Advertentie
digitaal / Redactioneel

Privacynevelen rond de cloud

De Amerikaanse overheid kan Nederlandse gegevens in de 'cloud' eenvoudig opvragen. De vraag is of dat aan de cloud ligt.

15 oktober 2012

De Amerikaanse overheid kan Nederlandse gegevens in de 'cloud' eenvoudig opvragen. De vraag is of dat aan de cloud ligt.  

SP-kamerleden Van Bommel en Gesthuizen en PvdA-Kamerlid Oosenbrug gaan vragen stellen aan de ministers Uri Rosenthal van Buitenlandse Zaken en Ivo Opstelten van Veiligheid en Justitie. Na het verschijnen van een rapport van het Instituut voor Informatierecht (IVIR) van de UvA maken ze zich zorgen. Informatie van burgers die op een of andere manier wordt opgeslagen in de 'cloud' (dus online), is in principe eenvoudig door de Amerikaanse overheid op te vragen. Onder andere de Patriot Act maakt dat mogelijk. En dat geldt niet alleen voor clouddiensten die evident van Amerikaanse oorsprong zijn (zoals Google en Microsoft), maar ook voor clouddiensten die zijn ondergebracht bij bedrijven die zaken doen met de VS. De plek waar die gegevens zijn opgeslagen maakt dus eigenlijk niet uit. De kamerleden willen weten of men daarvan wel wist.

Oncontroleerbaar
Daar wist men waarschijnlijk al lang van. De cloud verandert eigenlijk niets aan het feit dat gegevens over burgers in handen van de Amerikaanse overheid kunnen komen. Wat niet in de cloud staat, maar gewoon op computers binnen de muren van overheids- en andere instellingen is even goed door Amerikaanse opsporingsdiensten opvraagbaar - dat signaleert het IvIR-rapport ook. En het gemak waarmee Europese luchtvaartgegevens aan de VS worden overgedragen is illustratief voor de welwillendheid van de overheid om daaraan mee te werken. Wat de cloud wel verandert aan deze kwestie is de technische eenvoud van het aftappen van informatie en de oncontroleerbaarheid daarvan.

Cloudstrategie
De Nederlandse overheid heeft onder de paraplu van het programma Compacte Rijksdienst vorig jaar al een zogeheten cloudstrategie opgesteld. Kern daarvan is dat de huidige 64 data centers (computerruimtes) van ministeries en zbo's samengaan tot uiteindelijk 4 of 5 data centers. Mede op basis van rapporten van VKA en het Europese Enisa is daarbij gekozen voor een 'private cloud', want naast de onvolwassenheid van veel clouddiensten is de veiligheid van veel clouddiensten (wie kan er waar bij de gegevens?) een blijvende zorg. De overheid zet die datacenters dus in eigen beheer op. Het is overigens onduidelijk of ze er zich daarbij zorgen over maakt of de bedrijven die daarmee (indirect) helpen wel zakelijke relaties onderhouden met de VS.

Discussie
Wat de door de kamerleden aangezwengelde discussie vooral op zou moeten leveren is helderheid over de bevoegdheden van de VS en een vervolgens geformuleerde stellingname omtrent Amerikaanse toegang tot Nederlandse (en Europese) gegevens. Het afsluiten van clouddiensten zelf voor toegang door Amerikaanse speurders is immers technisch onmogelijk. De discussie moet niet worden gevoerd op het niveau van de cloud, maar op het niveau van bevoegdheden.

Reacties: 3

U moet ingelogd zijn om een reactie te kunnen plaatsen.

Kaas !
Hey, You, get out of my cloud.



zet het idee maar uit je hoofd dat je op internet iets van privacy hebt, het feit dat vooral overheid en banken het gebruik van internet aanmoedigen of zelfs opdringen zegt genoeg.



Ik verdwijn van de radar, de ballen met die handel.





Ed Stevenhagen / Analist
Verschillend overheids sites bevatten structurele en ernstige privacy en informatielekken.



De lekken ontstaan door de verwijzingen naar "domeinvreemde" javascript sources in de eigen site in te bouwen.



Op het moment dat iemand de pagina van de overheid leest, wordt bij de server van de overheid de internetpagina opgehaald en van "ergens anders" , buiten de overheid, wordt een programma (script) opgehaald, waar de overheid totaal geen controle over heeft.



Zo'n voorbeeld is het script ga.js van google-analytics.com



Google kan op elk moment bepalen wat er in het script staat. Het kan de functionaliteit, voor en achter de firewall, naar eigen willekeur veranderen. Misschien maar voor 1 seconde!

Onverantwoorde risico's neemt de overheid door deze constructie.



Voorbeelden van deze ondeugdelijke constructies zijn te vinden in:



1. ocwduo.nl (Ministerie van Onderwijs)

2. nationaleombudsman.nl

3. denhaag.nl

4. nationaalarchief.nl (Ministerie van Onderwijs)

5. cultureelerfgoed.nl (Ministerie van Onderwijs)



Ik heb daar al verschillende keren voor gewaarschuwd.

Nee de garantie voor enige privacy van bezoekers aan deze sites kan de overheid dus niet afgeven omdat zijn niet "in control" is.
Piet
Hoe zit het nu met de MGBA. Deze gaan gehost worden door commerciele bedrijven als pink, centric en het frans bedrijf atos etc. De gemeentes blijven toch eindverantwoordelijk.



Het blijft mij verbazen dat ICT geen kerntaak is geworden van de overheid nu digitalisering hoog in het vaandel staat. Geen internet/stroom = geen werk.
Advertentie