Steeds meer bedrijven en overheden stappen over op cloud computing. Deze ict-oplossing kent veel voordelen. Podiumauteurs Kurt de Koning en Tom Louwrier waarschuwen echter ook voor de risico’s.
Momenteel staat cloud computing sterk in de belangstelling. Voornaamste redenen zijn kostenbesparing en kwaliteitsverbetering. Ook (lokale) overheden kijken om die redenen steeds meer naar cloud computing. Daarnaast drijven de eisen die momenteel aan lokale en gemeentelijke overheden worden gesteld hen ook naar cloud computingoplossingen. Het ligt dan ook in de lijn der verwachtingen dat steeds meer overheden de stap naar cloud computing maken. Tot dusver niets bijzonders. Wij burgers geven graag onze goedkeuring als overheden in het kader van bezuinigingen kiezen voor ‘value for money’. 'De cloud' is echter een markt die vooral wordt gedomineerd door buitenlandse bedrijven.
Inzet van Patriot Act
Na de terreuraanslagen in 2001 op de Twin Towers en het Pentagon heeft de Bush Administration de Patriot Act aangenomen. Een wetgeving gericht op het voorkomen van (terreur)aanslagen op Amerikaanse staatburgers en -bezittingen. De Patriot Act geeft de Amerikaanse overheid vergaande bevoegdheden om informatie op te eisen zonder daarvan zelfs de eigenaar hierover te hoeven informeren. Dat het hier om vooral persoonlijke en privacygevoelige gegevens gaat, ligt voor de hand. Dit is kennelijk de prijs die betaald moet worden voor ‘democratie en vrijheid’.
Onder president Obama is het aantal malen dat een beroep op deze wet is gedaan meer dan verdubbeld ten opzichte van de twee periodes onder president Bush. Het is duidelijk dat overheidsorganen snel verslingerd raken aan nieuwe mogelijkheden om informatie te verzamelen, en dat dit los staat van het politieke kamp van de regering. Inmiddels wordt in de VS openlijk het nut en de noodzaak van deze wet steeds meer ter discussie gesteld. De uitvoering van de wet is namelijk nogal schimmig want wie controleert de uitvoerders?
Ver van mijn bed show
Tot op heden leek deze wet vooral een interne Amerikaanse aangelegenheid en voor de rest van de wereld een ver-van-mijn-bed-show. Leek, want met de steeds verdergaande globalisering dreigt deze wet zijn tentakels ook op Nederlands grondgebied uit te strekken.
Met de opkomst van cloud computing vervagen de landelijke grenzen en wetgeving van landen. Data worden opgeslagen op servers die letterlijk overal op de wereld staan. Deze data worden beheerd door beheerders die zich ook overal op de wereld bevinden. Bij voorkeur daar waar deze het goedkoopst is.
De grootste aanbieders van cloudoplossingen zijn Amerikaanse bedrijven zoals: Amazon, Microsoft, Google, IBM, HP, Apple, etc. Deze bedrijven zullen zich aan de Amerikaanse wet (Patriot Act) moeten houden. Zoals gesteld biedt deze wet de Amerikaanse overheid het recht om persoonlijke data en privacygevoelige gegevens van ook Nederlandse staatsburgers in te zien zodra deze zijn ondergebracht bij genoemde organisaties.
Locatie maakt niet uit
Stel dat de servers op Nederlandse of Europese bodem staan, heeft de Amerikaanse overheid dan nog steeds het recht om de gegevens in te zien? De essentie van de Patriot Act is dat de Amerikaanse overheid een bedrijf wat (deels) gevestigd is in de VS kan dwingen om gegevens af te staan. De locatie van de servers is hierbij niet relevant, het gaat om de mensen die er aan werken.
De enige relevante vraag is dus waar de beheerders zich bevinden, of beter gezegd: onder welke jurisdictie zij vallen. Zelfs al staan de servers op een locatie in Nederland en zijn de beheerders Nederlanders dan nog valt de informatie onder de Patriot Act als het moederbedrijf is gevestigd in Amerika. Ga je in zee met een zuiver Europese of Nederlandse provider en neem je een volledig private cloud dan sta je op dit vlak een stuk sterker.
Weinig bescherming
Een overeenkomst met de Nederlandse of Europese dochter van zo'n bedrijf kan altijd worden overruled door een overheidsinstructie aan het deel van het bedrijf wat wel onder Amerikaanse wetgeving valt. En aangezien noch internet, noch beheernetwerken erg gebonden zijn aan landsgrenzen kun je er vanuit gaan dat je data vroeg of laat die kant op kan (zal) gaan.
De Patriot Act is duidelijk in strijd met Europese en Nederlandse regelgeving op het gebied van privacybescherming. Maar dat maakt natuurlijk niet uit als je in de VS zit, of in een ander land met vergelijkbare ideeën over inzien van andermans data (om welke reden dan ook).
Burgers hebben geen keuze
Wanneer een bedrijf er voor kiest om zijn ict in de ‘cloud’ onder te brengen dan heb je als klant of afnemer nog de – soms theoretische – keuze om geen zaken meer te doen met die bewuste organisatie. Als burger bestaat zelfs die theoretische keuze niet meer. Er is geen acceptabel of redelijk alternatief als de gemeente waar je woont er voor kiest om delen van de gemeentelijke administratie in 'de cloud’ onder te brengen. En dat, terwijl het wel om jouw persoonlijke gegevens gaat.
Als burgers geen keuze hebben dan is er nog onze parlementaire democratie in Nederland. Je zou verwachten dat waar het om zulke belangrijke en gevoelige zaken gaat als privacy dat onze volksvertegenwoordiging het initiatief neemt en op z’n minst met richtlijnen komt waar dezelfde overheid zich aan moet houden.
