Hoger onderwijs moet cloud afschermen

ACHTERGROND - Nederlandse hogescholen en universiteiten gaan steeds meer gebruik maken van cloudcomputing. Maar dat brengt ook risico’s met zich mee. 

Als de staatsveiligheid van de USA in het geding is, kan Washington meekijken in verzamelingen van gegevens in ons HBO en WO. Op zich geen nieuw feit, maar de overgang naar ‘cloudcomputing’ in het Hoger Onderwijs (HO) dwingt wel tot verdere doordenking. Het samenwerkingsverband voor netwerk- en ICT-diensten van het HO in Nederland, SURF, werkt daar nu aan.

Het Instituut voor Informatierecht (IViR) heeft daarom onderzoek gedaan naar de toegang van overheden tot data die zich in de cloud  bevinden. Hoofdconclusie daarvan is dat het voor het HO zaak is zicht te krijgen en te houden op de condities waaronder justitie en veiligheidsdiensten toegang hebben tot data en de daarmee samenhangende risico’s.

Er moet daarbij verder worden gekeken dan de Patriot Act in de  USA, want er is daar sprake van meer wet- en regelgeving over overheidstoegang tot (cloud)data. Het volledige rapport, inclusief de managementsamenvatting, is hier te downloaden.

Nieuwe vragen opgeroepen

De huidige wetgeving in zowel de Verenigde Staten als in Nederland zorgt ervoor dat bevoegde instanties de mogelijkheid hebben om gegevens van kennisinstellingen op te vragen. Het maakt daarbij in principe niet uit of die gegevens in het eigen datacenter of in de cloud staan. Wanneer de gegevens in een cloud staan bij een leverancier die onder Amerikaanse jurisdictie valt, kunnen de gegevens direct vanuit de VS bij de betreffende onderneming/instelling opgevraagd worden.

Is dat niet het geval, dan kan een verzoek tot inzage worden gedaan via de Nederlandse justitie of veiligheidsdiensten. Het is juridisch gezien niet mogelijk om tegen te houden dat bepaalde data worden opgevraagd door de overheid als deze een relatie legt met staatsveiligheid of strafvordering.

Wilma Mossink, juridisch adviseur van SURF: “Dat overheden toegang tot gegevens kunnen krijgen is niet nieuw. De overgang naar cloud computing roept wel vragen op over de veranderende context en de consequenties hiervan. Het is volgens het IViR te verwachten dat het opvragen van gegevens uit de cloud door overheden alleen maar zal toenemen gezien de hoeveelheid gegevens die daarin worden ondergebracht. Hoe vaak dat nu gebeurt, is moeilijk na te gaan. Het is daarom niet aan te geven hoe groot het risico daadwerkelijk is. Toch is het belangrijk dat instellingen zich bewust zijn van dit risico bij het onderbrengen van data in de cloud.”

Afgeschermde diensten voor HO?

Joris van Hoboken, onderzoeker van het IViR voegt hieraan toe: “De actuele kwestie rond de Patriot Act is nauwelijks grondig onderzocht. Hierdoor zijn in het maatschappelijke debat over cloud computing flink wat onjuistheden geslopen. Het maakt bijvoorbeeld in beginsel niet uit of cloudgegevens in de VS of ergens anders in de wereld zijn opgeslagen. Als een Nederlandse cloudaanbieder structureel zaken doet in de VS, dan geeft VS wet- en regelgeving al de mogelijkheid voor VS autoriteiten om gegevens op te vragen vanuit Nederland. Voor afnemers van clouddiensten zullen zulke relaties in de praktijk moeilijk te achterhalen zijn en door overnames in de sector kan de situatie opeens veranderen.”

SURF heeft tegen deze achtergrond de opvatting dat per soort gegevens bekeken moet worden wat de risico’s zijn. Op basis van een dergelijke classificatie kan worden vastgesteld waar public clouddiensten van marktpartijen ingezet kunnen worden.

Om optimale rechtsbescherming te garanderen in geval van gegevens met een te hoog risico, kan het nodig zijn om bepaalde afgeschermde community clouddiensten speciaal voor het hoger onderwijs in te richten.

Dit artikel verscheen eerder op Scienceguide.

  1. 1

    Ik vind het echt volslagen onzin om daar clouds voor te gebruiken. En als ze dat willen, waarom dan niet een distributed hosting opzetten onder de Nederlandse WO en HBO-instellingen, en als partij onderhandelen met de leveranciers? Of een Europees verband, waarbij we tenminste allemaal onder de Europese regels vallen? Waarom zou je dat in vredesnaam uit handen geven aan partijen waar je niets, nada, niente zeggenschap over hebt? (Niet alleen over de data maar ook over de diensten…) Juist op plekken waar nogal wat specialistische software nodig is, en waar buitengewoon diepgaande informatie wordt opgeslagen, lijkt het mij heel belangrijk om daar zelf grip op te houden.

    Het gaat om iets dat zo fundamenteel is voor onderwijs en onderzoek, daar moet je uiterst zorgvuldig mee omgaan, en daar ook in investeren.

    (Eigenlijk he, zou er een wet moeten komen die het alle publieke en semipublieke sectoren verbiedt om gegevens ergens te plaatsen waar het niet meer beschermd kan worden door onze bv eigen WBP – maar dat geldt ook voor overige data trouwens: onderzoeksgegevens, bestuursdocumenten etc.)

  2. 2

    Dat probleem dat ik als Nederlander mijn data in de VS opsla en dat die data dan onder VS wetgeving vallen is volgens mij het grootste probleem.

    Waarom niet net als in de scheepvaart (een schip heeft een nationaliteit) een nationaliteit geven aan een schijf of partitie waar die schijf zich ook bevindt? Maak gewoon harde schijven waarvan de partities een nationaliteit krijgen. Ik kan dan gewoon een stukje Nederlandse data-ruimte kopen. Waar die ruimte ter wereld zich bevindt zal mij worst zijn. Voorlopig voor de zekerheid wil ik dat wel weten maar even het principe hè.

    Ik kan dan iig veel makkelijker in de cloud een eenduidige rechtssituatie creëren. In elk geval een voor individuen begrijpelijker situatie. Als individu kan en wil ik niet te maken hebben met meerdere rechtssystemen.

  3. 4

    @2: Dat lijkt me onhandhaafbaar. Als jouw “Nederlandse” HD in een Chinese bracket ligt, kunnen de Chinezen die gewoon fysiek eruit trekken en kopiëren. Zorg dan liever (per afspraak of desnoods zoals in #1 gesuggereerd per wet) dat informatie van alle (semi)overheidsinstellingen in een Nederlandse bracket ligt. En laat de IJslanders maar eens opschieten met hun superprivacywetgeving en infrastructuur voor cloudservices, zodat de privépersonen daar hun data het veiligste kwijt kunnen (bv. ook veiliger dan in Nederland).

  4. 5

    @HansR: die mogelijkheden zijn natuurlijk best te verzinnen, maar de VS gaat daar niet uit eigen beweging mee beginnen, waarom zouden ze immers? En dan is het heel simpel: dan moeten wij zorgen dat dat gebeurt: boycotten van die diensten tot we een behoorlijke rechtspositie hebben. Zowel de VS als de rest van de wereld zouden zich vaker moeten beseffen dat de wereld toch voor het overgrote deel uit niet-VS bestaat, en dat we ons dus helemaal niet zo afhankelijk hoeven op te stellen.

  5. 6

    Laat de VS maar eens voelen wat de consequenties van hun unilateraal optreden is en dus eens met @1, verbied overheid gewoon zaken te stellen bij lieden die zaken doen met de VS op dit gebied.

  6. 7

    Het blijft me toch een beetje een raadsel waarom iedereen en zijn moeder ineens voor amerikaanse aanbieders van virtuele servers lijkt te kiezen sinds we er een nette APIs en een hippe naam voor hebben bedacht… maar sjongejonge het is wel een prachtsmoes om zinloze artikelen te schrijven:p