Amerikaanse rechter claimt rechtsmacht over data op Europese Microsoft-servers

| AE 6602 | E-mail, Strafrecht | 41 reacties

cloud-flag-usaEen Amerikaanse rechter heeft bepaald dat Microsoft data moet afgeven aan Justitie, ondanks het feit dat die data op een server in Ierland staat en onder beheer is van Microsofts Ierse dochter. Dat meldde Slashdot gisteren. Microsoft had de search warrant aangevochten met de stelling dat de Ierse dochter buiten Amerikaanse jurisdictie valt, maar de rechter bepaalt nu dat dit geen relevant argument is bij clouddatavorderingen.

Het gelinkte Reuters-artikel legt uit dat het ging om e-maildata van een klant die op servers in Ierland stond. Deze servers worden beheerd door Microsofts Ierse dochter. Toen het moederbedrijf het bevel kreeg deze data af te geven, stapte men naar de rechter – zoals het bedrijf al meerdere malen had gemeld te zullen doen, in een poging angst over wereldwijd Patriotactdatagraaien bij Europese bedrijven en instellingen weg te nemen.

Het argument van Microsoft was gestoeld in twee eeuwen jurisprudentie: de Amerikaanse Justitie kan geen bevel geven om een buitenlands huis (of kantoorgebouw) te doorzoeken, ook niet als dat huis van een Amerikaan is. Daar mag men simpelweg niet in zoeken. En wat is nu het verschil tussen een server en een kantoorgebouw?

De rechter ziet het echter anders: het gaat hier niet om fysiek bezoeken van een locatie maar om het opvragen van data. En het is óók twee eeuwen jurisprudentie dat een Amerikaan die iets heeft dat moet komen brengen als de rechter daarom vraagt. Ook al ligt het iets in kwestie in een ander land. En als je die doctrine loslaat op e-mail dan moet Microsoft Inc de data dus maar gaan halen in Ierland. Of haar dochter bevelen dit te doen, wat ze juridisch kan aangezien dochterbedrijven moeten doen wat hun moederbedrijven zeggen.

Microsoft gaat bezwaar maken tegen deze beslissing. Een goede zaak, want dan krijgen we eindelijk eens écht duidelijkheid over hoe ver Amerikaans clouddatagraaien nu mag gaan. (Overigens gaat het hier niet om de Patriot Act maar de Stored Communications Act, qua concept vergelijkbaar met ons Wetboek van Strafvordering. En nu vraag ik me dus af of onze wet ook zo te lezen zou zijn als toepasselijk op data op een in het buitenland gehoste server van een Nederlands bedrijf. Ik kan er alleen niets over vinden…

Arnoud

Deel dit artikel

  1. Waar ik nu benieuwd naar ben is wat de dochter doet als ze opdracht krijgt de gegevens aan te leveren. De moeder maatschappij is gerechtigd de opdracht te geven, maar de dochter valt onder Iers recht en niet gerechtigd die af te geven zonder een opdrachtvan een Ierse rechter. Of zie ik nu iets over het hoofd?

    Wat kan de Amerikaanse rechtbank doen als men in Ierland weigert gehoor te geven?

    • Precies mijn gedachte. Als het Ierse dochterbedrijf de gegevens niet mag overhandigen, en dat dus ook niet doet, dan krijgen ze die gegevens niet in de VS. Het moederbedrijf in de VS zit dan tussen twee vuren, maar dat hebben ze wel een beetje aan zichzelf te danken. Ze hebben genoeg juristen in huis om dit soort problemen aan te zien komen, en ze hebben tijd genoeg gehad om uit de VS te vertrekken.

      Het dochterbedrijf moet de gegevens dan wel goed beschermen tegen inzage door het moederbedrijf. Is er Europese wetgeving die hun daartoe verplicht?

      • Is er Europese wetgeving die hun daartoe verplicht?

