Gegevens in een Amerikaanse of Nederlandse cloud? Let hierop

Afgelopen week haalde ‘de cloud’ weer het nieuws, met als hoogtepunt de kamervragen die de SP stelde over de veiligheid van informatie die Nederlandse bedrijven en particulieren online opslaan. Aanleiding? De notitie ‘Cloud diensten in het hoger onderwijs en onderzoek en de USA Patriot Act’ die Surfnet vrijdag publiceerde.

Hierin beschrijven juridisch specialisten van het Instituut voor Informatierecht (IVIR, Universiteit van Amsterdam) de consequenties van het opslaan van informatie in de cloud.

Wat betekent dat?

Enkele punten die er voor ons uitsprongen:

• Niet alleen Amerikaanse cloud providers vallen onder Amerikaans recht, ook clouddiensten met een vestiging of continue en systematische activiteiten in de VS vallen hieronder. Als het hoofdkantoor van een online dienst dus niet in de V.S. staat wil dat niet zeggen dat ze niet onder Amerikaanse jurisdictie vallen.
• Als een Amerikaanse opsporings- of inlichtingeninstantie data opvraagt bij een clouddienst hebben Amerikaanse burgers een zeker niveau van rechtsbescherming. Voor niet-Amerikanen waarvan gegevens uit de cloud worden gevorderd bestaat deze rechtsbescherming niet in de Amerikaanse wet- en regelgeving.

Europese clouddiensten en veiligheid van data

Waar alle nieuwsberichten niet op ingingen is dat Europese overheden ook juridisch de bevoegdheid hebben om informatie op te vragen bij clouddiensten. Het grote verschil is dat Europese overheden zich moeten houden aan de privacybescherming die is vastgelegd in het Europees Verdrag voor de Rechten van de Mens. Dus ook bij Europese clouddiensten is het belangrijk om goed na te denken over hoe je de verschillende categorieën informatie opslaat, en welke risico’s dat met zich meebrengt.

Kiezen voor de cloud? Let hierop!

Dat steeds meer informatie in de cloud opgeslagen zal gaan worden is een feit, vooral dankzij het gemak dat clouddiensten zoals Viadesk bieden: geen onderhoud, overal beschikbaar, met continue productverbeteringen. Waarop moet je letten bij het kiezen voor een clouddienst? De IViR-notitie benoemt een aantal aandachtspunten, waarvan we de belangrijkste hebben samengebracht in een korte checklist:

• Valt de clouddienst-aanbieder onder Amerikaanse jurisdictie?
• Worden delen van de dienstverlening uitbesteed aan derden (bijvoorbeeld voor het maken van back-ups)?
• Hoe is het verwijderen van gegevens in de cloud georganiseerd?
• Wat gebeurt er met de in de cloud verwerkte data bij faillissement of overname van de cloud provider of bij ontbinding van de overeenkomst?

Als Viadesk zijn we over dit onderwerp altijd heel duidelijk richting bestaande én nieuwe klanten. Daarom hierbij direct onze antwoorden:

• Nee, Viadesk is een Nederlands bedrijf en al onze servers staan ook in Nederland.
• Ja, de hosting van Viadesk wordt verzorgd door CYSO, een Nederlandse provider. CYSO maakt dagelijks back-ups.
• Als je als gebruiker gegevens in een Viadesk-omgeving verwijdert worden deze meteen verwijderd van de server waarop je werkt. Na 30 dagen is het bestand ook uit onze laatste dagelijkse back-ups verwijderd.
• Om het risico van faillissement voor klanten af te dekken heeft Viadesk een escrowregeling afgesloten bij Escrow Alliance. Mocht een overeenkomst met Viadesk worden ontbonden, dan wordt de omgeving van de klant in overleg afgesloten en verwijderd. Na 30 dagen (zie ook antwoord 3) zijn alle data ook uit backups zijn.

Als je je nu aan het oriënteren bent op online diensten, evalueer deze zeker op de bovenstaande punten. En bepaal voordat gegevens online gedeeld gaan worden hoe vertrouwelijk ze zijn. Voor bepaalde categorieën gegevens kan het een keuze zijn om ze niet in de cloud op te slaan, of misschien pas nadat ze versleuteld zijn. Advies nodig over hoe je dit kan doen? Neem zeker even contact op, want we denken graag mee.