloudaanbieders. Ook hebben deze diensten de bevoegdheid om technische apparatuur of software te installeren waarmee het gegevensver­keer onderschept kan worden. Gegevens kunnen worden gevorderd van elk bedrijf of van elke persoon die daarover ‘possession, custody or con­trol’ heeft, ofwel iedereen die over deze gegevens kan beschikken. Het is dus niet direct relevant op welk grondgebied een Amerikaans bedrijf zijn gegevens opslaat.

Voor de uitoefening van een aantal van deze bevoegdheden is geen gerechtelijk bevel nodig. Soms hoeft er zelfs geen vermoeden van een mis­drijf te bestaan of een bedreiging voor de natio­nale veiligheid. Bij de uitoefening van sommige bevoegdheden kan een zogeheten ‘gag order’ worden opgelegd, ofwel een verbod om melding te maken van ontvangst van het verzoek om gegevens. Die geheimhoudingsplicht betekent dat de klant van die aanbieder niet op de hoogte mag worden gesteld van de toepassing van die bevoegdheden door de autoriteiten van de VS.

Er is beperkt informatie bekend over het gebruik van bevoegdheden door de Amerikaanse over­heid. Weliswaar wordt er jaarlijks een rapportage opgesteld met betrekking tot orders, maar daaruit blijkt slechts dat over 2012 op grond van gelden­de regels 212 verzoeken zijn gedaan, en dat deze alle zijn toegewezen. Over het algemeen kan dus worden gesteld dat het aantal informatieverzoe­ken op grond van deze bepaling redelijk beperkt is (over het volume per verzoek is weinig te zeggen). Indien de onthullingen over PRISM in de zomer van 2013 kloppen, wijst dit erop dat de overheid van de VS grootschalig gebruik maakt van zijn bevoegdheid om privédata in te zien.

Nieuwe wetgeving

In januari 2012 publiceerde de Europese Unie het eerste concept van de Algemene verordening gegevensbescherming (de Verordening). Het doel van de Verordening is om persoonsgegevens van de EU-burgers beter te beschermen, de huidi­ge richtlijn en nationale wetgevingen (zoals de WBP) te vervangen, en de gegevensbescherming aan te passen aan de technologische ontwikke­lingen en globalisering in de eenentwintigste eeuw. Let wel, de tekst van de Verordening is nog niet definitief. Gezien het aantal amendementen dat is ingediend (meer dan drieduizend) is het waarschijnlijk dat de uiteindelijke tekst van de Verordening substantieel afwijkt van het voorlig­gende concept.

De meest relevante bepalingen van de concept Verordening zijn:

De Verordening is rechtstreeks van toepassing in de hele Europese Unie en geldt voor een ver­antwoordelijke die is gevestigd in een lidstaat van de EU, ongeacht of het verwerken van gegevens in de EU plaatsvindt of niet; en een verantwoor­delijke die is gevestigd in een niet-EU-lidstaat die gegevens verwerkt in verband met het aanbie­den van goederen of diensten aan personen bin­nen de EU, of die gegevens verwerkt in verband met het observeren van hun gedrag, al dan niet via internet. Er is een focus op harmonisatie van de dataprotectiewetgeving binnen EU-lidstaten.

Een verantwoordelijke dient een beleid te ontwikkelen en effectieve maatregelen te nemen om ervoor te zorgen dat de verwerking van per­soonsgegevens verloopt in overeenstemming met de Verordening. De Verordening vereist verder dat een onderneming inzichtelijk maakt op welke wijze zij voldoet aan de bepalingen van de Verordening (bijvoorbeeld een beschrijving van alle verwerkingen van gegevens die plaatsvinden onder het gezag van de verantwoordelijke).

Elke onderneming of vestiging met meer dan 250 werknemers of elke organisatie waarvan de kernactiviteit bestaat uit het stelselmatig en sys­tematisch monitoren van personen, is verplicht een functionaris gegevensbescherming (‘data pro­

tection officer’) aan te wijzen. Deze functionaris houdt toezicht op de naleving van de Verordening binnen de organisatie en brengt rechtstreeks verslag uit aan de leidinggevende.

• Er is een verplichting om aan de toezicht­houder te melden als er inbreuk is gepleegd op de databescherming. Die melding moet zonder vertraging en – indien mogelijk – binnen 24 uur geschieden. De verantwoordelijke moet in principe ook de betrokkenen informeren over het geconstateerde datalek indien dit datalek negatieve gevolgen heeft voor de privacy van de betrokkenen. Voor ondernemingen die in meer­dere EU-lidstaten gegevens verwerken is het afdoende om te melden aan de toezichthouder in het land waar de hoofdvestiging van die onderne­ming gevestigd is.

• De beveiligingsbepaling in de Verordening is gelijk aan die uit de Richtlijn. Nieuw is wel dat de risico’s die de verwerking en de aard van de te beschermen persoonsgegevens met zich mee­brengen geëvalueerd moeten worden. Hierop moeten de beveiligingsmaatregelen gebaseerd worden.

• De boetes voor niet-naleving van de bepalin­gen van de Verordening variëren tussen 0,5 en 2 procent van de wereldwijde omzet van een organisatie. Voor organisaties of vestigingen met minder dan 250 werknemers wordt bij een eerste niet-opzettelijke overtreding een waarschuwing gegeven.

 

KADER

Waar worden data verwerkt?

