Op de halfjaarlijkse ledenvergadering van Nederlandse Vereniging voor Informatietechnologie en Recht (NVvIR) werd het thema Cloud Computing besproken. Een aantal sprekers bogen zich over de verschillende technische, ethische en juridische aspecten rondom dit onderwerp. Ik heb er een tal van lessen uit getrokken en die wil ik graag met jullie delen.
Een van de sprekers was Prof. Luis Ferreira Pires, hoogleraar software engineering. Hij is gespecialiseerd op het gebied van Cloud Computing en thans werkzaam aan de Universiteit Twente. Volgens Ferreira Pires, kan de grote interesse in Cloud Computing bij IT-vernieuwingstrajecten worden verklaard doordat er aanzienlijke kostenbesparingen mee te realiseren zijn. IT-onderdelen, zoals aankoop, installatie, management en beheer kunnen volledig buiten de deur gehouden worden.
Niettemin benadrukte hij dat IT-mensen niet afgeleid mogen worden door de trends en Service Georiënteerde Architecturen (SOA’s) en niet blindelings met deze voortvarende ontwikkeling mee moeten gaan. “Het gaat immers niet om een service die je aanschaft, maar om de discipline en strategie die in een organisatie moet bestaan alvorens tot zulke ingrijpende maatregelen over te kunnen gaan. Leverage, is het kernwoord hierbij.” Hij ging in op een aantal probleemgebieden die om de hoek komen kijken bij het overgaan tot Cloud Computing en is voornamelijk bezorgd over de beveiliging van (privacy-gevoelige) data, Cloud serviceprovider lock-in, het feit dat de oplossingen vooralsnog onvolledig zijn en de monopolistische positie van de Cloud providers. Zijn voornaamste zorgen zien dan ook op de eventuele machteloosheid van de afnemers die hierdoor kunnen ontstaan.
Hij eindigde zijn presentatie met een boodschap dat elk bedrijf een goede analyse zal moeten maken alvorens zich te laat leiden door deze nieuwe techno-hype. Elke onderneming zal een inschatting moeten maken van zijn kansen en risico’s. Dat wil zeggen dat de risico’s die voortkomen uit het gebruik van Cloud Computing vergeleken moeten worden met de risico’s die een organisatie loopt in de huidige situatie met de reeds bestaande IT-infrastructuur. Naast deze risico-analyse is het, net als bij elke IT-vernieuwing, van belang te bekijken of en zo ja welke meerwaarde de vernieuwing brengt.
Als voorbereiding op de onderhandeling met een Cloud serviceprovider moeten de bestaande contracten pragmatisch worden beoordeeld. Een belangrijke vraag daarbij is of het mogelijk is een vertaalslag te maken van de door een Cloud serviceprovider aangeboden services naar de SLA. Daarvoor is kennis van de wensen van de onderneming en de vertaling daarvan in IT, contracten en SLA’s noodzakelijk. En dan is het uiteraard ontzettend belangrijk om de juiste vragen te stellen.
C.I.A.
Mr. Jeroen Terstegge, CIPP van Priva Sense B.V. legde op deze middag een link tussen compliance en Cloud Computing. Volgens hem zijn de zogenaamde compliance gerelateerde vragen pas relevant als we het hebben over de public Cloud (bijvoorbeeld Google Enterprise Apps). Juist daar zijn hele grote risico’s te onderkennen. Deze compliance-vragen zijn eerder ook als aanbevelingen van het OECD bekend gemaakt. Deze aanbevelingen aan de nationale overheden van Noord America, Europa en Australië hadden betrekking op het beschermen van privacy en internationaal verkeer van persoonlijke gegevens. Deze aanbevelingen, die voor een groot deel zijn overgenomen in de Wet Bescherming Persoonsgegevens (Wbp), omvatten onder andere wijzen waarop omgegaan moet worden met persoonlijke gegevens in het internationaal verkeer, ten aanzien van doelbinding, limitering van data collectie en gebruik, beveiliging, transparantie, rechten van betrokkenen en verantwoording over de opslag. Op het laatste punt zal de Europese Commissie volgens Terstegge de komende tijd extra verantwoordelijkheid gaan eisen van de internetproviders en wellicht ook tegen de Cloud serviceproviders. Eveneens zal de datacontroller steeds meer verantwoordelijkheid krijgen, zo niet dezelfde verantwoordelijkheden als de databewerker. Ook de grote verschillen tussen de nationale wetgeving van Europese landen en die van de VS als het gaat om de invulling van deze verantwoordelijkheid zijn van grote invloed op de ontwikkeling van Cloud Computing.
Hoe dient men om te gaan met de Cloud en privacy? Volgens Terstegge zijn er drie invalshoeken die men naar aanleiding van deze vraag kan onderscheiden, al dan niet gecombineerd. Ten eerste kan het nodige gedaan worden aan de beveiliging aan de voorkant bij de gebruiker ten aanzien van de identificatie methoden en spoofing. Ten tweede, kunnen de verbindingen veiliger en ge-encrypt (https) worden. Ten slotte kan er gewerkt worden aan het maken van goede afspraken over de betrouwbaarheid van de betrokken partijen. Dit laatste geldt ook voor de achterkant, bij de service provider, omdat een betrouwbaar bedrijf gekozen moet worden dat eveneens betrouwbaar personeel garandeert in de beveiligde omgeving. Daarnaast zijn integriteit en beschikbaarheid van de service delivery (Confidentiality, Integrity and Availability – CIA) relevant.
Meerdere lagen
Mr. Jeroen Schouten, Benelux legal counsel voor Google, was het oneens met zijn voorganger over de beveiliging bij de service providers en verwees daarbij op het rapport van European Network and Information Security Agency (ENISA). Hij benadrukte hierbij dat de gebruikers voor een groot deel zelf verantwoordelijk zijn en goed onderzoek moeten verrichten alvorens de (privacy) gevoelige informatie in de Cloud op te slaan. Vervolgens betoogde hij in zijn presentatie dat het bij de zoekgigant echt anders aan toe gaat en dat medewerkers van Google helemaal niet weten op welke server data van en over een bepaalde persoon opgeslagen zijn. “De medewerkers zetten slechts de knopjes aan of uit. Wij kunnen zonder account login codes niet zien waar de data van een bepaalde persoon zich bevindt.” Bovendien is het merendeel van de ‘zwevende’ data opgeslagen op een back-end hardwarelaag waardoor gegevens slechts op applicatieniveau toegankelijk zijn. Het zou bijzonder moeilijk zijn (doch theoretisch niet onmogelijk) om de gegevens van de server alleen – zonder bovenliggende applicatielaag – te achterhalen.
De vraag is volgens hem niet of de gegevens vertrouwelijk zijn, maar of zij als vertrouwelijk worden behandeld en als zodanig aangemerkt en geclassificeerd in de communicatie. Google biedt een dienst aan met bijbehorend risicoprofiel. Het is aan de klant of hij dat risico acceptabel vindt. Het veiligheidsrisico is volgens hem vele malen kleiner dan bij de meeste traditionele IaaS (Infrastructure as a Service) leveranciers het geval is. Google behaalde allerlei certificaten waar andere leveranciers niet over beschikken. Of dit voldoende is zal de klant zelf moeten bepalen maar Google wil in ieder geval meer dan alleen het papiertje bieden.
Een wirwar van regels en interpretaties door verschillende partijen maakt het voor de uiteindelijke gebruiker niet eenvoudig. Geconcludeerd kan worden dat nationale overheden op korte termijn en bij voorkeur in internationaal verband zullen moeten evalueren in hoeverre de wetgeving nog aansluit bij deze ontwikkelingen.
Er zijn niettemin verschillende oplossingen te bedenken, zoals bijvoorbeeld, wettelijk verplichte encryptie van internetverkeer door Cloud serviceproviders, strengere nationale regelgeving die meer verantwoordelijkheid oplegt aan de service providers, betere internationale samenwerking ten behoeve van consumenten. Gespecialiseerde juristen zouden hierin een belangrijke rol kunnen spelen door hiervoor aandacht te vragen.
Is Cloud Computing hierdoor in gevaar gekomen? Nee, ik denk het niet. Niemand houdt deze ontwikkeling nog tegen. Het belang dat de informatie verkregen wordt en overal en altijd beschikbaar is, is gewoon te groot geworden, wellicht groter dan de risico’s die eraan kleven. Of vindt u van niet?