Skip to main Content
Artikel

Als je data in de cloud staat, waar staat het dan precies?

Global Knowledge
  • Datum: 11 October, 2019
Waar staan je gegevens als je ze in de cloud zet? Wat mogen cloudproviders met je gegevens doen? Global Knowledge legt je in dit artikel uit waarom het belangrijk is om over deze vragen na te denken, vóórdat je de overstap naar de cloud maakt.

Deze week maakte de NOS bekend dat de gegevens van 250.000 gebruikers van Hookers.nl waren gelekt. De gegevens bestonden voornamelijk uit e-mailadressen – maar daaruit kan in sommige gevallen gemakkelijk de identiteit van de gebruiker worden achterhaald. In de forumsoftware die Hookers.nl gebruikte was een datalek ontstaan, waardoor cybercriminelen vrij spel hadden.

Stel je voor dat de e-mailadressen van de gebruikers van Hookers.nl in de cloud hadden gestaan, bijvoorbeeld bij AWS. AWS kan de klantgegevens al inzien, omdat ze binnen haar service staan. Wat mag het bedrijf dan met die gegevens doen? En als er een datalek plaatsvindt, wie moet dat dan melden? AWS of Hookers.nl?

Naar Google Cloud


Een ander voorbeeld. Dit voorjaar maakte het Algemeen Dagblad bekend dat patiëntgegevens van honderden Nederlanders in stilte naar Google Cloud waren verhuisd. De klantgegevens waren in de cloud gezet voor onderzoek, aldus het artikel.

Natuurlijk mogen ziekenhuizen de gegevens van hun patiënten niet zonder toestemming delen, maar als dat dan al gebeurd, waar staan de gegevens van de patiënten dan precies? Wie is er verantwoordelijk voor?

Op de harde schijf


Voor de komst van de cloud werden gegevens opgeslagen op een harde schijf. De locatie van die schijf was je altijd bekend – die stond vaak gewoon op de afdeling, in een kelder, of soms stond de back-up zelfs bij de directeur in de schuur.

De komst van de cloud heeft dat veranderd. Als je nu je data in de cloud zet bij bijvoorbeeld Microsoft, waar staat het dan precies? Microsoft kan ervoor kiezen om jouw data bijvoorbeeld in het Midden-Oosten op te slaan. Daar gelden andere regels dan in Europa. Wat betekent dat voor de veiligheid van de gegevens van je organisatie? En de host van je data, wat mag die ermee doen?

De locatie van je data


Wil je overstappen naar de cloud? Dan wordt je data bij je cloudprovider opgeslagen in één van haar datacenters. Als je van tevoren geen duidelijke afspraken maakt, bepaalt de provider waar je gegevens terecht komen. Dat kan akelige gevolgen hebben.

Hoe wordt de privacy van je klantgegevens gewaarborgd? In Nederland werken we met de Algemene Verordening Gegevensbescherming als het aankomt op dataverwerking, maar dat protocol geldt niet buiten Europa. De Verenigde Staten, China en Rusland: ze hebben allemaal hun eigen wetgevingen. Jouw gegevens staan technisch gezien op hun grondgebied - daar gelden de Europese regels dus niet.

Patriot-act


In de Verenigde Staten is bijvoorbeeld de Patriot Act van kracht, daarmee kan de overheid providers verplichten om inzicht te geven in je data. Dat geldt alleen als je data is opgeslagen in de Verenigde Staten.

Sinds vorig jaar is daar de CLOUD-act bovenop gekomen. Daarmee mogen de Amerikaanse inlichtingendiensten data over een iemand verzamelen, ongeacht waar deze persoon zich bevindt of waar zijn data is opgeslagen. Dat houdt concreet in dat Amerikaanse inlichtingendiensten gegevens bij Amerikaanse clouddiensten kunnen vorderen, ook als die zich niet op Amerikaans grondgebied bevinden. Het maakt dan dus niet uit of je data in Amsterdam of in Atlanta staat: jouw afspraken met de cloudprovider omtrent gegevensbescherming betekenen niets meer als de overheid je gegevens wil vorderen.

Wat kun je doen?



In een verwerkersovereenkomst kun je aangeven waar je graag wilt dat je data wordt opgeslagen, maar het is niet gezegd dat een provider daarmee akkoord hoeft te gaan. In bepaalde gevallen, zoals in de Verenigde Staten, maakt het dus niet uit welke afspraken je maakt, want de eis van de overheid weegt zwaarder dan de afspraken die jij met je provider hebt gemaakt. 

Als je hele gevoelige informatie beheert en overheidsinzage wilt voorkomen, kun je overwegen in zee te gaan met een andere provider. Of je kunt ervoor kiezen om bepaalde gegevens bij een Amerikaanse cloudprovider te zetten, en andere bij een kleinschalige, Europese provider. De mogelijkheden zijn eindeloos – maar je moet er van tevoren wel goed over nadenken. 

Wie mag mijn gegevens inzien?


