De onthullingen van Edward Snowden maken duidelijk dat privacy een illusie is. Is het erg dat de NSA een vrijbrief heeft om door onze data te struinen? Aangezien we geen mogelijkheid hebben om de NSA op democratische wijze te controleren, is een volmondig “ja” op zijn plaats. We kunnen niet nagaan of de NSA zorgvuldig met de data omgaat. Is de definitie van “terrorist” en “crimineel” wel dezelfde als die wij hanteren? Is bijvoorbeeld Greenpeace in de ogen van de Amerikanen een milieuactivist of milieuterrorist? Wordt de data alleen gebruikt voor opsporingsdoeleinden of ook voor economische spionage? Zonder controlemogelijkheid weten we het niet en rijst toch al snel het vermoeden dat de NSA de eigen bevoegdheden ruim interpreteert en dat macht corrumpeert.
Maar, hebben wij eigenlijk niet collectief een bord voor onze kop gehad? We weten dat de politie, de AIVD, de CIA, de Mossad, de KGB, de FBI – om er maar een paar te noemen – telefoongesprekken kan tappen, brieven kan onderscheppen, afluisterapparatuur kan plaatsen, met richtmicrofoons gesprekken kan afluisteren, zich zelfs als vriend kan voordoen om ons informatie te ontfutselen en ook computers in beslag kan nemen. Hoe hebben we ooit kunnen denken, dat we digitaal onaanraakbaar zouden kunnen zijn? Het internetplein is immers al heel erg lang geen hangplek meer voor verveelde techneuten en vrijdenkers. Is privacy dood, of is privacy altijd al relatief geweest? Ik denk het laatste.
Maar nu genoeg getreurd over een realiteit die nooit heeft bestaan. De hamvraag is: wat moet je met deze wetenschap? In het bijzonder wil ik hier op een deelvraag ingaan: wat moet je als bedrijf met deze wetenschap en wat voor effect heeft dat op het gebruik van publieke cloudoplossingen?
Het eenvoudige antwoord is, dat je goed moet nadenken over hoe gevoelig data is en hoe je de informatieopslag en –verwerking daar op afstemt. Valt data onder de privacy-wetgeving of zijn er sectorafhankelijke bepalingen? In die gevallen is het zaak om de juiste waarborgen in te bouwen, al was het maar er nieuwe wetgeving aankomt waardoor dataverlies tot grote boetes (tot 2% van de bedrijfsomzet) kan leiden. De data moet dan in ieder geval opgeslagen en verwerkt worden binnen de EU. Ja, dat kan en mag vaak ook bij Amerikaanse bedrijven als de data de EU niet verlaat, al kunnen Amerikaanse bedrijven dat onmogelijk garanderen op het moment dat er in het kader van opsporing een verzoek komt.
Het lijkt aantrekkelijk om voor een Europese cloud te preken, maar het is vanuit competitief standpunt erg onhandig als Europese bedrijven afhankelijk worden van Europese cloud-alternatieven, die hoogstwaarschijnlijk met een permanente achterstand op AWS, Microsoft en Google te maken krijgen qua prijs, functionaliteit en betrouwbaarheid. Qua Europese privacy-wetgeving is weliswaar een probleem opgelost, maar in een Europa waar de Britse geheimedienst Belgacom hackt en de Nederlandse overheid kampioen afluisteren is, ben je met de reële privacy niet veel beter af in een Europese of nationale cloud.
Als u extreem gevoelige informatie opslaat die mogelijk doelwit kan zijn van bedrijfsspionage of waarbij de staatsveiligheid in het geding is, zult u daar (en dat deed u al als het goed is) extra strenge maatregelen moeten nemen, waarbij u de controle en beveiliging maximaliseert en de connectiviteit minimaliseert. De cloud, welke dan ook, is dan niet de handigste plek, zullen we maar zeggen.
De meeste data die u als organisatie opslaat en verwerkt, uitzonderingen daargelaten, zijn gelukkig helemaal niet zo gevoelig. Het idee is wellicht niet leuk dat er iemand mee kan kijken, maar de kans dat het gebeurt is niet groot en mocht het toch gebeuren is de kans klein dat u er onterecht door in de problemen raakt. Voor al deze workloads geldt dat Snowden’s onthullingen geen serieuze verzwakking van de business case opleveren. Met andere woorden: als u denkt voordeel uit de cloud te kunnen halen, laat u dan niet beperken door fear, uncertainty and doubt (FUD).
Als u langs bovenstaande weg, of op andere wijze, heeft bepaald hoe u pragmatisch omgaat met de publieke cloud, maar u met een gevoel van onbehagen zitten blijft, rest u nog één taak: gebruik de invloed die u heeft, bundel die met anderen in uw sector, beroepsgroep, politieke partij of wat dan ook en gebruik die invloed, zodat de politiek onder druk blijft staan om betere afspraken met de VS te maken. Voor alle sceptici onder u: een missie is pas kansloos als hij niet wordt ondernomen.
Peter Vermeulen is directeur van Pb7 Research, een onderzoeksbureau dat zich richt op de Nederlandse ICT-markt en is gespecialiseerd in de Nederlandse cloudmarkt en de transformatie van de Nederlandse IT dienstenindustrie.
Peter,
Je artikel roept mij mij iig 2 vragen op, voor de diuscussie:
1. Hoe kun je regelen dat data “binnen de eu blijft”? Opslag is 1 ding, maar om dat echt te kunnen garanderen, moet je gebruikers dan niet ook gaan verbieden om vanuit let’s say china in te loggen, om te voorkomen dat data op een akamai server, in een chinese proxy of de browser cache van je hotelPC terecht komt?
2. Ik zie, misschien in tegenstelling tot de huidige publieke opinie, niet hoe toegang tot data (door aftappen) door een natie waar wij samenwerking, rechtshulp- en andere verdragen mee hebben, als dataverlies kan worden geinterpreteerd. Hoe vervelend we die wetten en regels ook vinden. Het probleem wordt niet veroorzaakt door onze nalatigheid, maar door de overheid / overheden zelf. Het lijkt me iig een interessante vraag voor juristen
Michiel,
Ad 1: interessant punt waar ik persoonlijk niet het antwoord op heb. Uiteraard strekt het ter aanbeveling om zeker in die gevallen met encryptie te werken.
Ad 2: dat ben ik op voor een deel met je eens. Punt is dat je als organisatie die privacygevoelige informatie opslaat, geacht wordt “passende” technische oplossingen te gebruiken om te voorkomen dat onbevoegden zich toegang kunnen verschaffen tot deze data. Amerikaanse (en alle andere) opsporingsdiensten zijn “onbevoegd” op het moment dat ze niet de lokale juridische weg volgen (wat dat betreft, valt er op het terrein van verdragen nog wel wat te winnen).
De discussie valt dan weer terug op “wat is passend?” Inderdaad voer voor juristen.
Groet,
Peter