        Als ik kijk naar bijvoorbeeld de WBP in Nederland dan is die op bepaalde punten nog best interpreteerbaar. Ik weet niet of er rechterlijke uitspraken zijn die het verduidelijken. De WBP laat bijvoorbeeld toe dat gegevens worden verwerkt door partijen met een aanmerkelijk belang waarbij een afweging gemaakt moet worden tussen het belang van de opvragende partij en persoon van wie de gegevens zijn.
        Ook laat de WBP verwerking toe van justitiele en strafvorderingsgegevens en daarbij geldt

        4. Justitiële gegevens kunnen worden verstrekt aan een internationaal orgaan of aan een internationaal strafgerecht voor zover dit voortvloeit uit een verdrag. 5. Justitiële gegevens kunnen ten behoeve van de strafrechtspleging worden verstrekt aan rechterlijke ambtenaren dan wel aan andere autoriteiten in het buitenland. 6. Justitiële gegevens kunnen worden verstrekt of doorgegeven aan de bevoegde autoriteit van een andere lidstaat van de Europese Unie of aan een orgaan van de Europese Unie dat is belast met de ondersteuning en versterking van de wetshandhavingsdiensten van de lidstaten bij de voorkoming, bestrijding, onderzoek en vervolging van zware criminaliteit en dat bij algemene maatregel van bestuur is aangewezen. 7. Justitiële gegevens worden alleen ingevolge het vierde of vijfde lid verstrekt indien het ontvangende land of internationaal orgaan een toereikend beschermingsniveau voor de voorgenomen gegevensverwerking garandeert. Of het beschermingsniveau toereikend is wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een groep van gegevensverstrekkingen van invloed zijn. In het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doel en de duur van de voorgenomen verwerking en verwerkingen, het land van herkomst en het land of internationale orgaan van eindbestemming van de gegevens, de algemene en sectorale rechtsregels die in het derde land of het internationale orgaan gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in het land of het orgaan van toepassing zijn. 8. In afwijking van het zevende lid kunnen justitiële gegevens worden verstrekt of doorgegeven indien: a. dit noodzakelijk is ten behoeve van specifieke belangen van de betrokkene of een dringend zwaarwegend algemeen belang; of b. het betreffende land of het ontvangende internationale orgaan passende garanties biedt voor een zorgvuldige gegevensverwerking in het concrete geval.

        • Ik vermoed dat de VS hier in problemen komt met lid 7. Hoe kunnen ze veiligheid van de gegevens garanderen als ze geheim houden waar ze voor gebruikt worden?

          Ik snap dat justitie in lopende onderzoeken niet wil dat de verdacte getipt wordt, maar dan is er nog altijd de weg om bij de lokale rechter gegevens op te vragen op basis van een internationaal verdrag. Ik ga er vanuit dat andere Europese landen net als Nederland ook gag-orders kennen voor lopende onderzoeken. In tegenstelling tot de VS zijn ze in Nederland echter niet eeuwig durend en moeten taps gemeld worden na afsluiten van het onderzoek als geen vervolging wordt ingesteld of bij de vervolging, maar als het als bewijs gebruikt wordt wordt dit vanzelf duidelijk.

          Overigens ooit een document van justitie gelezen waaruit blijkt dat niet alle regio’s even goed zijn in het melden van taps achteraf.

  2. Maar laten we ook eerlijk zijn; veel van dit soort bedrijven hebben voornamelijk hun verschillende regionale ‘afdelingen’ om daar financieel het beste van te worden, zonder echt losse entiteiten te creëren. Zoals de rechter terecht bevindt is het in de basis nog steeds een groot bedrijf.

    Jouw uitleg ‘Amerikaan die iets heeft dat moet komen brengen als de rechter daarom vraagt’ maakt het wel erg duidelijk. Maar wat als die Amerikaan het ergens heeft liggen waar hij niet zonder toestemming bij mag? Dat is hier immers het geval.

    • Het probleem is waarschijnlijk dat werknemers van Microsoft in de US admin accounts hebben op die ierse servers. Ze hoeven dan niet eens via de Ierse dochter te gaan om de data te krijgen. De data valt echter nog steeds onder de Europese privacy wetgeving.

