Gegevens opslaan in de cloud gaat over meer dan alleen bedrijfsvoering. Het vereist ook een bestuurlijke afweging.
Cloud computing, of zoals toenmalig minister van Binnenlandse Zaken en Koninkrijksrelaties het zo mooi vertaalde, wolkenrekenen, blijft een bron van controverses. Want de slogan ‘there is no cloud, only other people’s computers’ is ergens wel waar.
Het laatste relletje, inclusief Kamervragen (en hun gebruikelijke onderkoelde beantwoording) was in afgelopen maart. Het Algemeen Dagblad publiceerde een artikel over de opslag van zorggegevens in de Google cloud door een toeleverancier van een aantal ziekenhuizen, een gedachte waar lang niet iedereen zich comfortabel bij voelt. In dit blog noem ik een vijftal principes om in gedachten te houden bij beleidsoverwegingen over dit vraagstuk.
Als eerste het geruststellende bericht in de reacties van desbetreffende leverancier, die ook terugkwamen in de ministeriële beantwoording van de Kamervragen: de gegevens waren door de toeleverancier én door Google versleuteld. Dus twee maal versleuteld. Versleutelen van persoonsgegevens, helemaal van gezondheidsgegevens, is eigenlijk wel een vereiste. Tegelijkertijd is het verre van een wondermiddel. Om te beginnen hebben versleutelingsalgoritmen een beperkte levensduur én kunnen nogal verschillend worden toegepast. ENISA (zeg maar de euro-NCSC) heeft hier voor het laatst in 2014 over gepubliceerd en deed daarbij aanbevelingen voor welke algoritmen en sleutellengtes te gebruiken voor opslag tot tien jaar en opslag die langer dan tien jaar veilig moest blijven. Uit de nieuwsberichten valt niet op te maken welke algoritmes gebruikt zijn, welke sleutellengtes gehanteerd zijn en hoe andere praktische details zijn geregeld.
De tweede was dat er sprake is van pseudonimisatie, waarbij in sommige nieuwsberichten in één adem gesuggereerd werd dat de gegevens daardoor niet meer herleidbaar zouden zijn tot individuen. Dit is een hardnekkig sprookje onder zowel beleidsmakers, IT’ers als journalisten. Pseudonieme data is niet gelijk te stellen met anonieme data en is veelal kinderlijk eenvoudig opnieuw te herleiden tot personen. De Europese wetgever heeft er bewust voor gekozen om deze praktisch gelijk te stellen aan persoonsgegevens in de Algemene verordening gegevensbescherming (AVG). Wie anonimisering wil bewerkstelligen zal niet met data over individuele gevallen moeten werken, maar over groepen. En dan van minimaal vijftien à vijfentwintig mensen groot.
De Kamervragen snijden een interessant probleem aan: ook al worden gegevens op Europese bodem opgeslagen, als een betrokken leverancier voldoende belangen in de Verenigde Staten heeft, zijn er instrumenten (zowel de PATRIOT als de CLOUD act) voor Amerikaanse overheidspartijen om deze gegevens op te eisen. Eigenlijk is het niet zo interessant dat hier een Amerikaanse partij bij betrokken is. Een Nederlandse hostingpartij die, al dan niet via zuster- of dochterondernemingen, (te) groot in de Verenigde Staten is, is evenzeer vatbaar voor dit soort inzagediscussies met de Amerikaanse overheid. En deze situatie laat zich uiteraard nog makkelijker vertalen naar een hostingpartij in bijvoorbeeld Chinese handen. Het is een prima uitgangspunt in het ICT-inkoopbeleid dat gegevens binnen de Europese Economische Ruimte verwerkt moeten worden. De logische vervolgstap is de leveranciers selecteren op de mate waarin ze immuun zijn voor dit soort wetgeving van buiten Europa.
Moet ICT daarom dan altijd in eigen handen blijven? Dat hangt er maar vanaf. Beveiliging is een vak en goede informatiebeveiliging is makkelijker te realiseren voor een (grote) gespecialiseerde cloudprovider dan voor een zorginstelling. Of voor een, bijna per definitie, in vergelijking met Google kleine toeleverancier van zorginstellingen. Daar komt nog bij dat ongeacht de eigendomsstructuur van de ICT-toeleverancier er gebruikgemaakt zal worden van componenten van een betrekkelijk kleine kring van leveranciers. Parallel aan het debat wat over de 5G-netwerkcomponenten van het Chinese Huawei is opgelaaid, kunnen soortgelijke vragen over Amerikaanse componentleveranciers gesteld worden. Zo is er nog zeer recent een achterdeur gevonden in netwerkapparatuur van het Amerikaanse Cisco.
Uiteindelijk is dit een probleem wat vooral politiek moet worden opgelost. Het is namelijk een vraagstuk over rechtsmacht en de grenzen daarvan. De huidige internationale trend is dat overheden proberen af te dwingen dat zij bij data kunnen, ongeacht de fysieke locatie van de data. De Amerikaanse CLOUD act heeft een Europese evenknie in wording in de vorm van de voorgestelde e-Evidence richtlijn, maar ook onze eigen Wiv 2017 en de Wet Computercriminaliteit III bevatten elementen die de traditioneel territoriale grenzen van de Nederlandse rechtsmacht overstijgen.
In een verkillend geo-politiek klimaat worden de beloften van cloud computing, die altijd gebaseerd waren op onafhankelijkheid van plaats, wel wat wrang. Wie uit oogpunt van doelmatigheid gebruik wil maken van deze mogelijkheden doet er goed aan om voor zichzelf de afwegingen op een rijtje te zetten. Dit is geen bedrijfsvoeringsvraagstuk meer, maar vereist ook een bestuurlijke afweging. Het is namelijk niet vanzelfsprekend dat een “bevriende mogendheid” ook zo vriendelijk is als het gaat om de data die voor ons verwerkt worden, maar laten we niet vergeten dat de ICT-bedrijfstak zelf ook nog flink onvolwassen is als het om informatiebeveiliging gaat en op zichzelf al een fors risico met zich meebrengt. Maar dat is voer voor een apart blogje.
Walter van Holst is adviseur bij PBLQ met een focus op gegevensbescherming, privacy, open standaarden en open source in de publieke sector.
Ik blijf me verwonderen over het “data moet binnen het Europese grondgebied blijven”. Dat geeft geen enkele garantie, zoals ook min of meer duidelijk wordt uit het artikel.
Bij mijn weten is er geen enkele richtlijn, die voorschrijft waar data zich mag bevinden, en is de uitspraak, dat het binnen de EU moet zijn een uitspraak, die een eigen leven is gaan leiden.
Zie zoek.officielebekendmakingen.nl/ah
Beste Frank,
Hoofdstuk V AVG beschrijft de relevante regels hier, hoofdregel is art. 44 AVG dat er geen gegevens buiten de EER verwerkt mogen worden.