Safe Harbor getorpedeerd; het einde van de Amerikaanse cloud?

Het Europese Hof van Justitie heeft vandaag het Safe Harbor-verdrag met de Verenigde Staten, waarin staat hoe Amerikaanse bedrijven gegevens moeten opslaan zodat ze aan de Europese privacywetgeving voldoen, ongeldig verklaard. Dat meldde Security.nl en nog een hele sloot media. Een lichte ramp natuurlijk: zonder Safe Harbor staan heel veel persoonsgegevens illegaal in de Amerikaanse cloud. Wat nu?

De uitspraak is een uitkomst van het al lang lopende conflict dat Oostenrijker Max Schrems heeft met Facebook. Het begon met een inzageverzoek: wat weten jullie allemaal over mij. Dat escaleerde tot een stevige juridische strijd, waarbij op zeker moment het argument ter tafel kwam dat persoonsgegevens veilig in de VS staan want Safe Harbor. Dat we ondertussen van alles weten over de NSA en ander amerikaanseoverheidsgesnuffel deed daarbij niet ter zake.

Het arrest (zaaknr C-362/14) gaat vooral over dat punt. Mag de Europese Commissie afspraken met de VS maken waarin ze in feite zeggen “de VS is gewoon veilig, punt”, of mag het Hof daar toch nog wat van vinden als bij nader inzien blijkt dat het in de VS toch niet zo lekker loopt als gedacht? Het verrast niet echt dat het Hof het laatste vindt.

En wát ze er dan van vinden, is niet mals. De VS ziet Safe Harbor als een leuk speeltje maar uiteindelijk niet zo belangrijk als de eigen wetten:

86 Thus, Decision 2000/520 lays down that ‘national security, public interest, or law enforcement requirements’ have primacy over the safe harbour principles, primacy pursuant to which self-certified United States organisations receiving personal data from the European Union are bound to disregard those principles without limitation where they conflict with those requirements and therefore prove incompatible with them.

Oftewel: er staat gewoon ín dat als Amerikaanse wetgeving wat anders zegt dan mag in de Safe Harbor, dan wint die wetgeving het gewoon. Hoe kun je dat dan nog een veilige haven noemen die volgens Europese regels werkt? Want dát was het idee achter de wettelijke eis “geen gegevens de EU uit tenzij dat adequaat geborgd is”.

We hebben nu dus een probleem. Heel veel organisaties hebben data in de VS staan met een beroep op Safe Harbor, en dat is nu dus niet meer mogelijk. Er zijn juridische oplossingen te verzinnen – zoals gaan werken met een modelcontract – maar het is nog maar de vraag of die standhouden tegen het argument “de FBI kan er tóch altijd toegang tot afdwingen”, analoog aan het citaat hierboven.

Naar de Europese clouddiensten dan maar? Immers, data opgeslagen bij Amazon in Ierland of Microsoft in Brussel valt onder een dochtermaatschappij die gewoon onder Europees recht valt. Het is nog maar de vraag of dat gaat helpen. We hebben al een tijdje een slepende rechtszaak tussen Microsoft en de Amerikaanse overheid, met de vraag centraal of de overheid gegevens mag opeisen bij Microsoft-dochters in Europa. De rechter in eerste instantie zei van wel, het hoger beroep loopt. Als dát overeind blijft, zijn ook die datacenters verboden terrein voor Europese bedrijven.

Gaat er wat gebeuren? Het zou me verbazen. De impact is namelijk zo groot dat weinigen er aan zullen willen. Eerst maar eens een jurist zorgvuldig naar laten kijken, en dan afwachten wat de concurrent gaat doen. Want het kost gewoon gigantisch veel geld om equivalente diensten te vinden – als die er al zijn. Als je concurrent lekker op Amazon blijft zitten, dan ben je weliswaar legaal bezig maar commercieel heel dom.