      Het lijkt mij dan ook dat degene die de gegevens aan de Amerikaanse rechtbank overhandigd onmiddelijk aangeklaagd moet worden in Europa.

      Daarnaast de Ierse tak van Microsoft in Europa aanklagen wegens het onvoldoende beschermen van de data zoals vereist in de EU richtlijnen.

      En als klant van Microsoft eisen dat Microsoft Ierland alle toegang tot zijn servers ontzegd aan medewerkers van de US tak en Amerikanen in het algemeen, zodat toegang te allen tijde via de europese onderneming of een europeaan moet lopen. Correct me if wrong, maar zo’n europeaan die die een opdracht krijgt zal ook niet gebonden zijn aan een gag order, aangezien hij niet onder amerikaanse jurisdictie valt. (Tenzij hij de US bezoekt en daar iets doet uiteraard, dus account van medewerkers blokkeren als ze de US bezoeken.)

      En als de cloudprovider hier niet aan mee wil werken dan een Europees alternatief zoeken. Laat het ze maar veel geld kosten in de US. Dat is het enige middel dat ze in dat land uberhaupt begrijpen.

      Overigens ging het hier om een search warrant welke niet uit te voeren is omdat de servers niet in de US stonden. Waarop de rechter besloot dat MS deze dan als een subpoena moest behandelen en alle info waar het toegang heeft moest overhandigen.

      • “Arguably” want? Kan de Amerikaanse rechtbank de Ierse dochter verplichten de data af te geven? Oftewel is de Amerikaanse rechtbank een bevoegde autoriteit tov de Ierse dochter? Zo ja dan zijn we gauw klaar, al hoewel ik dan wel had verwacht dat de opdracht aan de Ierse dochter werd gegeven, niet de Amerikaanse moeder.

        Als de Amerikaanse rechtbank de Ierse Dochter deze opdracht niet kan geven, wat maakt het dan voor een verschil dat die Amerikaanse moeder er tussen zit? Voor zover ik weet is de Amerikaanse Moeder geen bevoegde autoriteit die afdracht van de gegevens kan eisen. En we hebben net aangenomen dat de Amerikaanse rechtbank dat ook niet is. De autoriteit die de opdracht geeft is de amerikaanse rechtbank en die is wel of niet bevoegd om afgifte van data af te dwingen in Ierland. Waarom zou het gebruik van een tussenschakel hier iets aan veranderen.

        tl;dr Als de Ierse dochter alleen te maken heeft met Amerikaanse moeder die nooit een (bevoegde) autoriteit is. Waar is dan de rechtvaardigign onder ierse wetten?

        • Het bevel is gegeven aan de Amerikaanse moeder, niet de Ierse dochter. De moeder moet de data dus gaan ophalen. Het is haar probleem dat die data ligt bij een dochter in het buitenland, dat is geen excuus bij een dergelijke warrant. En zij kan de dochter bevelen de data af te geven, als moeder heb je immers per definitie zeggenschap over je dochtermaatschappij.

          De Ierse dochter zit klem want mag alleen afgeven met een bevoegd gegeven bevel. Maar het is voor mij onduidelijk of uitsluitend de Ierse rechter bevoegd is zo’n bevel gegeven. De Amerikaanse rechter is bevoegd de moeder dit op te dragen, dus je kunt betogen dat de bevoegdheid afstraalt op de dochter. Oftewel Microsoft Ierland valt onder Amerikaanse jurisdictie.

            • Als dit zo is, dan zou dat wel heel vreemd zijn. Dat zou betekenen dat als de eigenaar van een puur europees bedrijf op vakantie gaat naar de VS, het bedrijf het risico loopt om indirect onder het Amerikaans recht te vallen. Ik zie namelijk geen enkele reden waarom een natuurlijk persoon anders zou worden behandeld dan een rechtspersoon in deze. Hoe meer je dit gaat doordenken hoe onwaarschijnlijker het wordt dat zeggenschap zou afstralen. Als deze redenatie standhoudt zijn bedrijven in privé eigendom onderhavig aan alle jurisdicties waar de eigenaar op vakantie gaat, maar op enig moment alleen daar waar de eigenaar ook daadwerkelijk is.

