Argh, wéér een popup – “D66 wil bijsluiter voor datagraaien in de cloud”

waarschuwing-webwereldHier krijg ik búitengewoon veel jeuk van. Aanbieders van clouddiensten die niet gevestigd zijn in Europa moeten verplicht en compleet duidelijk maken dat data toegankelijk kan zijn voor geheime diensten en onderworpen aan surveillance door buitenlandse autoriteiten, meldde Webwereld gisteren. NEE. Gewoon NIET. Het wérkt niet, mensen om toestemming vragen nadat je ze een door een jurist opgestelde tekst hebt geïnformeerd over de mogelijke risico’s.

Ja, de cloud is eng en de Amerikaanse al helemaal. De NSA tapt het hele internet, en de FBI kan met geheime gag orders en zonder gerechtelijk bevel een heel datacenter leegtrekken op het moment dat je derde voornaam twee letters gemeen heeft met iemand uit een terroristendatabank. Dus als je als politicus zegt, hier gaan we wat aan doen, dit kan zo niet langer: helemaal prima. (Of de angst reëel is, is een andere discussie.)

Maar als je zegt, de VS doen dingen met persoonsgegevens die in strijd zijn met de wetgeving rond persoonsgegevens en de fundamentele grondrechten die wij in de Europese Unie respecteren, dan moet je dus zeggen: blijf met je rotpoten van onze persoonsgegevens af. Oftewel dan verbied je Europese hosters/dienstverleners om met de Amerikaanse cloud te werken.

Vind je dat dat óók weer wat te ver gaat, dan ga je met de Amerikanen bakkeleien dat die hun wetten moeten aanpassen. Of je zegt, het gaat in de praktijk prima dus we draaien lekker totdat we horen dat het misgaan en dán gaan we de boel verbieden. En dat signaal kun je eventueel ook naar Washington sturen.

Wat je alleen vooral NIET moet gaan doen is op dat moment zeggen: weet je wat, we gaan de burger opvoeden dat ze moeten beseffen dat buitenlandse veiligheidsdiensten mogelijk meekijken en dat de FBI niet gebonden is aan onze Grondwet. En al helemáál niet met een popup. Want dat wérkt eenvoudig niet – zie de cookiewet.

Iets juridischer komt het erop neer dat ze in de Privacyverordening wil opnemen dat doorgifte aan een buitenlandse (lees: niet-EU) cloudprovider alleen mag met aparte toestemming van de betrokkene (argh, popup) en dan ook nog eens

after having been informed in clear, unambiguous and warning language through a separate and prominently visible reference to:
– the possibility of the personal data being subject to intelligence gathering or surveillance by third-country authorities; and
– the risk that the protection of personal data and fundamental rights provided by Union and Member State law cannot be guaranteed, despite the legal basis of the transfer

Het idee van “leg mensen uit hoe het juridisch zit en dan maken ze een geïnformeerde keuze” is een idealistisch maar buitengewoon irreëel denkbeeld als we het hebben over de gemiddelde internetter. Hoe kan ik nu vrijwillig en zinnig de afweging maken, ja, dat is prima dat de CIA en de NSA mij gaan profilen en de FBI mijn data besnuffelt? Wat betékent dat? Ga ik op de No Fly lijst als ik blogs als deze plaats op WordPress?

Ik snap hier wérkelijk helemaal niets van. Als er iets is dat de privacywetgeving en het concept “privacy is belangrijk” kapot maakt dan is het wel het idee “als we maar verplicht stellen dat iedereen het mensen maar uitlegt, dan komt het goed”. Nee. Mensen zijn niet bezig met privacy, wíllen daar niet mee bezig zijn; zij vertrouwen erop dat bedrijven zich netjes gedragen en dat anders de overheid optreedt.

In heel uitzonderlijke gevallen waarin een gemiddelde(!) burger redelijkerwijs zowel ja als nee zou kunnen zeggen, kan ik me nog iets voorstellen bij een aparte opt-in. Maar dat behoort echt een uitzondering te zijn en te blijven, en niet de hoofdregel die ie in de privacywetgeving is geworden. Net als bij cookies. Of je zegt, cookies en tracking zijn te eng voor woorden, verbieden die hap. Of je zegt, de technologie werkt maar er is ruimte voor misbruik – en dan verbied je het misbruik. Maar je gaat niet zeggen “dat misbruik is eigenlijk wel oké als mensen op ja klikken”.

