Het lukraak uitbesteden van IT-diensten valt volgens juristen en cloudkenners allerminst aan te raden. Zeker niet omdat binnen die diensten vaak vertrouwelijke informatie omgaat. De belangrijkste wetgeving concentreert zich daarom rond de thema’s privacy, terrorisme en verantwoordelijkheid voor het beheer van de data.
De vaakst genoemde bottleneck rondom cloud computing concentreert zich op de Patriot Act in de Verenigde Staten. Deze wetgeving is oorspronkelijk gericht op het bestrijden van terrorisme. Op grond hiervan hebben Amerikaanse overheidsinstanties vergaande bevoegdheden gekregen. Dat betekent onder meer dat Amerikaanse organisaties en bedrijven (waaronder dus cloud-leveranciers) verplicht zijn toegang te verlenen tot infrastructuren als servers en netwerken. Ook bedrijfsonderdelen buiten het Amerikaanse grondgebied moeten daar hun medewerking aan verlenen. Amerikaanse cloudproviders kunnen dus simpelweg niet garanderen dat gegevens in Europa niet door Amerikaans overheidsdiensten worden gecontroleerd. Wie zijn cloud bij een Amerikaanse leverancier heeft ondergebracht, moet dus terdege met deze mogelijkheid rekening houden.
Zakelijke verbondenheid
Volgens onderzoek van het onafhankelijke Centrum voor Privacybescherming Schleswig-Holstein reikt de macht van de Amerikaanse autoriteiten heel ver. Is het moederconcern gevestigd in de Verenigde Staten, dan moet er aan de Patriot Act voldaan worden. Zelfs wanneer er maar op enige manier een zakelijke verbondenheid met de VS bestaat, dan is er een verplichting informatie te verstrekken. De Patriot Act komt in een bijzonder daglicht te staan door de onthullingen van Edward Snowden, ex-agent bij de National Security Agency. Hij stelt dat de Amerikaanse overheid op massale schaal telefoon- en internetverkeer onderschept. Zelfs de Duitse bondskanselier Angela Merkel werd slachtoffer. Snowdens maandenlange onthullingen leiden wereldwijd tot zeer geschokte reacties.
Verwijderen of vernietigen
In Europa maakt de Europese Commissie een inhaalslag door te komen met een speciale richtlijn voor databescherming in de Europese Unie. De richtlijn gaat ver, omdat de EU ook het vertrouwen wil herstellen. De richtlijn verplicht inbreuken op de data-integriteit te melden. Dat moet binnen 24 uur gebeuren, bij het Centraal bureau Bescherming Persoonsgegevens en bij de individuen waar het om gaat. De melding is ook verplicht als er uit de schending géén schade volgt. Ten tweede moet een onderneming met meer dan 250 employees een Information Security Officer hebben. Als derde hebben autoriteiten de mogelijkheid te beboeten, mochten ondernemingen een loopje nemen met de regels. Tot een miljoen euro of twee procent van de omzet. De vierde regel is wellicht de meest ingrijpende. Deze geeft inwoners van de Europese Unie het recht vergeten te worden. Individuen hebben meer controle over hun data en kunnen eisen van een organisatie dat ze hun data verwijderen of vernietigen.
Sprong naar de Cloud
Juristen hameren op een goede voorbereiding, vóórdat de sprong naar de cloud gemaakt wordt. Maar het gemak waarmee ondernemingen naar de cloud kunnen overstappen, is hetzelfde gemak waarmee bedrijven soms juridische consequenties in de wind slaan. Net zoals weinig gebruikers de voorwaarden van een nieuwe versie van een besturingssysteem lezen voor het te downloaden en te installeren. Toch is verdieping noodzakelijk. Naast de genoemde Patriot Act en de Europese wet- en regelgeving spelen contractrecht, aansprakelijkheidsrecht, privacywetgeving en wetgeving rondom intellectueel eigendom. In Nederland is het bijvoorbeeld niet toegestaan zonder toestemming van betrokkene persoonsgegevens te verwerken. Dergelijk recht maakt het waarborgen van belangen en het eveneens juridisch beveiligen van gegevens tot bittere noodzaak.
De beste voorbereiding is juridisch advies in te winnen over de status van alle data die in de organisatie opgaat, en de rechten en verplichtingen die daar juridisch gezien bij horen. Op basis daarvan kan een organisatie een strategie uitstippelen waarin cloud computing een plaats krijgt zonder dat de organisatie en zijn klanten en partners daarmee onaanvaardbare risico’s lopen.
-Auteur: Ard Agteresch