De cloud is niet nieuw, maar wel anders. Outsourcing maar dan naar internet, kort door de bocht gezegd. Maar cloud computing is nog onvolwassen en het aanbod verre van transparant. Bovendien is de cloud een droom voor hackers. Is de cloud daarmee een juridisch mijnenveld, vragen we aan Kees Stuurman en Elisabeth Thole.
iBestuur organiseert in de reeks juridische seminars op 13 maart 2014 een bijeenkomst waarbij juristen in het eerste deel de essentiële technologische cloud-kennis krijgen aangereikt zodat in het tweede deel de juridische aspecten van de cloud helder gedefinieerd en bediscussieerd kunnen worden. Mmv onder andere Kees Stuurman en Elisabeth Thole.
“De cloud heeft inderdaad wel iets van een mijnenveld omdat er veel juridische haken en ogen aan zitten. Maar laten we niet overdrijven. De cloud is een vorm van outsourcing. Je deelt resources. Dat is allesbehalve nieuw in de IT. Door de komst van het internet zijn er wel nieuwe vragen bijgekomen en alles is daardoor een stuk complexer geworden.”
Kees Stuurman is partner bij het advocatenkantoor Van Doorne in Amsterdam en tevens hoogleraar Normering van Informatietechnologie aan de Universiteit van Tilburg. Hij plaatst cloud computing in een historisch perspectief en benadrukt van daaruit dat deze vorm van dienstverlening momenteel nog onvolgroeid is.
“Het aanbod van veel providers is nog onvoldoende transparant. Vaak is niet precies duidelijk wat er wordt geleverd. Bovendien doen zich voortdurend veranderingen voor in het onderliggende platform, in applicaties, enzovoort. Dat is eigen aan cloud computing, omdat het een dynamische omgeving is die steeds verder wordt ontwikkeld, maar wel iets om alert op te zijn.”
Verder verplaatsen cloud providers zich nog onvoldoende in hun klanten, signaleert Stuurman. “Neem exit-regelingen. De gebruiker heeft belang bij een gegarandeerde continuïteit van de gegevens- verwerking. Dat betekent dat die gegevens altijd teruggeleverd moeten kunnen worden in een formaat dat in een andere omgeving weer leesbaar en bewerkbaar is. Maar in de praktijk zie je vaak dat er alleen maar vage beloften worden gedaan. Dit betekent dat je risico’s loopt.”
Stuurman onderstreept in dit verband het belang van standaarden, zoals ze onder meer door het Open Cloud Forum ontwikkeld worden. “Algemeen aanvaarde standaarden op dit punt zouden een uiting zijn van de maturity van clouddiensten.”
En dan hebben we uiteraard nog security en privacy. “De cloud is een droom voor hackers, omdat heel veel gegevens op één punt worden geconcentreerd. Daarom moet je altijd iedere nieuwe ontwikkeling scherp tegen het licht houden en checken op risico’s. Ga er niet van uit dat de provider dit wel voor je doet. Zorg altijd voor voldoende expertise in eigen huis.”
Als laatste hobbel noemt hij audits. “Je kunt niet van cloud providers verlangen dat ze iedere klant de mogelijkheid bieden audits in hun datacenter uit te laten voeren. Dat zou grote veiligheidsrisico’s met zich meebrengen. Dus moeten er goede, standaard regels zijn over audits en wie die uitvoert. Ook dergelijke regels ontbreken in de praktijk maar al te vaak.”
Privacy
“Nee,” zegt Elisabeth Thole stellig. “De cloud is geen juridisch mijnenveld. Dat is een te groot woord. Het zou betekenen dat er geen doorkomen aan is en dat klopt niet, want er zijn wel degelijk oplos- singen mogelijk.” Thole is hoofd van het privacyteam van het advocatenkantoor Van Doorne in Amsterdam. Haar specialisme is het privacy-compliant maken van bedrijven en instellingen.
Grote voorzichtigheid is daarbij wel geboden, beaamt ze. “De onthullingen van Snowden hebben alles op scherp gezet, maar eigenlijk wisten we dit in grote lijnen al. Na het in werking tre- den van de US Patriot Act zijn bedrijven die onder Amerikaanse jurisdictie vallen onder bepaalde voorwaarden gedwongen privacygevoelige data aan de Amerikaan- se overheid te verstrekken. Meestal ook zijn ze verplicht daarover geheimhouding te betrachten. Dit is het geval als er een zogenaamde ‘gag order’ is uitgegeven. Als dit gebeurt, overtreedt je als verwerker van de data onze nationale en Europese regelgeving rondom privacy. Zonder dat je dit weet. En diezelfde regelgeving stelt jou daarvoor wel verantwoordelijk.”
Onder Amerikaanse jurisdictie vallen houdt veel meer in dan vaak wordt aangenomen, verduidelijkt ze. “Het gaat niet alleen om bedrijven die in de VS hun hoofdvestiging hebben, maar ook om bedrijven die op regelmatige basis zaken doen met de VS. Dat maakt dit een erg ruim begrip.”
Haar motto is dan ook: bezint eer ge begint. “Ziekenhuizen en andere instellingen die met sterk privacy-gevoelige data werken, kunnen maar beter afzien van de inzet van public cloud-diensten. Er zijn overigens ook wel voorstellen om te kiezen voor een Europese cloud, maar ook Europese overheden vragen privacy-gevoelige gegevens op. Belangrijk is dat je kijkt of je met de cloud provider kunt onderhandelen over de voorwaarden. Contractueel kun je mogelijk best wel wat bereiken. Bijvoorbeeld door uit te gaan van best practices. En ook de EU werkt aan oplossingen. Er is nu regelgeving in de maak die voorstelt dat bedrijven niet meer mogen meewerken aan inzageverzoeken van buiten de EU, tenzij er een verdrag met zo’n land is en er bovendien uitdrukkelijk toestemming wordt verleend door de nationale privacy-toezichthouder, zoals het CBP in ons land. Dus ook de EU is volop bezig dit allemaal beter te regelen.”