Vorige maand kondigde Microsoft een vernieuwde versie aan van de zakelijke beveiligingstoepassing Forefront Identity Manager. Deze gaat binnen afzienbare tijd verder als een cloud-dienst onder de naam Microsoft Identity Manager. Het opslaan van identiteiten is echter niet hetzelfde als het bewaren van bedrijfs- of andere gegevens in de cloud. Er zitten bijzondere haken, ogen én enorme risico’s aan.
De nieuwe versie van Microsoft Identity Manager komt mede voort uit de overname door Microsoft van Aorato, een aanbieder van identity en access management (IAM)-oplossingen. De AIM-software van Aorato maakt een koppeling mogelijk tussen de lokale en cloud versies van Active Directory van Microsoft. Volgens Microsoft staat dit principe centraal in de hybride cloudstrategie van het bedrijf. Gebruikers van de dienst synchroniseren de lokale identiteiten in de cloud van Microsoft: Azure Active Directory. Kort en goed betekent dit dat alle identiteiten verhuizen naar het buitenland, en daar zit nu juist de angel. Want voor identiteiten, die per definitie persoonsgegevens bevatten, gelden andere regels dan voor de cloudopslag van andere bedrijfsgegevens.
In 2012 onderzocht Verdonck, Klooster & Associates op verzoek van het ministerie van Economische Zaken, Landbouw en Innovatie welk recht voor de bescherming van de privacy precies van toepassing is binnen het grensoverschrijdende karakter van cloudopslag. In het rapport Cloud Computing, fundament op orde, staat onder meer dat, bij gebrek aan uniforme internationale wetgeving, clouddiensten onder de afzonderlijke wetgeving vallen van alle landen die betrokken zijn bij de dienst. Of het nu gaat om invoer, doorvoer of verwerking van de gegevens. Bovendien, en daar schuilt het gevaar: ze vallen ook onder de wettelijke bepalingen voor toegang tot dataopslag door autoriteiten. Dit betekent dat Microsoft de Amerikaanse overheid onder de Patriot wet toegang moet geven tot alle identiteiten die in de Azure Active Directory zijn opgeslagen.
Door Nederlandse identiteiten te synchroniseren met de cloud, vallen deze onder de wetten van alle landen waar cloudaanbieders en hun dochterondernemingen gevestigd zijn. Maar vergeet niet: de klant van de clouddienst is de verantwoordelijke. Je moet dus weten naar en via welke landen de doorgifte van de persoonsgegevens plaatsvindt. Dat is bij clouddiensten lastig te bepalen. Wettelijk mogen dit alleen landen zijn met een ‘passend beschermingsniveau’. Veelal hebben deze landen algemene privacywetgeving, maar in de VS bestaat dit echter niet. Ten aanzien van de VS is er een aparte beslissing genomen: de ‘Safe Harbor’-afspraak.
Alle grote cloudaanbieders leven deze regels na. (kijk voor een lijst en details op http://www.export.gov/safeharbor/) Maar geldt dat ook voor alle partijen die, in andere landen, betrokken zijn bij de doorgifte van het cloud-verkeer? Als deze ‘subverwerkers’ de Safe Harbor Principles niet onderschrijven, is het jouw verantwoordelijkheid om zeker te weten dat zij beschikken over een wettelijke uitzondering of een vergunning van de minister van Justitie.
Nederlandse cloudaanbieders spelen in op dit probleem met een private clouddienst die garandeert dat alle persoonsgegevens in Nederland blijven. De grote, internationale cloudaanbieders bouwen momenteel Europese datacentra die hetzelfde doel hebben voor de EU. Maar bij gebrek aan geharmoniseerde wet- en regelgeving tussen landen, in ieder geval binnen de EU, is het vooralsnog raadzaam om te kiezen voor een onafhankelijke oplossing die alle identiteiten binnenshuis houdt.
Bram Haasnoot, RealOpenIT
