Unox-cloud
Mail afhandelen, gegevensopslag, data versleutelen, spam filteren, CPU-power leveren, wordprocessing, boekhouding, back-ups. Cloud services zijn typisch niemands core business behalve die van de dienstverlener. Schaalvoordeel zorgt voor een goede prijs/prestatieverhouding. De voordelen zijn evident, maar er is twijfel.
Is het wel veilig? Kan ik er wel altijd bij? Gaan ze niet in onze gegevens neuzen? Inderdaad, in het recht zit een addertje onder het gras.
Toenmalig minister van Binnenlandse Zaken Donner zag wel mogelijkheden voor het Rijk in de cloud, maar hij vond de argumenten tegen een ‘open’ cloud toch zwaarder wegen dan de voordelen. Waarbij ‘open’ staat voor zaken doen met al die partijen op internet.
De problemen zitten hem onder meer in de privacybescherming die te wensen overlaat. De FISA (Foreign Intelligence Surveillance Act) en de Patriot Act maken dat de Amerikaanse overheid gemakkelijk kan meekijken. En dat blijft niet beperkt tot Amerikaanse bedrijven. Als er maar ergens een Amerikaans luchtje aan zit, valt het onder die regelgeving. En dat is nogal snel. Het EPD bijvoorbeeld wordt door een Amerikaans bedrijf beheerd, dus daar kunnen de Amerikanen in kijken op basis van de Patriot Act.
De Nederlandsche Bank heeft er nog een probleem bij: het recht op audit is standaard afwezig bij clouddiensten. Daarom was het banken, pensioenfondsen en andere onder de DNB vallende organisaties verboden om clouddiensten af te nemen van dergelijke partijen. Microsoft is nu door de knieën gegaan voor DNB, dus de ontzegging van het auditrecht is weggenomen voor instellingen die onder toezicht van DNB staan. Dit laat zien wat voor powerplay er nodig is om die cloudleveranciers tot aanpassing te krijgen.
The ‘right to examine’ staat nog los van de vraag of je überhaupt wel wilt dat bankgegevens gemakkelijk inzichtelijk worden voor de Amerikanen. Dan hebben ze naast de medische gegevens ook nog de financiële gegevens namelijk. Maar ja: daar gaat DNB niet over, denk ik dan maar.
En dan is er nog je eigen recht op audit in de cloud. Je wilt natuurlijk wel kunnen laten vaststellen dat men geen flauwekul uithaalt met je gegevens. Worden die niet doorverkocht aan derden? En je wilt laten vaststellen dat de geleverde diensten van voldoende kwaliteit zijn. Bijvoorbeeld of die dienst voldoet aan de code voor informatiebeveiliging of de Wet bescherming persoonsgegevens.
De Minister van BZK had wel een oplossing: “Het kabinet kiest er daarom voor een gesloten rijkscloud in eigen beheer in te richten als een voorziening die generieke diensten levert binnen de rijksdienst. Deze voorziening wordt ingericht binnen een eigen beveiligd netwerk en beheerd door een eigen, rijksbrede organisatie.”
Dus geen fratsen maar gewoon alles van eigen bodem. Dienstverleners, machines, lijnen, locatie, software. Alles volgens oer-Hollands recept. Kortom, de Unox-cloud.
