EU-parlement wil Europese cloud

Nederlandse politie overtreedt de wet

foto: © EU-parlement wil Europese cloud

Advertentie

Het nieuwe richtprijzenboekje 2019 is uit!

Het richtprijzenboekje dient behalve voor prijsindicatie ook als richtlijn in gerechtelijke procedures bij toewijzing van honoraria en schadevergoedingen bij geschillen. De richtprijzen zijn gebaseerd op onderzoek naar het prijspeil voor publicatie en productie. Bij de prijsberekening worden behalve resultaten van binnenlands onderzoek ook de prijzen van (EU) beheersmaatschappijen zoals het Belgische Sofam meegenomen.

Klik hier voor meer informatie
of om het boekje te bestellen
.

view counter

Over de cloud, het opbergen van data ‘ergens’ op het internet is al veel geschreven en er is al veel discussie geweest. Al eerder berichtte PhotoNmagazine over de gevaren van de ‘cloud’, hier bij haalden wij een artikel (29 november 211) van de gezaghebbende journalistieke website Politico aan: www.politico.com/story/2011/11/patriot-act-clouds-picture-for-tech-069366.

Europese wetgeving op komst

In juli 2012 berichtten wij in een artikel over de nieuwe Europese databeschermingswetgeving onder andere:
In de nieuwe Europese databeschermingswetgeving moet privé-informatie beter worden beschermd. Dit is een advies van de Artikel 29 Werkgroep, de overkoepelende organisatie van de nationale privacy-toezichthouders.

Zie ook ons artikel: Nieuwe wet moet inbreuk voorkomen op privacy in de cloud.

Volgens het Nederlandse College Bescherming Persoonsgegevens (CBP), hebben bedrijven en overheden niet langer de volledige controle over hun gegevens omdat zij die hebben opgeslagen op de systemen van de cloudaanbieder. Daardoor is het onmogelijk geworden technische en organisatorische maatregelen uit te voeren die nodig zijn om de beschikbaarheid en vertrouwelijkheid van gegevens te garanderen terwijl zij volgens de EU-wetgeving daar wel verantwoordelijk voor zijn.

foto: © EU-parlement wil Europese cloud

Risico’s van ‘The Cloud’

Eurocommissaris Neelie Kroes gaf in 2010 al aan dat er grote risico’s zijn in de ontwikkeling van de cloud omdat er geen grensoverschrijdende data- en privacywetgeving is. De recent bekend geworden activiteiten van sommige ‘afluisterende’ overheden onderstrepen dit alleen maar. Op dit moment wordt de cloud sterk gepropageerd. Niet zozeer uit praktische overwegingen, maar er kan enorm veel geld mee worden verdiend. Dit is het geval bij bedrijven zoals Facebook (Instagram), Google, Youtube en ook andere dienstverleners zoals Dropbox, Yousendit, Microsoft en zeker niet in de laatste plaats Adobe.

In juni van dit jaar werd de volle omvang bekend en de acties van onder andere de Amerikaanse NSA. Hier ligt ook het zwakke punt van de vertrouwelijkheid die de cloud zou moeten bieden.

Kaaimaneilanden

Bestanden met al dan niet gevoelige informatie van overheden, particulieren en bedrijven worden steeds vaker, in plaats van op de eigen telefoon of de eigen computer, bewaard op een ondoorzichtig extern netwerk van servers over de gehele wereld. Ook is er sprake van zogenaamde ‘rekenwolken’ waarin ‘ergens op het internet’ berekeningen worden gemaakt die een vertrouwelijk karakter hebben. Wanneer men bedenkt dat de goedkoopste (grondprijs en lonen) en gemakkelijkst schaalbare serverruimte zich in de Verenigde Staten bevindt en verder op de meest merkwaardig-obscure plaatsen zoals de Kaaimaneilanden, Timboektoe, Fundamentalistan of ‘ergens in Azië’, is een conclusie over de veiligheid gemakkelijk getrokken.

Op dit moment is het ook bij een groot deel van de Nederlandse overheid en daar aan gerelateerde instanties zo dat de cloud ‘no go area’ is geworden. Met name de Nijmeegse Radbouduniversiteit loopt daarin voorop, volgens een betrouwbare bron. In andere landen binnen Europa zijn soortgelijke ontwikkelingen waar te nemen, met name in Scandinavië. De Zweedse privacywaakhond ‘Datainspektionen’ verbood een school in Sollentuna (Stockholm) haar gegevens op te slaan via de Google cloud. Het Parool berichtte hier over.