Hoe kun je vaststellen welke regels van toepassing zijn voor data in cloudomgevingen? Het bepalen van de locatie waar data worden verwerkt en- of opgeslagen biedt geen soelaas. De essentie van cloudcomputing is namelijk dat opslag- en verwerkingscapaciteit niet aan een locatie gebonden zijn, maar dat ze flexibel kunnen wor­den bij- of afgeschakeld. Juist die flexibiliteit bepaalt het succes van cloudoplossingen. Door opslag- en verwerkingscapaciteit flexibel te houden, ontstaat de schaalgrootte die tot efficiency leidt en daarmee tot reductie van kosten voor de afnemer. Daarnaast moeten data beschikbaar, vertrouwelijk en inte­ger zijn en is een snel en flexibel netwerk vereist. Dat impliceert dat een cloudinfrastructuur geografisch gespreid is en doorgaans wereld­omspannend. Grote leveranciers van clouddiensten hebben vaak drie grote verwerkingscentra: één in de VS, één in Azië en één in Europa. De geleverde diensten zijn vervol­gens weer sterk geabstraheerd van de locatie van de infrastructuur. Hierdoor is voor een klant van een clouddienst nauwelijks te bepalen waar zijn gegevens op enig moment zijn. Los van de (on)mogelijkheid op de fysieke locatie van data te bepalen is er ook nog een praktisch probleem van geheel andere aard. Leveranciers van clouddiensten zijn doorgaans niet gecharmeerd van audits over de locatie van data. Te meer omdat elke nieuwe klant zelf wil bepalen waar data zich bevin­den. Bovendien heeft elke klant een eigen uitgangspunt voor een audit, waardoor de aanbieder zich voort­durend moet bezighouden met de audits van klanten.

Ter verduidelijking van de nogal complexe materie die toegang tot gegevens in de cloud door Amerikaanse autoriteiten is, behan­delen we twee fictieve cases. In deze cases nemen we de uitgebreidere informatie mee van de bepalingen van Amerikaans Federaal Recht, opgenomen in Annex 3.

Voorbeeld cloudcomputing

Een in Nederland gevestigd encryptiesoftwarebedrijf heeft geen vestigingen in Amerika en doet daar ook niet continu zaken. De werknemers zijn Nederlanders. Het softwarebedrijf beschikt over een bestand van persoonsgegevens van de klanten, dat in het kantoor in Nederland staat. Het bedrijf heeft een applicatie ontwikkeld om voor elke klant relevante aanbiedingen te selecteren en te verzenden. Deze applicatie draait binnen de Amazon Elastic Cloud Compute-dienst op een cloudinfrastructuur die geheel binnen Europa gesitueerd is.

Ongeacht welke Amazon-entiteit exact de clouddienst levert, waar­schijnlijk valt in ieder geval één Amazon entiteit die ‘possession, custody or control’ over de gege­vens heeft onder de rechtsmacht van de Verenigde Staten. Dit is onder meer waarschijnlijk omdat de door Amazon gescheiden cloudinfrastructuur met het oog op back-upvoorzieningen in geval van calamiteiten toegang heeft tot infrastructuur in andere regio’s. De regionale netwerken zijn dus niet in die mate afgeschermd dat er geen communicatie over en weer kan optreden.

Het is verder niet ondenkbaar dat het bestand van personen die encryptiesoftware hebben aange­schaft relevant is voor het vermo­gen van de Verenigde Staten om zich te verdedigen tegen aanvallen van terroristen. Nagaan of beken­de terroristengroeperingen de software aankopen valt dus onder ´foreign intelligence information´. Autoriteiten in de Verenigde Staten kunnen daarom in beginsel toe­gang hiertoe krijgen door gebruik te maken van veiligheidsbepalin­gen. Als Amerikaanse autoriteiten inderdaad toegang verzoeken, is het goed mogelijk dat er een ‘gag order’ opgelegd wordt, zodat het Nederlandse bedrijf in beginsel nooit te weten komt dat deze per­soonsgegevens bij Amazon worden opgevraagd en het niet aan haar klanten kan melden. Washington gingen duizenden bezorgde Amerikanen de straat op om te demonstreren tegen hun eigen spionagedienst, de NSA.

Voorbeeld ministerie

Het ministerie van Binnenlandse Zaken heeft biometrische gegevens van de gehele Nederlandse bevol­king in beheer. Het gaat specifiek om vingerafdrukken. De IT hier­voor is ge-outsourced in Belfast, bij een lokale IT-dienstverlener. Dit omvat ook de opslag van al deze gegevens en het hosten van de applicatie waarmee deze benaderd kunnen worden voor identiteitsve­rificatie. De IT-dienstverlener heeft geen vestigingen of groepsmaat­schappijen in de Verenigde Staten, doet daar ook niet continu zaken en heeft geen Amerikaanse werk­nemers. Het bedrijf maakt echter wel gebruik van een onderaan­nemer waar parallel een back-up van de applicatie en de databank met persoonsgegevens draait. De onderaannemer kan zich voor supportdoeleinden toegang ver­schaffen tot die applicatie en tot de databank. Deze onderaannemer heeft een vestiging in de Verenigde Staten. Nu de onderaannemer onder Amerikaans rechtsmacht valt, kan de Amerikaanse over­heid zich toegang verschaffen tot de opgeslagen gegevens. Er valt goed te beargumenteren dat deze gegevens ‘foreign intelligence infor­mation’ bevatten. Om een dwars­straat te noemen: de Verenigde Staten zouden bij hen bekende vingerafdrukken van vermeende terroristen kunnen matchen met de Nederlandse databank. En ook hier geldt dat het mogelijk is dat het Nederlandse ministerie nooit weet heeft van toegang door de Amerikaanse autoriteiten.

Rolf Kuijpers is managementconsultant bij Quint Wellington Redwood, een adviesbureau dat zich richt op het grensvlak van organisatie en IT.

E-mail: r.kuijpers@quintgroup.com

 

 

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag