211service.com
Grenzen overschrijden maar geen wetten
Er is een probleem met cloud computing waarvoor nog geen gemakkelijke oplossing is.
Hoewel het vaak niet duidelijk is waar gegevens zich daadwerkelijk bevinden wanneer ze worden geüpload naar een cloudservice zoals webgebaseerde e-mail, is de locatie wel van belang. En afhankelijk van het rechtsgebied waar de gegevens zijn opgeslagen, kan deze worden blootgesteld aan toezicht door de overheid of onverwachte regelgeving. Wanneer gegevens zich fysiek in een land bevinden, heeft dat land de praktische mogelijkheid om op verschillende manieren toegang tot die gegevens te forceren, zegt Katitza Rodriguez, directeur internationale rechten van de Electronic Frontier Foundation, een op technologie gerichte burgerrechtenorganisatie.
Dit verhaal maakte deel uit van ons nummer van november 2011
- Zie de rest van het probleem
- Abonneren
Dat is zorgwekkend in Canada en enkele Europese landen, waar activisten vrezen dat strikte lokale privacyregels misschien niet gelden als de gegevens van burgers worden opgeslagen op servers in de Verenigde Staten. De bevoegdheden van de Amerikaanse wetshandhavers om te snuffelen in e-mail en andere gegevens werden uitgebreid door de USA Patriot Act, die kort na de terroristische aanslagen van 11 september werd aangenomen. De Canadese provincie British Columbia reageerde met een wet uit 2004 die overheidsinstanties verplichtte ervoor te zorgen dat persoonlijke informatie van burgers, zoals gezondheidsdossiers, alleen in Canada wordt opgeslagen en alleen in Canada wordt geopend.
De verspreiding van beperkende gegevenswetten kan het voor buitenlandse bedrijven en overheidsinstanties moeilijker maken om commerciële cloudproviders te gebruiken, waarvan de grootste in de Verenigde Staten zijn gevestigd. Het Amerikaanse ministerie van Handel beschouwt juridische belemmeringen voor grensoverschrijdende gegevensstromen inderdaad als een dreigende bedreiging voor de vrijhandel. Het heeft een commissie gevormd met Mexico en Canada om ervoor te zorgen dat privacywetten niet in de weg staan.
De bevoegdheidskwestie heeft al gevolgen. Francis deSouza, group president enterprise products and services bij Symantec, zegt dat zijn bedrijf heeft onderhandeld met een Zwitserse financiële instelling over het runnen van de e-mailservers en andere software van de bank. In principe kunnen ze overal in een bestaand Symantec-datacenter worden gehost. Maar omdat het Zwitserse bankgeheim buiten het land niet van toepassing is, zegt deSouza, betekent zakendoen het bouwen van een nieuw datacenter in Zwitserland.
Maar het opslaan van gegevens buiten de VS is misschien niet voldoende om het te beschermen tegen Amerikaanse wetshandhaving. Microsoft en Google wakkerden de bezorgdheid in Europa deze zomer aan toen ze bevestigden dat zelfs gegevens die buiten de Verenigde Staten zijn opgeslagen, inclusief in Europese datacenters, onderhevig kunnen zijn aan wettige verzoeken van de Amerikaanse overheid (om nog maar te zwijgen van die van andere landen). Dit alles maakt de cloud een moeilijke plek om te verbergen, vooral als het gaat om gevoelige gegevens. Vorig jaar startte Amazon bijvoorbeeld klokkenluidersorganisatie WikiLeaks van zijn cloudservers na klachten uit Washington dat WikiLeaks gestolen geheime documenten op de machines opsloeg.
Nog een mogelijke hoofdpijn: sommige landen vereisen dat gegevens voor een bepaalde tijd worden vastgelegd, terwijl andere vereisen dat gegevens na een bepaalde tijd worden verwijderd. Als gevolg hiervan kunnen bedrijven zoals Facebook die gegevens op meerdere plaatsen opslaan, te maken krijgen met tegenstrijdige mandaten, zegt Daniel Garrie, algemeen adviseur van de Focused Solution Resource Delivery Group, die bedrijven adviseert over cloudcomputingcontracten.