Veiligheid, bandbreedte en piekbelasting, een spanningsveld

Een bijzonder aspect is dat de veiligheidsrisico’s toenemen met de behoefte aan bandbreedte en er pieken in het dataverkeer ontstaan. Stel dat er een grote voorlichtings- of reclamecampagne gaat draaien. Dan wordt er tijdelijk overgeschakeld naar de servers van Amazon, Google, Terremark (Verizon) of Microsoft die in de VS draaien. Een voorbeeld van opschaling bij een piek (bij Facebook in dit geval) van 25.000 gebruikers naar 250.000 gebruikers wordt hier gegeven: blog.rightscale.com. Zo kan het zijn dat de website of the cloud schijnbaar in Europa is gevestigd, maar ‘even wordt verplaatst’ naar een andere locatie, bijvoorbeeld de VS.

foto: © EU-parlement wil Europese cloud

Volgens deskundigen zijn er in principe vijf soorten cloud

  1. De publieke cloud met weinig aandacht voor beveiliging. Deze cloud is vooral geschikt voor consumenten. Hieronder vallen bijvoorbeeld Amazon en Picasa (de fotobewerkingsdienst van Google). Fotografen opereren ook meestal in deze cloud.
  2. De zogenaamde ‘shared cloud’ van Microsoft en Google. Het gaat hier om voorspelbare pieken in de rekenbehoefte zoals een salarisadministratie aan het eind van de maand. De applicaties zijn beschikbaar voor de klanten en dit platform wordt gedeeld met andere gebruikers. Hier zijn de grootste gebruikers onder andere de bedrijven.
  3. Het aanbod van de wereldwijd opererende systeemintegrators als IBM en HP. Zij bieden specifiek voor het bedrijfsleven een cloudoplossing op maat. De serverparken zijn gevestigd over de gehele wereld, waarbij grondprijzen en personeelskosten belangrijke aspecten zijn. Maar ook het ‘zo dicht mogelijk’ bij de klant zitten.
  4. De ‘private cloud’. Dit platform is uiterst streng beveiligd en wordt onder meer gebruikt om bedrijfskritische applicaties te ontwikkelen, te testen en te verbeteren. Het is beschikbaar (en naar behoefte op te schalen of naar beneden bij te stellen) voor verschillende bedrijfsonderdelen. Hier is het zaak ook dicht bij de klant te zitten.
  5. Ten slotte de dedicated cloud: een streng beveiligde omgeving waar data niet bereikbaar mogen zijn voor andere ondernemingen. Te denken valt aan de financiële wereld en aan andere bedrijven die met uiterst vertrouwelijke gegevens werken.

Bij het opschalen wordt in vrijwel alle gevallen in alle genoemde categorieën ‘gesprongen’ naar beschikbare serverruimte, waar ook ter wereld. Het moge duidelijk zijn dat men hier te maken heeft met plaatselijke privacywetgeving die soms streng, soms uiterst summier is, dit kan een gevaar in zich dragen. .

Ingeval van  de NSA, maar ook van andere Amerikaanse overheidsdiensten, die opereren onder de vlag van de Patriot Act, heeft in principe iedere overheidsdienaar die ook maar iets te betekenen heeft, toegang tot de cloud, zelfs die van de ‘vijfde’ categorie. De grote systeemintegrators moeten de Amerikaanse overheid toegang bieden, naar onlangs bekend werd. En ook in andere landen, zelfs soms zelfs in Europa, is de privacy niet heilig. En wat wanneer de data officieel zeer veilig zijn opgeslagen in Europa, maar bij een opschaling op een grondgebied met Amerikaanse invloeden terechtkomen? Zelfs al is het maar een simpele back-up, dus een kopie van de vertrouwelijke gegevens?

foto: © EU-parlement wil Europese cloud

Wie spelen het spel?

Er zijn enkele grote bedrijven die zich met de cloud bezig houden en ontelbare kleinere bedrijven die weliswaar pochen op hun perfecte veiligheid, flexibiliteit en lage downtime, maar in feite en zeker bij pieken, bij de grote broers al dan niet tijdelijk  data onderbrengen en in feite maar zetbaasjes zijn. Hierdoor is er een zeer ondoorzichtig en zwaar bewolkt landschap ontstaan waarin niet meer kan worden nagegaan waar de geliefde data zich nu werkelijk bevinden. Koog aan de Zaan kan in de praktijk zo maar Vuurland zijn.

Behandeling in het Europees Parlement

Afgelopen woensdag werd het onderwerp weer in het Europees Parlement aan de orde gesteld. De parlementaire Europese commissie die zich met cloudwetgeving in Europa bezig houdt adviseert een streng gereglementeerde Europese internetcloud voor dataopslag, waarbij de data niet de grenzen zullen mogen passeren.