“U gaat dood van deze sigaret” werkt al maar nauwelijks. Dus waarom zou “Mogelijk dat uw fundamentele rechten zoals gegarandeerd door het EU Handvest niet gewaarborgd worden ondanks dat de overdracht legaal is” dat dan wel zijn? (En ja dat gaat de tekst zijn, laat dat maar aan de nu-cookieverklaring-schrijvende juristen over.)

Argh. Echt.

Arnoud

“Jurisdictie wordt bepaald door waar je informatie als eerste binnenkomt”, pardon?

transatlantic-cable-kabel-internetIk heb een paar arresten gemist geloof ik. In NRC Handelsblad van gisteren stond een artikel over de cloud, met daarin de intrigerende opmerking:

Ja, Softlayer is een Amerikaans bedrijf, waarvoor Amerikaanse wetten gelden. Maar alleen voor informatie die als eerste in de VS is opgeslagen: „Het Amsterdamse deel is Nederlands. Informatie die hier als eerste binnenkomt, valt dus onder Nederlandse wet.”

Nee. Néé. Gewoon níet. Hoe kóm je bij dat criterium, “als eerste opgeslagen”. Noem mij één wet of gerechtelijke uitspraak waar dit uit volgt.

Voor zover ik weet zijn de Amerikanen heel simpel: als we erbij kunnen valt het onder ons recht. En aangezien 90% van de cloud fysiek in de VS staat, is dat lekker makkelijk voor ze. (Dit even los van hoe makkelijk ze erbij mogen, patriotacttechnisch.)

Verder ken ik geen enkele uitspraak van een rechter dat jurisdictie bepaald wordt door waar data het éérst binnenkomt. Het Hof van Justitie hier houdt het bij dingen als “gericht op een land”, door bv te kijken naar wat voor telefoonnummer je hebt, welke taal, valutakeuze en bezorgmethoden. Bol.com is Nederlands want 0900-nummer, iDealbetaling, Nederlands en Post.nl. Waar de servers staan en dat de domeinnaam een .com is, maakt niet uit. En over waar de data voor het eerst binnenkwam staat er al helemáál niets in die arresten.

Nog een leuke quote:

Wij passen de capaciteit van het serverpark daarop aan: informatie die op dat moment niet nodig is, verplaatsen we binnen ons netwerk naar een plek waar iedereen slaapt, zeg aan de Oostkust van de VS.

Ik heb me altijd afgevraagd wat er gebeurt als je in de VS een Nazi-site host (die daar legaal is) die dan ’s nachts naar Duitsland drijft (waar dat heel erg verboden is). Dan ben je dus strafbaar door de acties van je cloudprovider.

Iemand enig idee waar hij dit op baseert?

Arnoud

Wanneer is een cloudprovider Amerikaans (of Nederlands)?

cloud-flag-usaEen lezer vroeg me:

Vorig jaar blogde je over de Amerikaanse cloud en de risico’s daarvan. Maar wat maakt een cloudprovider “Amerikaans”? Moet je dan kijken naar de rechtsvorm van het bedrijf, de locatie van de servers, wat men op de site zet of welk ander criterium geldt er?

Met de term “Amerikaanse cloud” bedoelde ik clouddienstverleners waar de Amerikaanse overheid (rechts-)macht over kan uitoefenen. Een in de VS gevestigde en opererende partij (Amazon Inc. met haar datacenter in Virginia bijvoorbeeld) valt hier evident over. Maar ook het Amerikaanse Google Inc met haar datacenter in Groningen, Nederland valt eronder. Het bedrijf zelf opereert in de VS en kan dus door de rechter aldaar worden gedwongen data uit dat Nederlandse datacenter over te hevelen naar de Amerikaanse politie of Justitie.

