Een bom onder het gebruik van Amazon Web Services. Zo schatten velen het advies in van de Vlaamse Toezichtcommissie (VTC) aan overheden. Het deed veel stof opwaaien. Vandaag gaat VTC-voorzitter Hans Graux er verder op in. ‘Een situatie waarin alle data, quasi automatisch, naar een standaard clouddienst worden gestuurd, lijkt zeer ongezond.’
De boodschap van de VTC was duidelijk: het is geen goed idee om gegevens van Vlaamse studenten langdurig en op grote schaal op te slaan op de servers van Amazon AWS, want in strijd met Europese privacywetten. Drie maanden en veel ophef later, ook van AWS zelf, reageert Hans Graux van de VTC voor het eerst, in een gesprek met Computable.
Uw rapport met advies voor drie Vlaamse agentschappen deed nogal wat stof opwaaien, zowel bij de overheid als in de it-sector. Had u dat verwacht?
Hans Graux: ‘Deels wel, vooral omdat het rapport een algemene waarschuwing bevatte naar alle Vlaamse instanties rond het gebruik van publieke clouddiensten, en niet louter gericht was op specifieke applicaties of specifieke agentschappen.
‘Daarmee wilde de VTC een breder standpunt innemen, dat twee problemen moest oplossen. Eerst en vooral zijn Vlaamse instanties niet verplicht om de VTC te informeren over hun cloudplannen, wat tot een nogal perverse situatie leidde: wie zich te goeder trouw bij ons aanmeldde voor feedback kreeg vaak specifieke suggesties of voorwaarden opgelegd. Wie daarentegen verkoos om in stilte naar de cloud te gaan, deed gewoon zijn eigen ding – vanzelfsprekend wel op eigen verantwoordelijkheid. Maar daardoor kon dus de situatie ontstaan dat proactieve dialoog eerder een negatief element werd. Een breder standpunt leek daarom aangewezen.’
Wat was het tweede probleem dat jullie wilden oplossen?
‘Daarnaast was er ook gewoon een lacune die aangepakt moest worden: bij een cloud strategie zoals Vlaanderen die heeft moeten er wel gepaste beveiligingsmaatregelen worden getroffen, zeker in de publieke sector waar vaak gevoelige gegevens op grote schaal worden ondergebracht bij cloud providers, zonder dat de burger daarover enige controle of keuze heeft. Het was nodig om te verduidelijken wat er kan en niet kan, en ons advies met bijbehorende waarschuwing wilde daarop inspelen.’
Jullie advies werd niet even goed onthaald, niet?
‘Dat dit advies niet overal even welkom was, is geen verrassing. Toch willen we ook dat laatste een beetje nuanceren: sommige reacties waren inderdaad scherp en kritisch, maar van andere instanties ontvingen we dan weer positieve reacties, en was er tevredenheid dat er iemand toch ook bedenkingen durfde te formuleren bij de trends van de laatste jaren.’
Een advies en een waarschuwing
Het betreft een advies. Heeft u ook de indruk dat de (onderwijs)overheden uw advies ook echt volgen?
‘Het is inderdaad een advies, maar bevat dus ook een formele waarschuwing, en de naleving ervan is dus niet vrijblijvend. De VTC kan weliswaar geen boetes opleggen – en zou daar overigens ook weinig heil in zien. Maar we kunnen wel verwerkingen – en dus ook het gebied van clouddiensten in bepaalde cases – verbieden. Vanuit die optiek merken we dat er wel rekening wordt gehouden met het advies. Projecten worden opnieuw geëvalueerd en soms bijgestuurd, en dat is positief.’
Organisaties kunnen toch onmogelijk meteen de klok terugdraaien?
‘We begrijpen ook dat we niet binnen enkele weken een ommekeer kunnen verwachten, maar onze insteek is vooral dat er nagedacht moet worden over de situaties waarin de cloud een meerwaarde biedt, en welke clouddiensten dan aangewezen zijn. Een situatie waarin alle data, quasi als automatisme, naar een standaard clouddienst wordt gestuurd lijkt zeer ongezond. Daarin volgen we overigens de lijn van andere Europese gegevensbeschermingsautoriteiten.’
Beseft u ook dat organisaties vandaag geen andere keuze hebben? Europese of Belgische cloudleveranciers kunnen doorgaans niet dezelfde reikwijdte aan functionaliteit aanbieden.
‘Daar hebben we zeker begrip voor, maar er past daar ook een nuance. We snappen dat er in sommige cases een noodzaak is om te werken met cloudsystemen met de hoogste capaciteit of met functionaliteiten die gewoonweg nergens anders beschikbaar zijn. In die gevallen moeten we flexibel zijn, om de continuïteit en efficiëntie van de openbare dienst te verzekeren. Maar dat is niet de afweging die in de praktijk gemaakt werd.’
Structurele privacyrisico’s
Welke afweging werd vroeger dan wel gemaakt?
‘In de praktijk werd er steeds vaker gewoon gekozen voor een standaardaanbod van een zeer kleine groep providers, die inderdaad hoofdzakelijk Amerikaans zijn, waarbij de motivatie vaak kostenbesparing en eenvoud is. Het gaat om standaarddiensten die gewoon aangezet kunnen worden, waardoor men zeer snel en goedkoop live kan gaan. We snappen dat dat efficiënt is, maar het gaat te ver wanneer dit een automatisme wordt voor alle data en voor alle diensten, en de overheid gewoonweg de risico’s voor de burgers aanvaard. De bewuste afweging van de vraag of een clouddienst noodzakelijk was en een meerwaarde had ontbrak. Als je structureel privacy risico’s gaat aanvaarden met snelheid en kost als motivatie, dan slaat de balans om in de foute richting.’
Klopt, maar die (Amerikaanse) clouddiensten zijn nu eenmaal wel een trend, niet?
‘Overigens kan je daarbij ook opmerken dat dit een zelfversterkende trend is: hoe meer je je eigen infrastructuur afbouwt en leunt op een dienstverlener, hoe minder capaciteit en kennis je zelf nog overhoudt om iets anders te doen dan naar die dienstverlener te gaan. Op een gegeven moment loop je het risico dat overheden integraal afhangen van privébedrijven, ook voor het beheer van hun kroonjuwelen, namelijk de gegevens van hun burgers. Dat is geen gezonde trend.’
Lees maandag het tweede deel van het interview met Hans Graux van de Vlaamse Toezichtcommissie. Daarin over de reactie van AWS, over Schrems II en over de toekomst van cloud.
Deze brave jongen heeft blijkbaar nog niet gehoord van “Confidental Computing”. Toch beter eens informeren over de huidige stand van zaken en vooral over de ontwikkelingen die aan de gang zijn alvorens zo’n standpunten de wereld in te sturen.
Ik denk dat VTC een onderscheid moet maken tussen de kenmerken van een oplossing/technologie en de eigenlijke (functionele) behoeften. Het gebruik van internettechnologie (de global information architecture) is een industry proven best practice. Privacy gaat over gegevensbeveiliging en de toegang tot deze gegevens en wat ermee mag worden gedaan door derden. De geheimhouding of het beveiligen van de data is met versleuteling technologie perfect op te lossen. Er is een Belgische ondernemer die dit bewijst met een state-of-the art blockchain document platform (documenten kluis): http://www.geens.com
VTC zou er dus beter aan doen innovatie toe te laten en inderdaad wijzen op gevaren/tekortkomingen van bepaalde oplossingen (netwerken) waar de data van de gebruikers worden gebruikt voor persoonlijke verrijking zonder dat daarvoor toestemming werd gegeven.