Wellicht dat de nieuwe wetgeving persoonsgegevens per 1 januari hier wat in gaat veranderen. Die heet weliswaar meldplicht datalekken maar hij zet ook boetes op het exporteren van persoonsgegevens zonder juridische basis. Maar u kent mij als professioneel cynicus: het zou me verbazen.

Arnoud

40 reacties

    1. Het lijkt mij redelijker als het alleen gaat over het opslaan van gegevens die over anderen gaan. Mijns inziens zou het dus moeten gaan over de gegevens die werkgevers, winkels, vervoersbedrijven, banken, overheden en dergelijke over je bijhouden, maar ook wat vrienden en familie over elkaar schrijven op sociale netwerken. Dat zouden ze niet zomaar “in de cloud” mogen dumpen.

      Het lijkt me dat het niet verboden zou moeten worden om gegevens over jezelf op willekeurige plaatsen te delen. Er zou dan nog steeds privacy-schending plaats kunnen vinden als een service-provider jou ten onrechte de indruk gaven dat ze jouw privacy zouden respecteren, maar dat is dan niet jouw schuld, maar de schuld van de service-provider. Een service provider in de VS is moeilijk aan te pakken met Europees recht (dat zou ook niet moeten kunnen, want dat is een schending van de Amerikaanse soevereiniteit); de oplossing voor dit probleem zie ik meer in voorlichting en preventie.

      1. Maar dat lijkt me iets dat je af zou kunnen spreken. Bv. ik wil een spijkerbroek in een webshop kopen en de winkel meldt mij dat ze gegevens op Amerikaanse servers opslaan, waarvoor geen safe harbor of whatever. Zijn ze dan per definitie illegaal bezig, of is het alleen illegaal als ze mij dat niet melden en ik dus geen bewuste keuze heb kunnen maken?

    1. Redenatie is dat Europese bedrijven/cloud providers een adequate bescherming van persoonsgegevens kennen op basis van de Europese privacyrichtlijn (die wordt vervangen door de general data protection resolution).

  1. Het is nog maar de vraag of dat gaat helpen. We hebben al een tijdje een slepende rechtszaak tussen Microsoft en de Amerikaanse overheid, met de vraag centraal of de overheid gegevens mag opeisen bij Microsoft-dochters in Europa. De rechter in eerste instantie zei van wel, het hoger beroep loopt. Als dát overeind blijft, zijn ook die datacenters verboden terrein voor Europese bedrijven.

    Eh, nee? De Europese dochter is alleen illegaal bezig als die gehoor geeft aan data-verzoeken van het Amerikaanse moederbedrijf + de Amerikaanse overheid. Als de dochter dat ondanks het verbod toch doet, dan wordt het dochterbedrijf inderdaad verboden terrein en zou het gestraft moeten worden.

    Dat het moederbedrijf in de VS juridisch mogelijk wordt verplicht om data bij het dochterbedrijf op te vragen is weliswaar onbeschoft van de Amerikaanse overheid, maar het zou in Europa juridisch geen verschil moeten maken. Ik zie het nog steeds als een mogelijke uitkomst dat het moederbedrijf data opvraagt aan het dochterbedrijf, en dat het dochterbedrijf die data vervolgens niet geeft.

    Boetes zijn wellicht niet voldoende om dit scenario af te dwingen, omdat het moederbedrijf verplicht kan worden / in staat is om die te betalen, en het dochterbedrijf dan geen schade ondervindt. Persoonlijke (gevangenis)straffen voor bestuurders van het dochterbedrijf zijn wellicht effectiever.

    1. Dit scenario klopt formeel-juridisch natuurlijk wel, maar in de praktijk niet. In veel gevallen bestaan er verschillende juridische identiteiten, maar lopen alle operationele processen gewoon door elkaar heen. Het werkt ook in de analoge situatie dat er daadwerkelijk een Europese archiefmedewerker de bestanden moet opzoeken in een doos, en moet doorsturen naar de VS. In de praktijk zal in veel gevallen de Amerikaanse operationele tak ook inzicht hebben in de Europese data, zonder dat daar door de Europese bestuurder iets aan gedaan kan worden.

      1. Die praktijk kan wel wat anders worden, als je in Europa echt gestraft kunt worden voor het zomaar doorsluizen van andermans gegevens. Dan krijg je in een Europees datacentrum waarschijnlijk aparte secties voor gebruikersdata, met elektronische, fysieke en organisatorische firewalls om overtredingen te voorkomen.

        Dat is niet per sé slecht voor cloud-providers. Gebruikers willen privacy, en aanbieders die privacy willen leveren kunnen dan adverteren dat ze 100% vanuit Europa worden gehost.

        Vergeet niet dat het “probleem” twee kanten op werkt: de EU kan er weinig tegen beginnen als EU-burgers gebruik maken van services die in de VS worden gehost, maar de VS kan er ook weinig tegen beginnen als VS-burgers gebruik maken van services die in de EU worden gehost. Dat is: zolang ze hun leger niet inzetten, maar zover zal het niet snel komen.

  2. Zelfs als je voor een Europese Cloud zou kiezen heb je nog een risico. De grote Amerikaanse spelers kopen links en rechts bedrijven op. Vanaf het moment dat jouw provider wordt overgenomen door een Amerikaanse partij heb je weer een (potentieel) probleem.

    Ik verwacht eerlijk gezegd dat de uitspraak van de Amerikaanse rechter gewoon in stand blijft. Zo niet dan is dat namelijk een hele grote ommekeer. In de fysieke wereld is het Amerikaanse standpunt namelijk al jaren, ligt het in het buitenland? Dan stuur je maar iemand om het op te halen. En in dat geval is het natuurlijk nog veel makkelijker om export te voorkomen, door het fysiek on toegankelijk te maken. Over het internet kunnen ze ‘gewoon’ vanuit Amerika inloggen.

    En ik vrees voor de baan van de Europese manager die tegen de Amerikaanse moeder zegt dat hij geen informatie geeft omdat hij daarmee de Europese wet overtreedt. Het enioge wat werkt is er echt tanden aan geven en dan ook naleven.

    In Frankrijk is bijvoorbeeld het meewerken aan Amerikaanse Discovery regels al strafbaar. Sterker nog, het is voor een Franse advocaat/jurist zelfs verboden om zo’n verzoek in te dienen.

    1. In de praktijk zal het inderdaad wel zo gaan, maar die redenatie laat bij mij wel een nare nasmaak achter: in de praktijk geeft het gedrag van de USA je toch het gevoel dat je in een soort van amerikaanse kolonie woont, in plaats van in een soeverein land.

    2. Zo niet dan is dat namelijk een hele grote ommekeer. In de fysieke wereld is het Amerikaanse standpunt namelijk al jaren, ligt het in het buitenland? Dan stuur je maar iemand om het op te halen.

      Dat geldt alleen voor ophalen van je eigen data maar niet voor de data van anderen.

      Een vliegtuigmaatschappij kan bijvoorbeeld wel gedwongen worden om hun vluchtinformatie opgeslagen in het het buitenland te overhandigen bij een amerikaanse rexchtbank maar een amerikaanse rechtbank kan niet de koffer van een vliegtuidpassagier in het buitenland laten doorzoeken met een bevel. En effectief probeert een rechter dat nu juist wel te doen voor de digitale wereld. Daarom verzet Microsoft zich hier zo sterk tegen. Een search warrant van een Amerikaanse rechter is in de fysieke wereld zinloos buiten de VS maar nu heeft een rechter dus zo’n warrant afgegevens voor door een persoon in een cloud opgeslagen gegevens die in Ierland zijn opgeslagen. Gegevens die dus van een klant van Microsoft zijn.

      1. Het geld ook voor de eigen administratie (van de europese dochter), en daar staan persoonsgegevens in. En daarnaast is data geen eigendom begrijp ik altijd van Arnoud, dus wat bedoelen we hier dan eigenlijk met ‘eigen data’?

        1. Het geld ook voor de eigen administratie (van de europese dochter), en daar staan persoonsgegevens in
          Ja en die kun je dus nu al prima opvragen als rechter. Ook als ze in het buitenland staan. Recent vonnis in Nederland tegen Google heeft Google ook aangevoerd dat de gegevens die door Brein werden opgevraagd in het buitenland stonden maar dat vond de rechter onvoldoende reden voor Google om de gegevens niet te hoeven leveren aan Brein.

          Gegevens uit het eigen bedrijfsproces kunnen best persoonsgegevens zijn. Als bedrijf heb je voor je bedrijfsporcessen bijvoorbeeld NAW gegevens nodig of betaal gegevens of inloggegevens. Dat zijn gegevens die het bedrijf gebruikt in de bedrijfsprocessen.

          Je hebt gelijk dat data geen eigendom is daarom is het juist zo noodzakelijk dat er door de EU een richtlijn komt die clouddata van Europeanen die ze bewaren in europa beschermt tegen uitvraging door partijen van buiten europa. De richtlijn moet gewoon aangeven dat het exporteren van de data van EU burgers en inwoners strafbaar moet worden en dat opvraging van die data door buitenlandse overheden of rechters moet lopen via een rechtshulpverzoek aan een europese overheid dat beoordeeld wordt door Europese rechters. Pas met toestemming van een Europese rechter mogen die gegevens dan aan een buitenlandse opsporingsdiesnt verstrekt worden.

          1. Ik weet niet de preciese omstandigheden van het vonnis dat je hier aanhaalt, maar we kunnen een aantal situaties onderscheiden: 1. De data die Brein opvraagt betreft een buitenlander en is opgeslagen in het buitenland Als de informatie in het buitenland niet beschermd is, dan zie ik geen enkel probleem om die data aan te leveren. In dit geval kan Google aan de nederlandse uitspraak voldoen zonder elders wetten te overtreden. Wel netjes dan van Google dat ze niet zomaar voor elke wilekeurige claim rucksichtslos de data overhandigen.

            Als de data echter in een land staat met privacy wetgeving, die afgifte zonder bevel van de (lokale) rechter verbiedt, dan heeft Google een probleem. De Nederlandse rechter heeft precies dat gedaan waar we allemaal de Amerikaanse rechter bij Microsoft voor laken. Google staat dan dus voor de keuze in welk land ze de wet breken. De enige juiste keuze is dan om de Nederlandse rechter te zeggen wij breken niet de wet in het land waar de data staat, met de uitspraak van de Nederlandse rechter kan via internationale verdragen de data worden opgevraagd, na toetsing door de buitenlandse rechtbank. Geen verdrag? Dan heeft Nederland pech.

            2. De data betreft een Nederlander en staat in het buitenland Een iets andere situatie, nu lijkt het mij naast de buitenlandse privacy wetgeving van belang waar de data oorspronkelijk vandaan komt. Als de data oorspronkelijk uit Nederland komt en Google ervoor gekozen heeft om deze in het buitenland op te slaan, dan lijkt mij aanleveren geen bezwaar. De data was oorspronkelijk onder de Nederlandse wetgeving, tot Google die in het buitenland opsloeg. Als Google de data kan onttrekken aan, kunnen ze die ook terugbrengen onder de Nederlandse wetgeving.

            Nederlanders wonen echter ook wel eens in het buitenland. Als jij als Nederlander bijvoorbeeld in de VS woont en bij google informatie opslaat, verwacht je redelijkerwijs dat die onder de Amerikaanse wetgeving en privacyregels (kuch!) valt. Hier zou Google gewoon weer Nederland de weg naar internationale verdragen moeten wijzen als de buitenlandse wetgeving afgifte verbied.

            Om een ander voorbeeld te nemen: Name and shame van pedofielen is in Nederland een inbreuk op de privacy, in de VS is dit iets wat is toegestaan, zolang je maar de waarheid vertelt. Een Nederlander in Nederland zou niet aan de Nederlandse wetgeving moeten kunnen ontkomen door deze data op een server in de VS te zetten. Een Nederlander die in de VS woont, moet gewoon van zijn rechten o.b.v. zijn resident status in de VS gebruik kunnen maken en daar door Nederland niet mee lastig worden gevallen.

            Als dat Nederland niet bevalt, dan sluiten ze het internet maar af. Het alternatief is dat het internet de grootste gemeenschappelijke deler van restrictieve wetgeving wordt. Onder het motto wat gij niet wilt dat u geschied, moeten we dan in Nederland informatie over euthenasie en abortus verwijderen, voor de religueze landen in de wereld. Alles over homos weg, want dat wil rusland niet. En willen we ook even alle vrouwen op fotos in een nikab photoshoppen? Dan is Saudi-Arabië ook weer blij.

            1. Ik snap je, maar het gaat hier om situaties dat een Nederlands bedrijf ervoor kiest data van zijn (Nederlandse) relaties in de VS op te slaan. Dat is dan niet mijn keuze als relatie van dat bedrijf. Dát wil de wet dan reguleren. Het voelt gek dat hun keuze mijn privacy aan mag tasten.

              1. Mijn post is een reactie op hAl over de Brein zaak, die casus is precies het omgekeerde van jouw post. Google wil Brein de gegevens niet geven omdat ze in het buitenland staan. De Nederlandse privacy wet is geen bezwaar, maar google beropet zich op het buitenland. Afhankelijk van de feitelijke situatie terecht of niet.

                Ik ben het verder met jou eens: Als je in Nederland zaken doet (nederlandse Google dochter) met Nederlanders, heb je je aan de Nederlandse wet te houden. Kan je dat niet, dan moet je geen zaken (mogen) doen. Ik vrees alleen ook dat dit massaal genegeerd gaat worden.

                Het gaat erom wanneer je welke wetgeving toepast Als je in een land bent val je onder hun wet en geniet je de bescherming van die wet. Doe je iets grensoverschreidend, dan zijn daar verdragen voor. Is het in beide jurisdicties strafbaar, dan is er een goede kans op uitlevering, of afgeven van bewijs materiaal.

                Het probleem is tweeledig: * Sommige landen willen hun wetten op de hele wereld van toepassing verklaren (hallo VS!). * Heel veel landen vinden dat het hele internet onder hun wetgeving valt (te veel om op te noemen) omdat het overal te bezoeken is. Hierbij vrolijk voorbijmarcherend aan het feit dat je te maken hebt met grensoverschreiding en dat daar gewoon verdragen voor zijn.

    1. Op individueel niveau kan dat sowieso: je kunt gewoon als persoon / als bedrijf besluiten om je data encrypten voordat je het “de cloud” op gooit. Ik denk dat er zelfs wel software beschikbaar is die dat tot een werkbaar systeem maakt. Voorwaarde is wel dat je “cloud-service” alleen opslag biedt, en geen verdere bewerkingen doet op de data. Bij Dropbox moet het makkelijk kunnen, maar bij Facebook zal het in ieder geval de “gebruikerservaring” bederven.

      Wat zou je willen afdwingen? Dat persoonlijke gegevens zo worden opgeslagen dat echt alleen de bevoegde personen er toegang toe kunnen hebben? Dat lijkt me wel een goed idee. Als je de gegevens zelf dan encrypted opslaat, en de encryptiesleutels alleen beschikbaar stelt aan de bevoegde personen, dan maakt het inderdaad niet uit waar de gegevens zelf staan. Je verplaatst het probleem dan wel van de gegevens zelf naar de encryptie-sleutels: die moeten zo bewaard worden dat onbevoegden er geen toegang toe kunnen hebben.

      1. Wat mensen zelf doen op social media lijkt me verder geen issue, bedrijfsmatige gegevens lijken me veel belangrijker. Hier kunnen immers BSN nummers inzitten, rekeningnummers, betalingsgegevens, medische gegevens, etc. Dan kan je misschien afdwingen dat data van/naar een server altijd encrypted moet zijn (SHA256 ofzo…). Dit kan je regelen voor pure opslag, maar het wordt dan lastiger als je enige bewerkingen op data wilt uitvoeren. Dus een webinterface bouwen naar een MySQL database kan dan niet zomaar meer (maar dat lijkt meer op een website hosten en is wezenlijk anders dan pure dataopslag). Sleutelbeheer moet je dan inderdaad zelf goed regelen. Maar wellicht, als je er even over doordenkt, zijn er redenen aan te wijzen waarom dit onhaalbaar is.

  3. Het is nog maar de vraag of dat gaat helpen. We hebben al een tijdje een slepende rechtszaak tussen Microsoft en de Amerikaanse overheid, met de vraag centraal of de overheid gegevens mag opeisen bij Microsoft-dochters in Europa. De rechter in eerste instantie zei van wel, het hoger beroep loopt. Als dát overeind blijft, zijn ook die datacenters verboden terrein voor Europese bedrijven.

    Zelfs als in het Amerikaanse hoger beroep Microsoft verliest kan Microsoft nog steeds gegevensleveringen weigeren als de Europese overheden aan Microsoft melden dat er europese wetten zijn die deze door de amerikaanse rechtbank geeiste gegevenslevering verbieden.

    Het probleem is echter dat er eigenlijk geen duidelijke Europese richtlijn of wetgeving lijkt te zijn die datagraaien door amerikaanse rechters verbiedt.

    Waarom komt de EU niet met een richtlijn voor databescherming van data in europa tegen dit soort opvragingen. Dan heb je duidelijkheid en is er ook reden voor bedrijven om te eisen dat de data in europa opgeslagen wordt door in offertes bijvoorbeeld te verwijzen naar die databeschermingsrichtlijn.

  4. Misschien ben ik te positief/naief maar kunnen we dit probleem niet oplossen (en er nog een paar centen aan verdienen ook) door bedrijven aan te bieden zich (in juridisch opzicht) in de EU (en dan het liefst natuurlijk NL) te vestigen. Waardoor Google en Apple in de VS juridisch de dochter zijn. en dus niet meer gedwongen kunnen worden data van de moeder af te staan.

  5. Is het onderbrengen van de cloudservers in iets als “Stichting Beheer Clouddata Apple” met als specifiek doel “het beheren van de data-opslag van Apple Inc. zodat dit voldoet aan de EU-regels” niet een simpele oplossing?

  6. Afhankelijk van waar je naar op zoek bent zijn er méér dan genoeg Europese cloudproviders. Om te voorkomen dat dit een WC-eendverhaal wordt, haal ik dan ook maar even mijn linkje weg.

    Ze zijn alleen vaak niet opgewassen tegen het marketinggeweld van AWS en Azure. Toch durf ik wel te zeggen dat veel van deze partijen een goedkopere propositie hebben.

    Virtuele Machines in Azure hosten is écht schreeuwend duur en niet bijzonder qua kwaliteit wanneer je het vergelijkt hoor. Ik denk dat de gemiddelde EU cloudaanbieder op 70-80% van Azure zit bijvoorbeeld. Ook zijn er tegenwoordig meerdere Europese partijen met een PaaS-platform. OpenShift of Jelastic qua ondergrond bijvoorbeeld, alleen de marketing blijft vaak achter.

    1. Ik denk zelf nog steeds dat de meeste partijen beter af zijn met een eigen server(park) met een voorziening voor failover bij een daarvoor geschikte partij in Nederland. Volledige controle over je eigen data, geen gerommel met verwerkerovereenkomsten.

      De cloud voor data opslag is pas interessant als je wereldwijd bereikbaar moet zijn je grote hoeveelheden data transporteert die overal met weinig latency en hoge snelheid beschikbaar moeten zijn. Nederlandse ziekenhuizen hebbn geen enkele reden om voor een cloud oplossing te kiezen, een datacenter bij een Nederlands knooppunt levert alles wat ze nodig hebben.

      Virtual servers in de cloud is alleen interessant als je snel moet kunnen schalen. Alleen als je weer wereldwijd snel bereikbaar moet zijn is een internationale cloud zinnig, anders kan je ook bij een Nederlandse cloud provider terecht.

      De cloud heeft wel degelijk nut, maar voor de meeste bedrijven is het gewoon een hype.

      1. Ik heb de discussie even gelaten voor wat het is. Druk. Maar Elroy, ik denk dat partijen in de regel beter uit zijn als ze gewoon alles in de cloud doen en dan met name met bijvoorbeeld Amazon Webservices, Google Compute Cloud of Microsoft Azure. Cloud computing bij deze partijen is meer dan wat virtuele servers en data opslag. Ook durf ik te beweren dat je data in de regel veiliger staat bij AWS dan bij het overgrote deel van de MKB bedrijven.

        Daarnaast heb je enerzijds de juridische discussie. Wat betekent het als Safe Harbor je niet meer dekt voor je compliance. Anderzijds het daadwerkelijk gevolg dat de boze VS jouw data in kan zien.

        1. De meeste MKB bedrijven hebben de functionaliteit van de cloud helemaal niet nodig. Heel veel kunnen het zelfs met een simpel VPS of shared hosting account wel af. Deze partijen hebben het nu ook allemaal over de cloud.

          Als ik vervolgens naar de prijzen kijk bij Azure, dan ben je vaak duurder uit dan bij een vps of shared hosting account. Azure site backups zijn ook nog eens volledige backups, niet incrementeel. Dat gaat ook aardig in de storage lopen als je backups langer wil bewaren. Een rsync script is efficienter en je hebt ook nog eens je data bij twee providers staan. Alle data bij één partij is geen backup, natuurlijk heeft azure redundantie en staat storage los van sites, maar als je een conflict krijgt kunnen ze je gijzelen.

          Overigens ben ik het met je eens dat het voor de bedrijven vooral een compliance issue is, de daadwerkelijke schade als de NSA met je klantdata aan de haal gaat zal voor veel bedrijven wel meevallen. De amerikanen zijn echter niet vies van economische spionage, mijn bedrijfsgeheimen zou ik nooit bij ze neer zetten.

          Dan maar een virtuele server in de cloud draaien en die met rsync backupen? Waarom dan niet meteen een dedicated server? Ook is dit weer duurder dan een VPS of shared hosting account.

          Mijn sites draaien allebei op een VPS en worden naar elkaar gebackupped en naar een server bij mij thuis. Azure (en AWS) kan hier in prijs niet tegenop. Ik heb pas een probleem als ik accuut meer capaciteit nodig heb, aangezien een vps niet goed schaalt. Voor de meeste MKB bedrijven is dat geen enkele issue.

          1. Elroy, ik snap je reactie en als je het hebt over de “Klein” bedrijven dan kun je evt. zelf iets regelen, maar die zelfregelaars hebben geen verstand van beveiliging en ik raad dus af dat die zelfs iets met een VPS doen. Azure / AWS is nauwelijks duurder, zeker als je een server voor bijv. 3 jaar afneemt. Een google for work account is vier euro per medewerker en voor 3 dollar per maand heb je dan ook nog een externe back-up die dus ook werkt als Google je account afsluit en uiteraard zou je zelfs on-premises een back-up kunnen maken.

            Punt is dat je altijd zal moeten vertrouwen (deels) op een 3e partij die dus een data oplepel verzoek kan krijgen van een rechter.

            Maar ik vind dit vooral bangmakerij. Voor de zakelijke markt ken ik maar zeer weinig voorbeelden van dingen die echt niet kloppen. Ook bestaat er veel misverstanden over dat Google jouw data verkoopt aan derde partijen. Dat is domweg niet waar.

            Praktisch ieder bedrijf zou er van profiteren om diensten zoals AWS / Azure / GCE te gebruiken.

