Cloud diensten. Hoe zit het met uw privacy?

Tijdens een wandeling door een internationale boekenwinkel loopt uw marketingmanager tegen een flinke rij Amerikaanse tijdschriften aan. In een fractie van een seconde denkt hij een afbeelding te herkennen, terwijl zijn ogen de voorpagina’s van de tijdschriften scannen. Snel vliegt zijn blik terug naar het desbetreffende magazine. Zag hij dat nou goed? Heeft dit zakelijke magazine daadwerkelijk het logo van uw onderneming en de personeelsfoto geplaatst?

Dat kan niet. Onmogelijk, aangezien uw afzetmarkt zich in Nederland, België en Duitsland bevindt. Bovendien bent u nooit benaderd door de journalistieke afdeling van het magazine. En toch kan hij er niet omheen; uw logo staat herkenbaar, doch met enkele aanpassingen, op het magazine, vergezeld door het woord ‘Fraud!’. Zodra hij u ermee confronteert, weet u uit verbazing niet hoe u moet kijken.

Gratis in de cloud, of toch niet?

Ver gezocht? Dat lijkt zo. En toch is een situatie als deze niet ondenkbaar. Want dankzij populaire cloud-oplossingen als Dropbox en WeTransfer, die massaal worden ingezet om medewerkers of zakenrelaties op een kosteneffectieve wijze toegang te verschaffen tot gedeelde bedrijfsinformatie, belandt veel van deze informatie genadeloos in de handen van aanbieders van deze cloud. Dit kan informatie over uw eigen onderneming zijn, doch ook waardevolle informatie over uw medewerkers of klanten. Privacygevoelige informatie die niet aan derden mag worden verstrekt. En toch gebeurt dat regelmatig onbedoeld. In de Verenigde Staten is het normaal om vertrouwelijke gegevens door te verkopen. Uw bedrijf wordt ineens een product.

Wet Bescherming Persoonsgegevens

Wat is het grootste probleem hier? De aanbieders van uw favoriete cloud-oplossingen zijn veelal van Amerikaanse oorsprong en hanteren daarom een volledig andere wetgeving dan wij in Europa hanteren. Privacy? Daar zijn in de Verenigde Staten geen regels voor. Dit geldt voor Dropbox, WeTranser, Facebook, Google Drive, en noem maar op. Door gebruik te maken van deze diensten ten behoeve van het versturen of delen van persoonsgegevens (medewerkers, klanten) is uw onderneming juridisch gezien in overtreding. U geeft deze bedrijven door het gebruik van de dienst namelijk de rechten over deze data. Plots zijn de data niet meer van u en bent u volgens onze wetgeving, de Wet Bescherming Persoonsgegevens (WBP) in overtreding.

TER ILLUSTRATIE – Voorbeelden uit officiële documenten van Microsoft en Google

Microsoft:
“3.3 What does Microsoft do with my content? – When you upload your content to the services, you agree that it may be used, modified, adapted, saved, reproduced, distributed, and displayed to the extent necessary to protect you and to provide, protect and improve Microsoft products and services. For example, we may occasionally use automated means to isolate information from email, chats, or photos in order to help detect and protect against spam and malware, or to improve the services with new features that makes them easier to use.”

Google:
“When you upload or otherwise submit content to our Services, you give Google (and those we work with) a worldwide license to use, host, store, reproduce, modify, create derivative works (such as those resulting from translations, adaptations or other changes we make so that your content works better with our Services), communicate, publish, publicly perform, publicly display and distribute such content. … This license continues even if you stop using our Services … Make sure you have the necessary rights to grant us this license for any content that you submit to our Services.”

Patriot Act

Hoe zit dat dan met de privacywetgeving in Amerika? Na de aanval op de Twin Towers en het Pentagon op 11 september 2011 heeft Amerika de Patriot Act ingesteld. Deze wet geeft niet-Amerikanen beduidend minder rechten dan Amerikanen, zo bleek uit onderzoek van SURF in het najaar van 2012. Het is hierdoor mogelijk voor Amerika om onze data massaal door te spitten. De rechten om bedrijfsgegevens te gebruiken, worden al bij minimale activiteit in Amerika geclaimd. Het betreft namelijk niet uitsluitend het gebruik van diensten van Amerikaanse bedrijven, zoals hierboven werd aangegeven. Het betreft elke activiteit in Amerika. Ook als het slechts om de plaatsing van een enkele server van een Nederlands bedrijf gaat, zal de Amerikaanse opsporingsdienst de rechten claimen om de gegevens van de gehele onderneming door te spitten.

Mogelijke oplossingen voor bedrijven

Volgens Alex Lakatos van Mayer Brown (Washington D.C.) is het nutteloos om Amerikaanse cloudaanbieders geheel te vermijden. De kwestie ligt volgens hem veel ingewikkelder. Toch geeft hij aan dat er diverse oplossingen zijn die een bedrijf kan doorvoeren om mogelijke angst en zorg bij uw klanten – die veelal meer problemen met de kwestie hebben dan de ondernemer – te voorkomen.

  1. Onderzoek grondig welke risico’s u precies loopt via de desbetreffende cloudaanbieder en communiceer dit helder naar uw klanten en medewerkers. Kies er eventueel voor om bepaalde data niet in de cloud te plaatsen. Hoewel de Amerikaanse overheid nog altijd een verzoek tot onderzoek kan doen indien u op een of andere manier gelinkt bent met Amerikaanse activiteiten, zal onderzoek naar deze data via u verlopen en niet via uw cloudaanbieder.
  2. Stel een concreet beleid op binnen uw organisatie over de data die wel en niet in de cloud mogen worden geplaatst. Train uw medewerkers en maak hen bewust van de mogelijke risico’s. Security Awareness binnen uw organisatie is een onmisbare stap in collectieve preventie van het lekken van data.
  3. Onderzoek hoe de Patriot Act toe te passen is op uw specifieke data. Het kan uw cloudaanbieder namelijk via diverse wegen verboden worden om u in te lichten over een mogelijk onderzoek. Zorg dus dat u zelf voldoende bent ingelicht.
  4. Neem – indien mogelijk – een clausule op in uw contract met uw cloudaanbieder, waarin specifiek wordt uitgelegd hoe zij dienen te reageren op onderzoeksverzoeken van de Amerikaanse overheid.

Meldplicht en hoges boetes

Gratis – of zelfs de betaalde! – oplossingen aangeboden door Dropbox, WeTransfer, Google mail/ Drive of zelfs Amerikaanse CRM-pakketten zijn voor een grote organisatie verre van wenselijk. Onthoud bovendien dat u als organisatie zelf de verantwoordelijkheid draagt, welk contract u ook heeft met uw cloudaanbieder. Verder zal u als organisatie op afzienbaar termijn de wettelijke plicht krijgen om mogelijke lekkage van data te melden aan het CBP. De mogelijke boetes die u vervolgens kunnen worden opgelegd, zijn met een maximum van maar liefst €450.000 niet de minste.

Pak het professioneel aan

Om goed geïnformeerd te zijn over de mogelijke risico’s en passende oplossingen raden wij u aan om een onafhankelijk expert in te huren die u voorziet van grondig advies passend bij uw organisatie. Op basis van dit advies kunt u uw IT-beleid aanpassen, om uiteindelijk een ieder in de onderneming te betrekken bij veilig omgaan met gevoelige data. Wilt u hier meer over weten? Kijk op onze website voor meer informatie over workshops en trainingen over online security.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.