          • Arnout schrijft: En zij kan de dochter bevelen de data af te geven, als moeder heb je immers per definitie zeggenschap over je dochtermaatschappij.

            Is dat wel zo? In veel moeder-dochter vennootschapsrelaties is dit geregeld via een aandeelhoudersstructuur. Dit betekent dat de AV aan het management kan vragen iets te doen, en als bij de volgende AV blijkt dat dat niet gebeurd is, het management wegsturen. Het management roept ondertussen dat wat de AV vraagt tegen de wet is, en dat ze het dus niet zullen doen, en zich ook niet zomaar laten wegsturen omdat ze weigeren iets te doen wat tegen de wet is.

            En zo zijn we een paar jaar verder. De US rechter is een beetje te kort door de bocht. Die zeggenschap van de moeder over de dochter is zeer indirect en met vertraging.

          • En wat als de dochter zich officieel weigert dit te doen, wetende dat de moedermaatschappij het niet écht wil, maar alleen opvraagt omdat het moet? Stel nou dat er bijvoorbeeld een wachtwoord nodig is dat alleen de administratoren in Ierland weten. Kan de rechter haar dan meer opdragen dan een verplichting, disciplinaire maatregelen tegen de dochter te treffen, voor insubordinatie?

    • Het hangt hier helemaal af van hoe Microsoft haar clouddiensten georganiseerd heeft. Als de “BV Cloud Europa” haar cloud onafhankelijk van “Microsoft Corp. US” beheert, dan zou een dergelijk verzoek via een Europese rechter gedaan kunnen worden die het dan aan de Europese wet toetst. Maar wanneer Microsoft haar Europese en Amerikaanse clouddiensten geïntegreerd heeft en de servers en gegevens die fysiek in Europa staan voor een belangrijk deel vanuit de Verenigde Staten beheert, dan denk ik dat deze data wel onder de jurisdictie van de Amerikaanse rechter valt.

    • Die europese cloud hebben we sowieso nodig. Het is mij een doorn in het oog dat we met zijn alleen steeds terugvallen op amerikaanse diensten als die ook lokaal (lees ‘europees’) aangeboden kunnen worden. Laten we met zijn alleen ens de europese economie vlot trekken in plaats van het geld naar de VS doorsluisen. En de europese software en diensten industrieën goed van de grond helpen.

      • Het is mij een doorn in het oog dat we met zijn alleen steeds terugvallen op amerikaanse diensten als die ook lokaal (lees ‘europees’) aangeboden kunnen worden

        Dat geldt voor alle producten en diensten die we uit andere landen afnemen. Als de amerikanen het beter / goedkoper kunnen dan wij is het logischer om het product daar te halen dan zelf te doen. We bouwen in europa ook geen hardware. Is dat dan geen doorn in je oog dat bijvoorbeeld al onze data gaat over chinese en amerikaanse routers.

          • Waarom kunnen de Amerikaanse cloud-aanbieders dat zo goedkoop doen

            Omdat energie goedkoper is in de VS en omdat het verdien model op basis van met name advertenties beter is in de VS. De Amerikaanse klanten leveren relatief ook meer op dan Europese klanten. Een Europese Cloud zou vereisen dat de gebruiker betalen voor hun cloudopslag. En dat is momenteel een vrijwel kansloos verdien model.

            • Euh, alle professionele cloud gebruikers die ik ken betalen gewoon voor de diensten. En als aan europeanen niets te verdienen was, dan waren die amerikaanse diensten hier al lang niet meer aangeboden.