Judith Sargentini, een Europarlementariër van Groen Links, betoogde in een op zich zeer zinnig commentaar dat een Europese cloud de enige mogelijkheid is de Europese gegevens te beschermen tegen Amerikaanse ‘nieuwsgierigheid’ en uiteraard ook tegen misbruik door criminelen: “Het Europarlement wil duidelijke grenzen stellen aan de datagraaierij.” Zij stelde dat uitsluitend in een Europese cloud de overheden, particulieren en bedrijven, zoals banken en verzekeraars, online data kunnen opslaan. Zie ook de Volkskrant.

Is afdoende beveiliging eigenlijk wel mogelijk?

Het is echter nog helemaal de vraag of een Europese cloud afdoende kan worden beveiligd. Omdat er zo veel verschillende partijen hun data op willen slaan en ook veel partijen dan van deze data gebruik zouden moeten maken en bij tijdelijke opschaling toch bandbreedte zou moeten houden zou een dergelijke cloud zo lek kunnen zijn als een zeef. Hierbij moet men dan denken aan data van verzekeringsmaatschappijen, patiëntendossiers, paspoortgegevens, justitiële gegevens, banken, kredietregistraties en andere gevoelige informatie.

Concreet voorbeeld falende overheid

Een wel erg concreet voorbeeld zijn de gevoelige data van het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT), die in de cloud (waarschijnlijk bij Tele2) zijn ondergebracht en waarin de telefoonnummers, mailadressen en de internetgegevens van de Nederlanders worden gekoppeld aan hun NAW gegevens. Met name de politiediensten gebruiken de data voor opsporing van verdachten om te achterhalen wie zich verbergt achter een telefoonnummer of internetadres. De Commissie Bescherming Persoonsgegevens (CPB), de Nederlandse privacywaakhond, heeft reeds in 2011 zelfs geconstateerd dat door het ontbreken van autorisatieprocedures politiekorpsen zoals Politie Haaglanden en de Dienst Nationale Recherche massaal de wet hebben overtreden: www.cbpweb.nl/Pages/pb_20110428_ciot.aspx en webwereld.nl/nieuws/security/opsporingsdatabase-ciot-fysiek-niet-goed-beveiligd-3762018.

Kortom, hoe meer mensen een sleutel hebben van een huis, des te moeilijker het wordt om de zaak veilig en beheersbaar te houden. Zeker wanneer het om tegenstanders als ‘geheime diensten’, hackers en criminelen gaat.

foto: © EU-parlement wil Europese cloud

Gardner en het tasje van de Hema

Al in 2009 deed het gerenommeerde, op computing gespecialiseerde, marktonderzoeksbureau Gartner de voorspelling dat cloud computing niet vóór 2013 op grote schaal van de grond zou komen. Gartner dacht toen dat bedrijven hun applicaties en data voorlopig liever binnen eigen datacenters beheren. Analist Phil Dawson van Gartner zei hier toen over: “Tot eind 2012 zullen organisaties meer investeren in hun eigen ‘private clouds' dan in de diensten van cloud providers” Hij sprak wel de verwachting uit dat er deze organisaties steeds meer gebruik zou worden gemaakt van beheertechnieken en -standaarden die door cloud providers worden toegepast binnen hun datacenters, zoals op het gebied van virtualisatie en schaalbaarheid.

Het grootste nadeel is dat de controle door de gebruiker uit handen wordt gegeven. Want wie is er verantwoordelijk bij problemen met de cloud? De uitbesteder of de dienstverlener? En ook wanneer alles netjes contractueel is geregeld, lijden organisaties en bedrijven minstens gezichtsverlies bij de eigen gebruikers en klanten, die er geen begrip voor hebben dat de uitval buiten hun macht om gebeurt. Zoals wij reeds zagen bij de kwesties rond de OV-kaart en de DigiD, waar de Nederlandse overheid ineens in het hemd stond zonder ook maar een flard van één onderbroek aan...

Zoals Dawson al aangaf, er zijn echter wel alternatieven. Zo kunnen bedrijven onderling via beveiligde rechtstreekse VPN tunnelverbindingen hun eigen ‘cloudje’ opzetten, bij voorbeeld voor back-up doeleinden. Die bovendien de mogelijkheid bieden om zeer snel data te recupereren in geval van calamiteiten, omdat er geen ingewikkelde veiligheidsprocedures noodzakelijk zijn.

En wanneer je collega, die tien straten verder woont, jouw (versleutelde!) back-up op zijn systeem bewaart is het, zelfs bij volledige uitval van de communicatie-infrastructuur, mogelijk deze per fiets op te halen. Je trekt dan gewoon een van de hot-pluggable harde schijven uit des collega’s bittenbak en stopt deze voor transport even in een tasje van de Hema...

view counter