beschermt en beheert data in een cloud

De beveiliging van informatie is expliciet een primaire verantwoordelijkheid van een bedrijf. Ook als data in een cloud staan. Maar het hangt wel af van de aard van de informatie. Zijn dat persoonsgegevens, is het bedrijfsinformatie, technische en commerciële knowhow? In overeenkomsten voor clouddiensten kunnen partijen allerlei afspraken maken over gegevensbescherming. Beiden dragen een eigen verantwoordelijkheid. Voor persoonsgegevens geldt voor een cloudleverancier bovendien de Wet bescherming persoonsgegevens.

Meekijken

Als bijvoorbeeld ‘de Amerikanen’ naar data in een Nederlandse cloudprovider willen kijken, moet er een verbinding zijn tussen de VS en het bedrijf dat de gegevens verwerkt. Maar soms kan de VS de Nederlandse overheid vragen naar bepaalde informatie uit een datacenter in Nederland. Zelfs zonder link van deze bedrijven met Amerika. Maar er zijn ongetwijfeld ook landen die nauwelijks zullen meewerken aan een informatieverzoek van een ander land. Zo’n ‘datahaven’ kan economisch bezien aantrekkelijk zijn voor een land, net als een bankgeheim.

Wat gebeurt er met de data als de cloud provider failliet gaat of wordt overgenomen? Bij een overname lijkt het geen probleem te geven met de continuïteit van een clouddienst. Want dan gaan meestal ook alle rechten en verplichting over. Bij faillissement van een ICT-dienstverlener zwaait de curator de scepter. Het juridische uitgangspunt is dat eigendom van data niet overgaat op de leverancier.

Verordening

Wat betreft de Europese privacywetgeving wordt nieuwe Algemene Verordening Gegevensbescherming (AVG) naar verwachting dit jaar vastgesteld en gaat deze in 2015 van kracht. Het is vooral relevant dat het niet om een richtlijn gaat, maar om een verordening waaraan iedereen zich moet houden. Dat vormt de weg naar een heus geharmoniseerd en uniform wettelijke kader voor de verwerking van persoonsgegevens voor de interne markt.

In Nederland zijn er wel wat risico’s met “Het Nieuwe Werken”. Cloud computing is daarvoor immers de basis. Werknemers kiezen en installeren zelf apparatuur, software en apps voor hun werk. Een verstrekkend gevolg daarvan is dat de verwerking van de bedrijfs- of overheidsinformatie zich onttrekt aan controle van het bedrijf. Bovendien heeft vrijwel niemand een juist en actueel overzicht waar welke zakelijke informatie zich bevindt, en of gegevens volgens wettelijke en contractuele voorschriften worden verwerkt. Deze nieuwe manier van werken is zeker niet zonder risico.

De wereldwijde digitale infrastructuur hangt volgens hem met touwtjes aan elkaar. Dat geldt ook voor Nederland. Een van de grootste problemen is het gebrek aan kwaliteit van digitale code. Technische problemen, cybercriminaliteit en datalekken zijn letterlijk aan de orde van de seconde. Toch staat het juridisch borgen van digitale kwaliteit nergens ter wereld op de politieke agenda. Auto’s, vliegtuigen, van alles wordt gekeurd en gecertificeerd voordat ze in de handel komen. Maar we nemen wel genoegen met gammele digitale techniek.