              Overigens is energie in de VS misschien goedkoop, maar het is zeker in sillcon valley ook onbetrouwbaar. En Ijsland is nog altijd het goedkoopst voor stroom. (ok, de kabeltjes die dan getrokken moeten worden zijn niet gratis en een data center op een vulkaan is niet ideaal)

      • Het gaat er niet alleen om dat de Amerikanen het goedkoper kunnen. Ze kunnen het namelijk ook op veel grotere schaal dan wij hier in Europa. Even een groot serverpark neerzetten van een vierkante hectare gaat makkelijker in de USA dan in ons drukke kikkerlandje. We zijn volgens mij al bijna een halve eeuw aan het uitvechten of de A4 voorbij Den Haag nu wel of niet verder verlengd mag worden. Kun je nagaan wat er gebeurt als Google een groot serverpark wil neerzetten met zonnepanelen en windmolens erbij om deels in de eigen energie-behoefte te voorzien. China en Rusland hebben dezelfde voordelen als de USA: veel ruimte om het een en ander neer te zetten. Want als we het hebben over een cloud-provider dan praat je al snel over meer dan een keukenkastje vol computers. En nu zijn er wel redelijk grote dataservers binnen Nederland maar de hoeveelheid beschikbare ruimte zal altijd wel een probleem zijn, net als de beschikbaarheid van voldoende energie. (En misschien wel koeling in de vorm van slootwater dat voor het koelen wordt gebruikt.)

        • Wij hebben in dit land en in de EU al decennia een boterberg, lijkt mij dat er dus ruimte genoeg is voor een data center. Is de grond tenminste nog wat waard als de boer het wil verkopen.

          En tevens: zowel Google als Microsoft hebben data centers in europa (daar komt de hele heisa nu juist door) dus het is prima mogelijk om in europa data centers te hebben en te verdienen. Dat we inderdaad eens een wat minder anale overheid moeten hebben die flexibeler met bestemmingsplannen om moet gaan en wat meer moet doen om ondernemen haalbaar te maken is een andere discussie.

          • Het probleem is met een eigen Europese Cloud aanbieder dat de investeringen erg hoog zijn. Je heb datacentrums op meerdere locaties nodig genoeg energie, apparatuur denk aan servers, switches etc etc en dan ook nog genoeg snelle verbindingen om alles aan elkaar te knopen. Voor 3 of 4 locaties als je het goed wilt doen denk gauw aan de 100 miljoen (inclusief 3 jaar te kunnen draaien) je heb hier partijen voor nodig het probleem is om die te vinden en te zorgen dat je niet per ongeluk een VS bedrijf binnen trek. Daarbij heb je ook de politiek nodig om dit een succes te maken denk aan wetgeving om ten allertijden de VS buiten de deur te houden. Het bedrijf dient ook te beseffen dat het nooit naar de VS kan uitbreiden of landen waar de VS te veel invloed kan uit oefenen.

          • Die boterberg is een waardeloos argument in deze discussie. Sowieso is Nederland redelijk belangrijk voor de productie van melkproducten binnen Europa. Denk hierbij aan de Goudse kaas en babyvoeding. Het zou makkelijker zijn om gewoon het Groene Hart en de Veluwe te asfalteren en te bebouwen maar dan nog los je het probleem niet op. Maar bedenk dat er diverse Nederlandse bedrijven zijn met dochters in de USA. UPC is overgenomen door Liberty Global en die krijgen straks ook Ziggo in handen. In Belgie hebben ze Telenet ook, plus de UPC dochters in andere Europese landen en enkele andere Telcom-bedrijven. De kans dat er Cloud-providers in Europa zijn zonder connectie met de USA (Waar veel winst te behalen is) is volgens mij erg klein. Ruimte is sowieso het kleinste probleem omdat je altijd nog kantoorruimtes op elkaar kunt stapelen om meer serverruimte te krijgen. Wat belangrijker is, is de bijbehorende infrastructuur zoals bekabeling en electriciteit. De Nederlandse bevolking protesteert al als er een extra windmolen in de achtertuin moet komen en zonlicht is hier toch ook iets te schaars om zonnepanelen rendabel genoeg te maken. Een extra kolencentrale of kerncentrale zou natuurlijk ook kunnen maar ook daar zijn eigenlijk teveel mensen op tegen. Een energie-centrale op gas is ook een beetje vervelend met de huidige crisis in Rusland en zo, die we nu boycotten.