De eerste stap zit erop: je hebt afspraken gemaakt over de locatie van je data. Vervolgens is het belangrijk om vast te leggen wat de cloudprovider met jouw data mag doen. Wil je bijvoorbeeld niet dat je provider jouw data gebruikt voor marketingonderzoek, dan kun je dat ook op laten nemen in je verwerkersovereenkomst.

Als de cloudprovider met persoonsgegevens uit jouw data aan de slag gaat en je daar van tevoren geen toestemming voor hebt gevraagd aan je klanten, word jij aansprakelijk gesteld. Zorg dat je niet in deze positie komt en maak duidelijke afspraken met de cloudprovider over het bewaren van je data.

Zekere voor het onzekere nemen? Maak dan gebruik van encryptiesleutels. Dan kan de data alleen ingezien worden door iemand die ook een sleutel heeft, maar wees je wel bewust dat ook dat geen heilige graal is. In de implementatie kunnen bugs voorkomen en er kunnen problemen ontstaan doordat er protocollen aan elkaar worden gekoppeld die niet matchen. Een gouden tip van de schrijver van dit artikel: bepaal eerst wat je wilt beschermen en daarna hoe je de cryptografie gaat inzetten.

Mocht de hacker al je beveiliging toch omzeilen, of mocht er op een andere manier een datalek ontstaan, zorg er dan voor dat je dit lek binnen 72 uur bij de Autoriteit Persoonsgegevens meldt.

Meer leren?

In de eendaagse training Cloud computing contracten in jurdisch perspectief voor contract managers leer je over de juridische aspecten van cloud computing. Tijdens de training leer je waar je aan moet denken vóór je een bepaalde cloudprovider kiest. Meer weten?

BEKIJK DE TRAINING
Bekijk gerelateerde onderwerpen:

Global Knowledge

Gerelateerde artikelen
15 Apr 2019 Artikel

Kennisvragen in een examen kunnen best overweldigend zijn. Daar heeft Microsoft nu iets over gevonden.

07 Dec 2022 Artikel

Microsofts Partner program has moved from Microsoft Partner Network (MPN) with 18 different competencies to a simplified program with 6 partner design...Lees meer

22 Jun 2018 Artikel

Wanneer je werkzaam bent in de ICT, dan zal je ongetwijfeld al eens hebben nagedacht of je de IT-omgeving van je organisatie, al dan niet gedeeltelijk...Lees meer

We geven om uw privacy.

We gebruiken cookies om je de beste ervaring op onze site te geven. Cookies zijn bestanden die in je browser worden opgeslagen en worden door de meeste websites gebruikt om je webervaring te personaliseren. Door onze website te blijven gebruiken zonder de instellingen te wijzigen, stem je in met ons gebruik van cookies.

Gebruik alsjeblieft alleen alinea's en links in dit rich text-veld. Een link naar een pagina met cookie info

Over uw privacy

We verwerken uw gegevens voor doeleinden zoals het leveren van inhoud of advertenties en het meten van de levering van dergelijke inhoud of advertenties om inzichten te verkrijgen over onze website. We kunnen deze informatie delen met onze partners. Cookies die zijn ingesteld door Global Knowledge worden gelabeld als "first party"; u kunt uw voorkeuren met betrekking tot first party cookies uitoefenen door de schakelaar voor elke first party cookie-categorie hieronder om te zetten. De overige cookies zijn third party cookies; u kunt uw voorkeuren met betrekking tot elk doel uitoefenen door de relevante schakelaar hieronder om te zetten of per leverancier door te klikken op "Lijst met IAB-leveranciers." Deze keuzes zullen wereldwijd worden doorgegeven aan andere websites die deelnemen aan het Transparantie- en Toestemmingsframework.
Privacyverklaring

Noodzakelijke Cookies

Dit zijn cookies die nodig zijn voor de Global Knowledge website om te functioneren en kunnen niet worden uitgeschakeld in onze systemen. Ze omvatten bijvoorbeeld cookies die het mogelijk maken om een winkelwagen te gebruiken of in te loggen op het boekingsgedeelte van onze website.

Analysecookies

Analytische cookies zijn een optioneel maar belangrijk onderdeel van de functionaliteit van onze website. Ze helpen ons te begrijpen hoe u interageert met onze site door informatie anoniem te verzamelen en te rapporteren. De gegevens verzameld door analytische cookies worden gebruikt om de prestaties van de website te verbeteren en de gebruikerservaring te versterken. Het is belangrijk om op te merken dat deze cookies geen persoonlijke informatie verzamelen die kan worden gebruikt om u te identificeren.

Voorkeurscookies

De voorkeurscookies worden gebruikt om bezoekers over verschillende websites te volgen met als doel advertenties weer te geven die relevant en boeiend zijn voor uw interesses.

"Performance Cookies" translates to "Prestatiecookies" in Dutch.

Deze cookies stellen ons in staat om het aantal bezoekers aan onze website te herkennen en te tellen, verkeersbronnen te identificeren en te zien hoe websitebezoekers zich op de website bewegen wanneer ze deze gebruiken. Dit helpt ons om de manier waarop de website werkt te verbeteren en uw website-ervaring te verbeteren. Alle informatie die deze cookies verzamelen is geaggregeerd en daarom anoniem.

Cookie Control toggle icon