Het lukraak uitbe­steden van IT-diensten valt volgens juristen en cloud­ken­ners aller­minst aan te raden. Zeker niet omdat binnen die diensten vaak vertrou­we­lijke infor­matie omgaat. De belang­rijkste wetgeving concen­treert zich daarom rond de thema’s privacy, terro­risme en verant­woor­de­lijk­heid voor het beheer van de data.

De vaakst genoemde bott­le­neck rondom cloud computing concen­treert zich op de Patriot Act in de Verenigde Staten. Deze wetgeving is oorspron­ke­lijk gericht op het bestrijden van terro­risme. Op grond hiervan hebben Ameri­kaanse over­heids­in­stan­ties vergaande bevoegd­heden gekregen. Dat betekent onder meer dat Ameri­kaanse orga­ni­sa­ties en bedrijven (waaronder dus cloud-leve­ran­ciers) verplicht zijn toegang te verlenen tot infra­struc­turen als servers en netwerken. Ook bedrijfs­on­der­delen buiten het Ameri­kaanse grond­ge­bied moeten daar hun mede­wer­king aan verlenen. Ameri­kaanse cloud­pro­vi­ders kunnen dus simpelweg niet garan­deren dat gegevens in Europa niet door Ameri­kaans over­heids­dien­sten worden gecon­tro­leerd. Wie zijn cloud bij een Ameri­kaanse leve­ran­cier heeft onder­ge­bracht, moet dus terdege met deze moge­lijk­heid rekening houden.

Zakelijke verbon­den­heid

Volgens onderzoek van het onaf­han­ke­lijke Centrum voor Priva­cy­be­scher­ming Schleswig-Holstein reikt de macht van de Ameri­kaanse auto­ri­teiten heel ver. Is het moeder­con­cern gevestigd in de Verenigde Staten, dan moet er aan de Patriot Act voldaan worden. Zelfs wanneer er maar op enige manier een zakelijke verbon­den­heid met de VS bestaat, dan is er een verplich­ting infor­matie te verstrekken. De Patriot Act komt in een bijzonder daglicht te staan door de onthul­lingen van Edward Snowden, ex-agent bij de National Security Agency. Hij stelt dat de Ameri­kaanse overheid op massale schaal telefoon- en inter­net­ver­keer onder­schept. Zelfs de Duitse bonds­kan­se­lier Angela Merkel werd slacht­offer. Snowdens maan­den­lange onthul­lingen leiden wereld­wijd tot zeer geschokte reacties.

image

Verwij­deren of vernietigen

In Europa maakt de Europese Commissie een inhaal­slag door te komen met een speciale richtlijn voor data­be­scher­ming in de Europese Unie. De richtlijn gaat ver, omdat de EU ook het vertrouwen wil herstellen. De richtlijn verplicht inbreuken op de data-inte­gri­teit te melden. Dat moet binnen 24 uur gebeuren, bij het Centraal bureau Bescher­ming Persoons­ge­ge­vens en bij de indi­vi­duen waar het om gaat. De melding is ook verplicht als er uit de schending géén schade volgt. Ten tweede moet een onder­ne­ming met meer dan 250 employees een Infor­ma­tion Security Officer hebben. Als derde hebben auto­ri­teiten de moge­lijk­heid te beboeten, mochten onder­ne­mingen een loopje nemen met de regels. Tot een miljoen euro of twee procent van de omzet. De vierde regel is wellicht de meest ingrij­pende. Deze geeft inwoners van de Europese Unie het recht vergeten te worden. Indi­vi­duen hebben meer controle over hun data en kunnen eisen van een orga­ni­satie dat ze hun data verwij­deren of vernietigen.

Sprong naar de Cloud

Juristen hameren op een goede voor­be­rei­ding, vóórdat de sprong naar de cloud gemaakt wordt. Maar het gemak waarmee onder­ne­mingen naar de cloud kunnen over­stappen, is hetzelfde gemak waarmee bedrijven soms juri­di­sche conse­quen­ties in de wind slaan. Net zoals weinig gebrui­kers de voor­waarden van een nieuwe versie van een bestu­rings­sys­teem lezen voor het te down­lo­aden en te instal­leren. Toch is verdie­ping nood­za­ke­lijk. Naast de genoemde Patriot Act en de Europese wet- en regel­ge­ving spelen contract­recht, aanspra­ke­lijk­heids­recht, priva­cy­wet­ge­ving en wetgeving rondom intel­lec­tueel eigendom. In Nederland is het bijvoor­beeld niet toege­staan zonder toestem­ming van betrok­kene persoons­ge­ge­vens te verwerken. Dergelijk recht maakt het waar­borgen van belangen en het eveneens juridisch bevei­ligen van gegevens tot bittere noodzaak.

De beste voor­be­rei­ding is juridisch advies in te winnen over de status van alle data die in de orga­ni­satie opgaat, en de rechten en verplich­tingen die daar juridisch gezien bij horen. Op basis daarvan kan een orga­ni­satie een strategie uitstip­pelen waarin cloud computing een plaats krijgt zonder dat de orga­ni­satie en zijn klanten en partners daarmee onaan­vaard­bare risico’s lopen.

-Auteur: Ard Agteresch

Pin It on Pinterest

Share This