  3. Even een ander aandachtspunt. Dat de Amerikaanse rechter dit opeist, prima. Maar kan de Europese wetgeving dit vervolgens verbieden op straffe van hoge dwangsommen en inbeslagname van apparatuur en kantoren? Als het aanleveren van die data voor Microsoft een enorme schadepost oplevert wegens de boete die Europa vervolgens oplegt, kunnen ze dan vervolgens weigeren om die data te overhandigen wegens de vervolgschade?

  4. Micrsoft geeft toch ook vaak gegevens van klanten als de Nederlandse rechter daar om verzoekt. Die (bv hotmail gegevens) kunnen best van een server uit de VS komen.

    Ook google honoreert opvragingen van Nederlandse rechters en daarbij is het zelfs matematische zekerheid dat een deel van die informatie in de VS is opgeslagen omdat Google zelf aangeeft de hun gegevens niet lokaal maar verspreid over de wereld op te slaan.

    Het klinkt nu dus een beetje raar dat er ophef is over deze specifieke zaak en niet over de praktijk van alledag. Wat maakt deze zaak anders dan een Nederlandse rechter die gegevens opvraagt bij Google.

    • Ik weet niet hoe andersom de wetgeving in de VS eruit ziet. Als de wetgeving in de VS het exporteren van de data niet verbied en het verspreiden van de gegevens binnen het concern toestaat, dan kunnen Google en Microsoft ook makkelijk aan de verzoeken voldoen. Ze kunnen dan opdracht geven die gegevens te verstrekken binnen de organisatie en de Nederlandse tak geeft het vervolgens op basis van een uitspraak af.

      Staat de Amerikaanse wetgeving dit niet toe dan lijkt het mij aan de mensen wiens gegevens zo zijn afgegeven om aan te kaarten bij Amerikaanse justitie dat hun rechten geschonden zijn. Overigens, als de Amerikaanse wet geschonden wordt om het bewijs te verkrijgen, heb je in strafrecht zaken dan geen problemen met onrechtmatig verkregen bewijs (in strafrecht zaken).

      De Europese richtlijnen staan het exporteren van persoonsgegevens niet toe en daar heeft men zich aan te houden in Europa; dus ook Microsoft Ireland.

      • De Europese richtlijnen staan het exporteren van persoonsgegevens niet toe

        Dat is volgens mij niet niet per definitie zo. Wet en regelgeving rondom persoonsgegevens in europa betreft over het algemeen de gegevens van europese burgers en inwoners. Het lijkt me misschien wel mogelijk om binnen de huidige wet en regelgeving gegevens van amerikaanse burgers te verstrekken aan de VS ook als die gegevens op europees grondgebied opgeslagen zijn.

  5. Wat ik gek vind is dat de Amerikaanse rechter niet heeft beoordeeld dat de amerikaanse justitie gewoon een verzoek voor gerechterlijke ondersteuning moet doen aan Ierland als de data daar bescherm wordt.

    Een land waarmee de VS gewoon goede betrekkingen heeft en (europese) verdragen over dergelijke uitwisseling van gegevens. Acht deze rechter zijn reach belangrijker dan de internationale verdragen tussen de VS en Ierland. Dit soort verdragen: http://www.irishstatutebook.ie/2008/en/act/pub/0007/print.html

    Het lijkt me ook gepast dat als europa de data beschermd acht (bijvoorbeeld omdat het gegevens van een europese burger betreft) Europa aangeeft aan de VS dat zij hun verzoek bij de rechter per direct intrekken en een verzoek op basis van zo’n verdrag doen. Anders kan men voortaan besluiten om de VS veel minder justitiele ondersteuning obv die verdragen te geven.

  6. 1) Er is ook een andere route denkbaar: via internationaal rechtshulpverzoek. US autoriteiten vragen Ierse autoriteiten om Microsoft Ierland te verplichten de data te overhandigen. Dan vind de toets (ook) obv de Ierse wet plaats. Vraag me, los van superoriteits- en afhankelijkheidsentimenten, af wat de reden is geweest dat in de zaak niet te doen 2) Interessant is ook de situatie van een EU moederbedrijf met data in, zeg NL, met een 100% dochter die een US gerechtelijk bevel krijgt (voorbeelden: KPN, TomTom en wellicht ook Deutsche Telekom/T-Mobile). Die dochter kan zijn moeder niet bevelen de data te leveren. Komt die dochter nu in de mangel van het US rechtssysteem?

