Het slepende cloud-conflict tussen Microsoft en de Amerikaanse overheid lijkt voorbij. In maart dit jaar hebben de Amerikanen de Cloud Act, een nieuwe wet die het mogelijk maakt om beslag te leggen op data opgeslagen in het buitenland, zowat geruisloos door het senaat geloosd. Microsoft heeft opgevraagde informatie, die opgeslagen was op zijn servers in Ierland, inmiddels overgedragen aan de Amerikaanse autoriteiten.
De CLoud Act bevat een clausule die dicteert dat Amerikaanse organisaties verplicht zijn ‘buitenlandse’ data over te dragen. Mits niet in strijd met de wetgeving in het land waar deze opgeslagen staat. Is onze Europese GDPR of Nederlandse AVG-wetgeving wel opgewassen tegen de wil van de Amerikaanse overheid?
De (schijn)veiligheid
Stel, u overweegt om uw data bij een cloud-leverancier onder te brengen. Dan bent u afhankelijk van wat anderen met die data doen. Het recente Facebook dataschandaal is daar een goed voorbeeld van.
Facebook is een mega-organisatie met enorme clusteringen aan data in beheer. En toch ‘overkwam’ hen het dat die data op andere, oneigenlijke manieren werd gebruikt. Misschien overweegt u wel om uw data bij een grote speler (zoals Microsoft, Amazon en Google) in de markt weg te zetten. Dat geeft wellicht een gevoel van veiligheid. Zo’n grote partij valt namelijk niet van de een op de andere dag om en wordt ook niet zomaar overgenomen. Echter, met de invoering van de Cloud Act heeft de Amerikaanse overheid tegenwoordig blijkbaar iets over die data te zeggen.
Wat Facebook nog ‘overkwam’ is nu dus de standaard en vastgelegd in de wet. Het zal dan wel niet zo’n vaart lopen. Amerika is een ‘vertrouwde’ overheid. Maar het geeft wellicht een beter gevoel als uw data niet onder invloed staat van de Amerikaanse wetgeving.
Overnames en faillissementen
U kunt natuurlijk ook overwegen om uw data bij een kleinere cloud-speler neer te zetten. Dan staat het in Europa, of misschien beter nog, in Nederland. Dan heeft u in ieder geval niets te maken met meneer Trump die beslag kan leggen op uw data
Maar wat gebeurt er met die data wanneer de kleinere speler wordt overgenomen, of in het ergste geval, failliet gaat? Wat gebeurt er dan met uw data en hoe veilig is die dan nog? Ergo, of er nu gekozen wordt voor een grote of kleinere partij, u bent altijd overgeleverd aan factoren die je niet kunt beïnvloeden en die niet afgedekt kunnen worden met een bewerkersovereenkomst.
Keuzestress
De cloud is in feite niets anders dan uw gegevens op iemand anders zijn computer zetten. De grote vraag is en blijft dan ook, waar staat dat kreng? Ofwel, welke lokale wetgeving is van toepassing, nu en in de toekomst? Dus wat kan er nu wel in de cloud en wat niet? Heel simpel, gegevens die in de eigen omgeving staan, vragen niet om extra maatregelen. Terwijl data in de cloud dat per definitie wel nodig heeft. Organisaties hebben nu eenmaal vaak te maken met gevoelige gegevens. Eigen gegevens, zoals offertes of ip-gegevens, wil men niet met anderen delen. En als het over persoonsgegevens gaat, zegt de wet daar iets over. In beide gevallen wilt u niet dat derden (cloud-leveranciers) toegang hebben tot die gegevens.
Stel, u zet al uw data buiten de deur – in de cloud dus. Maar dan wil meneer Trump ineens bij die data kunnen. Er is dan wel keurig een bewerkersovereenkomst opgesteld om uzelf juridisch in te kunnen dekken. Maar geldt die nog ten opzicht van de Cloud Act? Het Microsoft-datacenter in het Ierse Dublin bleek binnen het bereik te zijn van de Amerikaanse veiligheidsdiensten. Denkt u het wel te kunnen winnen van de Amerikaanse overheid?
Het gaat tegen alle EU regels in, hoe gaan bedrijven als PHILIPS hier mee om wanneer mijn Eigen Nederlandse Patient data wordt doorgezet naar de US Government? Immers alle Data staat bij Amazon, waar is mijn Privacy?