Wat nu als het een Nederlandse BV is die eigenaar is van dat datacenter? Dat lijkt niet veel uit te maken, want men kan dan nog steeds de Amerikaanse moedermaatschappij bewerken en die kan dan haar dochter sommeren de data te overhandigen. Als de moedermaatschappij immers de zeggenschap heeft, dan kan de dochter daar niets tegen doen. Als in het contract tussen moeder en dochter staat dat de moeder niets mag vragen dat tegen de lokale wetgeving van de dochter in gaat, of als de dochter zegt dat de opdracht gewoon in strijd is met die lokale wetgeving, dan wordt het spannend. Of en hoe dát standhoudt durf ik echt niet te zeggen.

De omgekeerde situatie kan ook: een Nederlandse BV die servers fysiek in Amerika ondergebracht heeft (gehuurd of gekocht of virtueel). Die BV valt niet onder Amerikaans recht, maar de partij in wiens lokaal die servers fysiek staan wél. En langs die weg kan dan alsnog een gerechtelijk bevel tot inzage van de servers worden afgegeven. De Nederlandse BV kan de data encrypten (Mega, kom d’r maar in) zodat de Amerikaanse overheid niets met die data kan, maar het zal van de bedrijfsvoering afhangen of dat haalbaar is.

Maar ook als een bedrijf geen fysieke banden met een land heeft, kan dat land soms toch rechtsmacht uitoefenen tegen het bedrijf. Wanneer een bedrijf zich expliciet richt op een land, dan is het goed verdedigbaar dat dat land daar dan wat over mag zeggen. Een webshop die in het Nederlands is, iDealbetalingen toestaat en bezorgt via Postnl valt onder Nederlands recht. Dat de domeinnaam een .com is en de server in Duitsland staat, doet er dan niet meer toe. Je zou zoiets ook prima op een clouddienstverlener kunnen toepassen.

In het strafrecht ken ik geen vergelijkbare jurisprudentie, maar het Wetboek van Strafrecht kent wel de nodige expliciete bepalingen die mensen in het buitenland strafbaar maken onder de Nederlandse wet. Natuurlijk is het wel lastiger om een buitenlander hier te veroordelen én te bestraffen, maar als er een uitleveringsverdrag is dan zijn er mogelijkheden. En binnen de EU kan dit via overlevering bereikt worden.

De ietwat platte samenvatting is dus dat je onder het recht van een land valt als ze bij jou of bij je spullen kunnen. Dat kun je aankleden met allerlei mooie rechtstheorieën maar volgens mij komt het uiteindelijk daarop neer.

Arnoud

Bij een faillissement heb je echt pech

sorry-closed.pngHet zal ongetwijfeld met het economische klimaat te maken hebben, maar ik zie een duidelijke toename van het aantal vragen over faillissementen. En dan met name “hoe krijg ik mijn spullen/geld/diensten/data” wanneer de leverancier failliet is gegaan. Het korte antwoord: niet.

Wanneer een bedrijf niet langer aan zijn financiële verplichtingen kan voldoen, kan het zijn faillissement aanvragen. Twee schuldeisers samen kunnen dat ook. De rechtbank beslist, en benoemt daarna een curator die verantwoordelijk is voor afhandeling van het faillissement. De taak van de curator is het verkrijgen van zo veel mogelijk geld uit de boedel, om de opbrengst daarna te verdelen onder de schuldeisers.

Tot grote frustratie van klanten valt daar niet onder het stipt naleven van eerder gesloten contracten of het leveren van eerder bestelde producten. Wie meent nog iets geleverd te krijgen (geld of product), moet zich melden bij de curator om zijn claim in te dienen. Het paarsekrokodilargument (“maar hij stáát daar”) gaat niet op; het gekochte maar nog niet geleverde product zit in de boedel, en je moet maar zien of je het krijgt. Waarschijnlijk niet, want eerst moeten de bank en de belastingdienst worden betaald.

De enige manier om bij voorrang iets uit de boedel te krijgen, is door er al eigenaar van te zijn of door een pandrecht te vestigen op het product. Wie zijn fiets ter reparatie uitleent aan de hersteller, kan deze natuurlijk zo terugkrijgen (mits hij kan bewijzen dat het zijn fiets is, en probeer dat voor jezelf eens, voor de grap).

Bij internetdienstverlening speelt dit ook. Maar daar gaat het meestal niet om dingen geleverd krijgen, maar om continuïteit van de dienstverlening. En die is er niet bij faillissement, want de curator is gerechtigd onder alle contracten en SLA’s wanprestatie te plegen als hem dat beter uitkomt voor de boedel. Eventuele contractuele boetes mag je indienen als claim, meer niet. Ik heb daar grote moeite mee, en wellicht dat het tijd wordt hier eens een extra regeling voor op te zetten.

Ook omgekeerd ontstaan er lastige situaties. Als een bedrijf failliet gaat, zullen alle leveranciers meteen hun dienstverlening stoppen. Maar daardoor kan een eventuele doorstart juist geblokkeerd worden, en dat is voor de curator ook weer niet de bedoeling. In één zaak (Oilily) werd de leverancier dan ook verplicht om door te gaan met leveren zodat het bedrijf een doorstart kon realiseren. Wel moesten de maandelijkse facturen worden voldaan, maar betaling van de reeds openstaande facturen konden niet worden afgedwongen door leveringsweigering.

Of deze uitspraak navolging krijgt, valt te bezien, maar ik zie er wel wat in. Alleen is dan de vraag, welk criterium hanteer je? Wanneer is een online dienst “essentieel” voor het failliete bedrijf of voor een doorstart?

Arnoud

Een school in de wolken

cloud.jpgRegelmatig krijg ik vragen van scholen van allerlei pluimage die overwegen “iets met de cloud” te gaan doen. Dat varieert van het op Slideshare of Youtube zetten van lesmateriaal tot het delen van teksten via Google Docs tot het compleet migreren van de IT-infrastructuur naar Gmail of Microsoft. En dan komt natuurlijk meteen de vraag: mag dat allemaal wel?

De cloud is leuk, maar juridisch lastig. Allereerst zit je met een probleem van beschikbaarheid: wat als Gmail het een middag niet doet, annuleer je dan je lessen? Natuurlijk, dat kan met een eigen IT-infrastructuur ook maar dan kun je makkelijker iemand bellen om maatregelen te nemen. Of je kunt geld in een SLA steken om dat te voorkomen. Met cloudproviders is dat vaak een stuk moeilijker.

Een groter probleem speelt natuurlijk rond de persoonsgegevens van leerlingen (en hun ouders, en de leerkrachten) die je op die manier in de cloud parkeert. Zeker wanneer die cloud in de VS geparkeerd is (een wolk parkeren? ehm), heb je dan eigenlijk altijd een juridisch probleem. Je kunt niet zomaar als school gegevens naar de VS exporteren, aangezien daar geen goede privacybescherming bestaat. Nee, ook niet met Safe Harbor.

Eigenlijk is de enige optie om met ondubbelzinnige toestemming te werken. Mensen moeten dan vrijwillig en expliciet zeggen “Ja, het is goed dat mijn (kinds) persoonsgegevens op servers in de VS worden opgeslagen”. En de pijn zit hem in dat vrijwillig: je kunt niet halverwege een schooljaar ineens eisen dat men even dat formulier ondertekent. Zeker niet als je bedenkt dat in het basisonderwijs de overeenkomst begint in groep 1 en eindigt in groep 8 – en dus niet per schooljaar opnieuw.

Maar wacht, we hadden toch ook nog de goede uitvoering van die overeenkomst als grond? Ja, dat klopt: zonder toestemming mag je iemands persoonsgegevens verwerken (ook in de VS) als dat noodzakelijk is voor het goed nakomen van een overeenkomst met die persoon. Maar is het noodzakelijk om iemands cijferlijst in Google Docs bij te houden, of de spreekbeurten via Slideshare of Prezi te laten lopen? Volstrekt niet.

Als je een Europese cloudprovider gebruikt, dan is dit allemaal een stuk minder problematisch. Het grootste aandachtspunt dat dan overblijft is de beveiliging natuurlijk. Maar probeer maar eens een Europese cloudprovider te vinden die kan wat Google of Microsoft kunnen.

Arnoud

De Amerikaanse cloud in op basis van Safe Harbor: vergeet het maar

Wie met een Amerikaanse cloudprovider in zee gaat (met de wolken in zee?), kan niet achterover zitten met “Oh ze doen Safe Harbor”. Dat zegt namelijk niets over hoe ze met data omgaan; Safe Harbor regelt alleen het formele puntje dat de data überhaupt Europa uit mag. Dat is wat ik opmaak uit de recente Zienswijze van de privacytoezichthouder, waarin men in algemene zin ingaat op een serie vragen van academische software- en dienstenboer SURFmarket.

Als je met persoonsgegevens werkt, mag je die niet zomaar aan niet-Europeanen geven want die doen er enge dingen mee, zo staat in de wet. De Amerikanen hebben natuurlijk de Safe Harbor-verklaring, waarmee ze beloven zich echt aan de regels te houden. Maar dat gaat écht niet helpen, zo concludeert het College bescherming persoonsgegevens.

Ik moet ook wel eens mijn lachen inhouden als ik vertel hoe Safe Harbor werkt: het is dus écht genoeg dat je als Amerikaanse club zegt “oké ik zal me aan die Europese regels houden”. Zelfcertificering heet dat. Maar goed, die gekke Europeanen willen dat je dat zegt en vooruit dus maar. En wij maar denken dat daarmee de kous af is.

Maar nee: het Safe Harbor raamwerk gaat alleen over het mogen exporteren (doorgeven) van persoonsgegevens. Alles dat daarna gebeurt, moet alsnog apart worden geregeld. Een Amerikaans bedrijf dat bewezen zich houdt aan wat Safe Harbor eist, kan dus nog steeds de Europese privacyregels schenden. Men kan gegevens opslaan zonder adequate beveiliging, of gegevens gebruiken voor andere doelen dan waarvoor ze zijn verkregen. Dat valt buiten de scope van Safe Harbor. Nog even afgezien van de eis dat je een schriftelijk contract moet hebben als je verwerking uitbesteedt, en een accountje bij Google telt niet als “schriftelijk contract”.

Wie dus Amerikaanse bedrijven met data wil laten werken, moet dus zelf aan de bak. En naast dat contract zul je vooral moeten gaan auditten: wat doen die met onze data, beveiligen ze die wel goed en waar gaat de data allemaal nog meer heen? Dat ben je als Europese verantwoordelijke namelijk wettelijk verplicht, en je draait op voor de schade als de Amerikaanse cloudprovider de Europese wet blijkt te schenden.

Gelukkig is er een soort van oplossing: de Third Party Mededeling (TPM). Nee, ik weet ook niet waarom dat half Engels is en ik weet ook niet waar de spaties of koppelstreepjes horen, maar zo heet het kennelijk. (Update 15:15 het heet Third Party Memorandum officieel.) Het Cbp legt uit:

Een TPM is een verklaring van een onafhankelijke externe deskundige, waarin deze een oordeel geeft over de maatregelen die een bewerker heeft getroffen. De TPM wordt opgesteld in opdracht van de bewerker, en wordt verstrekt aan de verantwoordelijken die gebruikmaken van diens diensten. Het doel van het verstrekken van een TPM is om de verantwoordelijken inzicht te bieden in de getroffen maatregelen, zonder dat iedere verantwoordelijke daar zelf onderzoek naar hoeft te (laten) doen.

Zo kan een cloudprovider dus met één TPM laten zien wat hij allemaal doet aan beveiliging en dergelijke, zodat de verantwoordelijke weet dat het wel snor zit met die persoonsgegevens in de Amerikaanse cloud. Een SAS70 verklaring mag het niet meer heten, wat wel jammer is want “ISAE 3402 verklaring” of “SSAE 16 verklaring” bekt toch een stukje minder.

En ja, wat nu. Want zo’n bevinding is mooi, en dat er iets scheef zit is ook wel duidelijk, maar wat gaan we nu in de praktijk concreet doen om dit te verbeteren? Gaan we nu allemaal contractjes sluiten met de Amerikaanse cloudproviders? En wie gaat al die ISAE3402 verklaringen afgeven na het datacenter van Amazon te hebben bezocht?

Arnoud

Een digitale schoenendoos met bonnetjes voor de curator

Dit gaan we steeds vaker krijgen: faillissementsproblemen in de cloud. Waar een bedrijf vroeger hooguit voor stroom en elektriciteit afhankelijk was van derden voor het dagelijks functioneren, is nu (naast koffie) de internettoegang en de gehoste diensten absoluut cruciaal. Maar als een bedrijf failliet gaat, zal zo’n leverancier natuurlijk meteen de stekker eruit trekken want die ziet zijn facturen niet meer betaald. En dat is dan weer heel pijnlijk voor de curator, want daarmee gaan zijn mogelijkheden voor een doorstart verloren. In 2009 bepaalde een rechter al eens dat een SaaS-dienstverlener soms verplicht kan zijn door te gaan met leveren, ondanks openstaande facturen. En nu lag er de vraag bij de rechter, wat te doen als de dienst al gestaakt is?

Het failliete bedrijf had zijn administratie in de cloud gestopt bij Vict. Na het faillissement was op zeker moment die stekker eruit gehaald, waarna de (zo te lezen virtuele) server dus niet meer beschikbaar was. De data stond nog ergens op een backup, dat wel. En daar wilde de curator graag bij, want voor hem is die administratie zeer belangrijk.

Zó belangrijk zelfs dat de Faillissementswet apart regelt dat hij een vérgaande bevoegdheid heeft (artikelen 92 en 93a) om bij die administratie te kunnen. Ook als deze bij derden ligt. Hij zou dus bij de boekhouder de schoenendoos met bonnetjes mee kunnen nemen, om eens wat te noemen.

Maar kan hij van een clouddienstverlener verlangen dat die de serveromgeving terug gaat zetten én de data restaureert omdat hij er anders niet bij kan? Nee, dat niet:

De bevoegdheid van de curator gaat naar het oordeel van de voorzieningenrechter echter niet zover dat de curator aanspraak kan maken op meer dan de (leesbare) administratieve gegevens (de bekende schoenendoos met bonnetjes) van de gefailleerde. Het is in beginsel de taak van de curator om vervolgens zo nodig orde aan te brengen in die gegevens. Daarvoor kan hij derden inschakelen. Voor die diensten zal hij dan wel moeten betalen.

Bijgevolg moet de curator dus Vict gewoon betalen als hij wil dat Vict iets doet. Eventueel kan de curator per direct de harddisk met de backup krijgen (“enkele tienduizenden pagina’s!”, ja met uitroepteken) maar dan mag hij zelf het formaat daarvan uitpuzzelen en er chocola van maken. Maar wil hij de administratiesoftware zelf terug in de lucht (in de wolk?) dan kost dat gewoon geld.

Op zich had de rechter ook anders kunnen oordelen. Artikel 37b Faillissementswet bepaalt dat een leverancier zijn contract niet mag opzeggen bij faillissement van de klant, als het gaat om afleveren van gas, water, elektriciteit of verwarming, benodigd voor de eerste levensbehoeften of voor het voortzetten van de door de gefailleerde gedreven onderneming. De diensten moeten wel “benodigd” zijn, oftewel zonder die diensten moet het bedrijf niet door kúnnen gaan. Bij gas en elektra is dat vrij evident, maar ik zie het wel gebeuren dat e-mail en de cloudgehoste administratie of Office-software er ook onder gaat vallen. Jullie ook? En wat nog meer?

Update (2 april 2013) in hoger beroep bevestigd. Het Gerechtshof zegt:

Gegeven het feit dat de curator de overeenkomst tussen Retera en Vict niet gestand heeft willen doen, kan Vict naar het voorlopig oordeel van het hof, gelet op het hiervoor overwogene, niet worden gehouden om de voor haar uit die overeenkomst voortvloeiende werkzaamheden toch voort te zetten.De artikelen 92 en/of 93a Fw noodzaken Vict daartoe in ieder geval niet. Niet valt in te zien dat Vict voor de door de curator verlangde werkzaamheden niet de – commerciële- vergoeding zou mogen verlangen die door Vict en Retera daarvoor was overeengekomen.

Arnoud