  7. De chat/mail/VOIP service unseen.is probeert zichzelf te verkopen als een dienst met maximale privacy. Ze zeggen dat ze meer privacy-bescherming hebben omdat ze een IJslands bedrijf zijn met een IJslandse domeinnaam. Ze schrijven op hun website dat ze alleen data afgeven als de IJslandse rechtbank besluit dat ze het moeten, en in de IJslandse wet is privacy heel erg belangrijk.

    Als ik een WHOIS uitvoer op de domeinnaam, of zelfs op hun IP adres, dan zie ik dat deze geregistreerd zijn op naam van hun Amerikaanse moederbedrijf.

    Betekent deze uitspraak tegen Microsoft dan ook dat de Amerikaanse overheid gewoon gegevens van Unseen.is kan opvragen?

  8. Ik denk dat de DNB hierdoor wel weer terug zou moeten komen hierop:

    http://webwereld.nl/beveiliging/58435-nederlandse-banken-mogen-naar-amerikaanse-cloud DNB heeft een aantal “additionele risico’s en uitdagingen” geformuleerd waarop die risico-analyse een antwoord moet geven. Daaronder de vragen: “Waar is uw data fysiek? Wie hebben toegang tot uw gegevens? Hoe controleert u dat? Hoe vergewist u zich er van dat uw cloud service provider uw gegevens conform uw vereisten verwerkt? Hoe krijgt u uw data terug bij beëindiging van de overeenkomst?”

  9. Veel mythes rond cloud computing die toch waar blijken te zijn?

    Ik vind het onderstaande verhaal wel erg krom, volgens Microsoft bestaat er in het geval van de overheid van de VS geen onrechtmatige toegang, dat geld blijkbaar alleen voor chinezen…

    Ook het argument dat andere overheden dezelfde mogelijkheden hebben vind ik niet erg geruststelledn…

    http://www.computable.nl/artikel/microsoftprivatecloud/4488999/4434365/veel-mythes-rond-cloud-computing.html

    De tweede aanname is dat, zodra de technologie en data op afstand staan, er altijd anderen zijn die daar bij kunnen. “Dat is een verkeerd beeld”, meent Bos. “Er is rechtmatige en onrechtmatige toegang tot de data van een organisatie. Natuurlijk moet een cloud service provider beschermen tegen onrechtmatige toegang tot data. De eigenaar van de data bepaalt wie rechtmatige toegang heeft, en de beheerder hoeft om de kwaliteit van de dienstverlening te kunnen blijven garanderen geen inhoudelijke toegang tot de data te hebben.”

    Securitymaatregelen zijn bedoeld om onrechtmatige toegang tegen te gaan. Maar wat als het gaat om rechtmatige toegang door bijvoorbeeld een overheid in het kader van een opsporingsbevel? Ook hierover doen vele verhalen de ronde, ervaart Van Gessel. “Er bestaan al heel lang veel afspraken en verdragen over de uitwisseling van informatie tussen verschillende overheden in het kader van opsporing. Die afspraken hebben betrekking op alle data, of ze nu in de cloud staan, in het datacenter van de klant of in een ouderwetse archiefkast.”

    Het meest is te doen over de Patriot Act, wat een samenvoeging is van vier al langer bestaande amendementen. Deze Amerikaanse wet is in 2001 in het leven geroepen om makkelijker terrorisme te kunnen bestrijden In meer landen bestaat vergelijkbare wet- en regelgeving, die de overheid vergelijkbare rechten geeft als de Amerikaanse. En het feit is dat de Amerikaanse overheid relatief gezien heel gematigd is met het gebruik van dit instrument. “Het is dan ook een mythe om te denken dat de Amerikaanse overheid ‘grijpgraag’ is en ‘maar zo’ allerlei data wil inzien”, zegt Bos.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS