Veiligheid van data, extern hosten, privacy en cloud-computing
11:27 uur Frank Meijers | ReagerenNoot:
Extern hosten van data, e-mails of applicaties is financieel en operationeel gezien een uitkomst. Het is relatief betrouwbaar, schaalbaar, snel, wereldwijd benaderbaar, etc. Helaas is het lastig om daarbij geen gebruik te maken van systemen in met name Amerika. Want de overheid aldaar biedt geen enkele privacy bescherming terwijl u daartoe wel verplicht bent. U zit dus klem. Wat te doen?
Inleiding
Steeds meer mensen werken met producten als google (docs), dropbox of icould.
Cloud-leveranciers bieden steeds vaker een oplossing om naast de opslag van data ook een e-mail server te draaien, de boekhouding online te doen of applicaties te draaien voor bijvoorbeeld tekstverwerking. Ook verlangen moedermaatschappijen vaak dat alle IT oplossingen centraal (door hen) gehost worden. Al deze leveranciers van IT diensten noem ik hierna cloud-leverancier.
Voor- en nadelen
De voordelen zijn evident. Uw kosten voor hardware, licenties, systeembeheerder etc. dalen, u hebt minder specifieke ICT kennis in huis nodig, de schaalbaarheid gaat met sprongen vooruit en de data is wereldwijd te benaderen. Kortom, als alles goed gaat werkt het uitstekend. Daar tegenover staat dat u afhankelijk wordt van onbekenden, u weet niet waar de data is en u bent de controle kwijt.
Met name de volgende twee issues:
Allereerst is het niet zondermeer toegestaan om persoonsgerelateerde informatie (denk aan e-mails) buiten de EU op te slaan. Ten tweede wilt u goede afspraken maken met de beheerder van uw data voor het geval de liefde over is (of nog erger..).
1: Privacy
Landen buiten de EU kunnen doorgaans niet het vereiste beschermingsniveau bieden van persoonsgevoelige informatie. E-mailadressen van klanten of medewerkers vallen daar ook onder. Dat geldt voor landen als China of India maar eker ook voor de Verenigde Staten. De overheid aldaar kan zichzelf probleemloos toegang verschaffen tot alle opgeslagen data. Binnen de EU levert dat een flagrante schending op van de privacy van personen.
Hier is een dunne oplossing voor gevonden in de VS. Daar kunnen bedrijven zelf bepaalde waarborgen inbouwen en zich vervolgens op de “Safe Harbour List” laten plaatsten. Indien uw data beheerd wordt door bedrijven op die lijst, zou u kunnen voldoen aan de wettelijke bepalingen in Nederland. Of dat ook werkelijk zo is valt nog te betwijfelen want sinds kort voldoet ook Google niet meer aan de Europese eisen betreffende privacy terwijl dat bedrijf toch op de “Safe arbour List” staat.
Voorts is het mogelijk om met uw cloud-leverancier een standaard contract te tekenen dat is opgesteld “door de EU”. Bij bedrijven die deze overeenkomst tekenen mag u in beginsel uw data opslaan.
2: goede afspraken met uw databeheerder
U wilt waarschijnlijk garanties dat u probleemloos kunt migreren wanneer u de dataopslag zelf gaat doen of bij een ander onder gaat brengen. Ook wilt u zeker weten dat uw data nog beschikbaar is wanneer uw databeheerder in surseance verkeert of failliet gaat (de verhouding vreemd vermogen/eigen vermogen is vaak treurig bij databeheerders en de concurrentie is moordend…). Ten slotte wilt u garanties over maximale dataverlies en maximale downtime. Alles bijeen is vooral het volgende van belang:
- Met wie doet u zaken? Waar is die partij geregistreerd? Solvabiliteit? ISO 27001?
- Is Nederlands recht van toepassing?
- Wat is de up- en downstream snelheid (en kunt u dat controleren?)
- Wat is de maximum downtime per jaar, maand en dag?
- Wat is de maximale hersteltijd na een server crash? Zijn daar scenario’s voor?
- Wat is de maximale periode waarover u data kunt kwijtraken?
- Wie belt u bij problemen? Wat is de gegarandeerde responstijd?
- Wat te doen bij surceance, faillissement, beslag op uw servers bij de databeheerder?
- Hoe is de overstap geregeld (hierheen en hier vandaan) en kan u zonder hulp van die leverancier of zelfs in diens weerwil uw data veilig stellen en ergens anders stallen?
Conclusie
Wordt uw data buiten de EU opgeslagen, dan doet u er goed aan om de standaard overeenkomst te laten tekenen. Helaas weet u niet of uw cloud-leveranciers zich aan de contractuele afspraken zal houden. Dit is lastig want u blijft wel zelf ervoor verantwoordelijk dat uw onderneming bij de opslag en het doorgeven van die gegevens handelt conform de Nederlandse wetgeving. Kortom het buiten de EU hosten is juridisch gezien eigenlijk niet aan te bevelen maar de kans op problemen is mogelijk te verwaarlozen.
Wanneer u vervolgens extern gaat hosten is naast de privacy issues een aantal meer operationele kwesties van belang die wel op een degelijke (juridische steekhoudende) wijze geregeld dienen te worden.
______
Frank Meijers / november 2012