De beveiliging van informatie is expliciet een primaire verantwoordelijkheid van een bedrijf. Ook als data in een cloud staan. Maar het hangt wel af van de aard van de informatie, vertelt De Pous. “Zijn dat persoonsgegevens, is het bedrijfsinformatie, technische en commerciële knowhow? In overeenkomsten voor clouddiensten kunnen partijen allerlei afspraken maken over gegevensbescherming. Beiden dragen een eigen verantwoordelijkheid. Voor persoonsgegevens geldt voor een cloudleverancier bovendien de Wet bescherming persoonsgegevens.”

Meekijken

Als bijvoorbeeld ‘de Amerikanen’ naar data in een Nederlandse cloudprovider willen kijken, moet er een verbinding zijn tussen de VS en het bedrijf dat de gegevens verwerkt. “Maar soms kan de VS de Nederlandse overheid vragen naar bepaalde informatie uit een datacenter in Nederland”, zegt De Pous. “Zelfs zonder link van deze bedrijven met Amerika. Maar er zijn ongetwijfeld ook landen die nauwelijks zullen meewerken aan een informatieverzoek van een ander land. Zo’n ‘datahaven’ kan economisch bezien aantrekkelijk zijn voor een land, net als een bankgeheim.”

Wat gebeurt er met de data als de cloud provider failliet gaat of wordt overgenomen? De Pous voorziet bij een overname geen probleem met continuïteit van een clouddienst. “Want dan gaan meestal ook alle rechten en verplichting over. Bij faillissement van een ICT-dienstverlener zwaait de curator de scepter. Het juridische uitgangspunt is dat eigendom van data niet overgaat op de leverancier.”

Verordening

Wat betreft de Europese privacywetgeving wordt nieuwe Algemene Verordening Gegevensbescherming (AVG) naar verwachting dit jaar vastgesteld en gaat deze in 2015 van kracht. De Pous vindt het vooral relevant dat het niet om een richtlijn gaat, maar om een verordening waaraan iedereen zich moet houden. “Dat vormt de weg naar een heus geharmoniseerd en uniform wettelijke kader voor de verwerking van persoonsgegevens voor de interne markt.”

In Nederland ziet De Pous risico’s met Het Nieuwe Werken. Cloud computing is daarvoor immers de basis. “Werknemers kiezen en installeren zelf apparatuur, software en apps voor hun werk. Een verstrekkend gevolg daarvan is dat de verwerking van de bedrijfs- of overheidsinformatie zich onttrekt aan controle van het bedrijf. Bovendien heeft vrijwel niemand een juist en actueel overzicht waar welke zakelijke informatie zich bevindt, en of gegevens volgens wettelijke en contractuele voorschriften worden verwerkt. Deze nieuwe manier van werken is zeker niet zonder risico.”

De Pous is erg kritisch over de veiligheid van data. De wereldwijde digitale infrastructuur hangt volgens hem met touwtjes aan elkaar. “Dat geldt ook voor Nederland. Een van de grootste problemen is het gebrek aan kwaliteit van digitale code. Technische problemen, cybercriminaliteit en datalekken zijn letterlijk aan de orde van de seconde. Toch staat het juridisch borgen van digitale kwaliteit nergens ter wereld op de politieke agenda. Auto’s, vliegtuigen, van alles wordt gekeurd en gecertificeerd voordat ze in de handel komen. Maar we nemen wel genoegen met gammele digitale techniek.”