            1. Even wat achtergrond: Privé gebruik ik VPS en eigen servers voor mijn web presence . Ik gebruik Google Apps prive voor de e-mail op mijn domeinen. Ik heb verstand van webservers, niet van e-mail servers.

              Professioneel werk ik aan een webservice die in de cloud draait op een virtuele server. Dus we hebben dezelfde server administratie als wanneer we zelf fysieke servers neer zetten. Alleen als er iets in het data center gebeurt, dan zou de server automatisch in een ander data center overgenomen moeten worden. De praktijk was echter een storing bij de cloudprovider en we waren niet bereikbaar en afhankelijk van derden. Een eigen schaduw server had slechts een redirect nodig gehad en we waren weer online geweest.

              Alles in één cloud geeft je ook een single point of failure. En inmiddels is duidelijk dat dit niet theoretisch is. De cloud is mooi, maar heeft ook zijn eigen problemen.

              1. Elroy, ik heb het niet over gewone cloud servers bij gewone so-called cloud providers. Ik praat hier expliciet over Amazon, Microsoft en Google, waarbij Amazon veruit de krachtigste dienst levert. Niet alleen neem je bijv. een virtuele server af (webservice kun je overigens ook zonder expliciet server beheer afnemen, maar dat terzijde), maar alles zit daar bij. Ook monitoring-tools, diverse lagen van extra veiligheid (VPC, Firewall, Pentest proctectie, et cetera). Server druk? jij weet het als eerste. Kom je een keer op het nieuws? Dan verhoog je de capaciteit of laat dit automatisch gebeuren. De code van je webservice staat waarschijnlijk ook in een repository, dus als jouw cloud dienst het af zou weten (bij AWS is die kans zeer klein), dan deploy je die service op een andere server en zet je het IP adres om in je DNS, of als je elactisch IP adres hebt, dan verplaats je die. Webservices maken ook gebruik van objecten, waar staan die? Toch niet op je VPS? Zelf doen is al helemaal dodelijk voor als je ineens meer bandbreedte nodig hebt. Ik kan een avond vullend programma afdraaien, maar ik pleit echt voor het gebruik van AWS (en heb daar geen belang bij). Zelluf doen is domweg niet meer de beste optie. Ik respecteer je mening en goed voor je dat het voor jou werkt, maar beter zou zijn om het daar te doen.

                1. Ik begrijp jouw betoog, maar ik denk dat wij aan heel andere situaties denken. Corporate websites van kleine bedrijfjes en eenmanszaken. De meeste die ik zie hebben een wordpress site en redelijk constant datavolume. Een bedrijfje zet een server voor ze op en zij beheren aleen de inhoud zelf. Vaak host zo’n bedrijfje meerdere sites op een server, waardoor het nog goedkoper wordt per site.

        2. Overigens heb ik het dan over de webpressence van een bedrijf in de cloud of bedrijven die services aanbieden via het web.

          Voor kleine bedrijfjes is de cloud in de vorm van bijvoorbeeld Google Apps en het MS equivalent, in plaats van bijvoorbeeld eigen file servers en active directory en exchange servers, wel een geschikte oplossing.

          In dit geval is de cloud juist weer goedkoper dan eigen servers plaatsen en zijin het juist de grote bedrijven waarbij je goed moet nadenken of de cloud wel de oplossing is.

        1. Dat is alleen een probleem als je data in transit onderschept wordt. Als het op je eigen servers staat en alleen binnen je eigen netwerk getransporteerd wordt, kan niemand stiekem achteraf jouw data opvragen.

          Niemand kan naar jouw cloud provider gaan en die opdracht geven jouw data te overhandigen en meteen daarbij even een gag order afgeven. En als je zorgt voor goede beveiliging binnen jouw bedrijf dan kan dat ook niet door 1 van jouw medewerkers die opdracht te geven, ze zullen dan altijd met meerdere mensen uit je bedrijf te maken hebben.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.