Helaas is dat nog niet het geval., maar enig besef lijkt te komen. Minister Opstelten van Justitie en Veiligheid kon op de Kamervraag van Gerard Schouw over hoe vaak de Amerikaanse overheid al om persoonsgegevens heeft gevraagd, geen antwoord geven. Waarom niet? Omdat de betrokkenen deze informatie niet vrijgeven. Misschien ligt hier een rol voor het College Bescherming Persoonsgegevens (CBP) als toezichthouder? Zij zijn onafhankelijk en bepalen zelf hun agenda.
Europese wetgeving
Op nationaal en Europees niveau is er de laatste jaren het nodige aan wet- en regelgeving opgetuigd onder de noemer 'Safe Habour'. Zoiets is natuurlijk alleen zinnig als alle betrokken partijen zich hier volledig aan committeren. Binnen de EU kan dat nog wel gelden, maar daarbuiten hebben bedrijven en burgers zich te voegen naar de wetten van het land waar ze zich bevinden. Er gaat dus maar zeer beperkte bescherming uit van deze wetten.
Afgelopen zomer trok Minister Opstelten om onduidelijke redenen een standpunt in dat de bescherming van de privacy beloofde voor burgers die clouddiensten afnemen. Dit standpunt zou leveranciers sterk aan banden hebben gelegd. Hiermee lijkt wetgeving die het lastig maakt voor leveranciers die zich aan de Patriot Act moeten houden, te sneuvelen. Het betreft namelijk een markt die vooral wordt gedomineerd door grote Amerikaanse bedrijven. De genoemde bescherming zou ook als consequentie hebben dat deze bedrijven uitgesloten moeten worden van aanbestedingen door de overheid.
In Brussel wil(de) Neelie Kroes strengere regels op het gebied van databescherming binnen cloud computing. Ook zij loopt echter tegen het fenomeen aan dat cloud computing en internet niet stoppen bij de grenzen van de Europese Unie.
Ten slotte, roept de Nederlandse Europarlementariër Sophie in ’t Veld met vijf andere parlementariërs de Europese Commissie op om de VS aan te spreken op het respecteren van de Europese privacywetgeving van Europese burgers binnen Europa. In hoeverre dat succes heeft laat nog op zich wachten. Het is maar de vraag of en wanneer dit uiteindelijk aan de orde komt, Amerika dit daadwerkelijk zal respecteren. Controle hierop blijft buitengewoon lastig.
Praktijkvoorbeeld
Iemand die in de praktijk al heeft ondervonden hoever de Amerikaanse overheid wil gaan, is de Nederlandse ‘hacker’ Rop Gonggrijp. De Amerikaanse overheid heeft Twitter bevolen om de gebruikersdata van en over Rop af te staan. Dit is al door een Amerikaanse hogere rechter bevestigd. Hoewel Rop niet als verdachte in de Wikileaks affaire te boek staat, wil de overheid specifieke privégegevens inzien. Naar het waarom hiervan valt slechts te gissen.
Doordat hier een rechtszaak over is gevoerd is deze aanvraag aan de oppervlakte gekomen. Aanvragen gebaseerd op de Patriot Act zullen veelal niet tot een rechtszaak leiden maar stilzwijgend worden uitgevoerd.
Hoe nu verder?
Ieder weldenkend mens zal op z’n minst terughoudend reageren als hem wordt gevraagd hoe hij staat tegenover de mogelijkheid dat vreemde mogendheden ongevraagd en ongemerkt inzage hebben in zijn persoonlijke en privégegevens. Het is dan op z’n minst vreemd dat deze gegevens – zonder dat wij als burger hierover geïnformeerd zijn – toch hieraan worden blootgesteld. Kamervragen is toch wel het minste wat verwacht mag worden.
Water stroomt altijd naar het laagste punt. Voor kostenbesparing lijkt cloud computing op het moment zo'n ‘laagste punt’ te zijn. Het kan echter niet zo zijn dat enkel omwille van de kosten de privacy en persoonlijke gegevens van de burger vrijelijk ter inzage komen van vreemde mogendheden, of deze nou bevriend zijn of niet. De overheid draagt hier een bijzondere verantwoordelijkheid jegens de burger, op lokaal en nationaal niveau en dient deze verantwoordelijkheid serieus te nemen.
Ict-kostenbeheersing en -besparingen zullen en kunnen op andere manieren gerealiseerd worden. Te beginnen met het inzichtelijk maken van de bestaande kosten. Dit blijkt in de praktijk al een hele opgave te zijn. Echter, met de juiste middelen en methodieken is dit binnen afzienbare tijd en tegen aanvaardbare kosten te realiseren. Correct inzicht is de basis voor kostenbeheersing en pas daarna kan gekeken worden wat daarbij de best passende (kostenreductie) oplossing is. Hierbij moet altijd worden gezorgd dat de kwaliteit van de voorzieningen aan de juiste eisen voldoet. Informatiebeveiliging is een belangrijk aspect van deze kwaliteit. En dat geldt zeker voor overheden.
Dit opiniestuk richt zich vooral op de bekende Patriot Act. Het is zeker niet uitgesloten dat andere overheden soortgelijke wetgeving hebben.
Eerdere bijdrage
Over de auteur:
Dit podiumartikel is geschreven door Kurt de Koning en Tom Louwrier, managing partner Ratio Consultants
Over het podium:
Ook uw visie geven op ontwikkelingen binnen uw vakgebied? Plaats een artikel op MT Podium. Log in op mt.nl/profiel en voeg onder 'activiteiten' uw artikel toe. Interessante bijdragen worden meegenomen in de nieuwsbrief en op home geplaatst. MT Magazine publiceert bovendien periodiek 'Het beste van MT Podium'.
