Hoger onderwijs moet cloud afschermen
ACHTERGROND - Nederlandse hogescholen en universiteiten gaan steeds meer gebruik maken van cloudcomputing. Maar dat brengt ook risico’s met zich mee.
Als de staatsveiligheid van de USA in het geding is, kan Washington meekijken in verzamelingen van gegevens in ons HBO en WO. Op zich geen nieuw feit, maar de overgang naar ‘cloudcomputing’ in het Hoger Onderwijs (HO) dwingt wel tot verdere doordenking. Het samenwerkingsverband voor netwerk- en ICT-diensten van het HO in Nederland, SURF, werkt daar nu aan.
Het Instituut voor Informatierecht (IViR) heeft daarom onderzoek gedaan naar de toegang van overheden tot data die zich in de cloud bevinden. Hoofdconclusie daarvan is dat het voor het HO zaak is zicht te krijgen en te houden op de condities waaronder justitie en veiligheidsdiensten toegang hebben tot data en de daarmee samenhangende risico’s.
Er moet daarbij verder worden gekeken dan de Patriot Act in de USA, want er is daar sprake van meer wet- en regelgeving over overheidstoegang tot (cloud)data. Het volledige rapport, inclusief de managementsamenvatting, is hier te downloaden.
Nieuwe vragen opgeroepen
De huidige wetgeving in zowel de Verenigde Staten als in Nederland zorgt ervoor dat bevoegde instanties de mogelijkheid hebben om gegevens van kennisinstellingen op te vragen. Het maakt daarbij in principe niet uit of die gegevens in het eigen datacenter of in de cloud staan. Wanneer de gegevens in een cloud staan bij een leverancier die onder Amerikaanse jurisdictie valt, kunnen de gegevens direct vanuit de VS bij de betreffende onderneming/instelling opgevraagd worden.
Is dat niet het geval, dan kan een verzoek tot inzage worden gedaan via de Nederlandse justitie of veiligheidsdiensten. Het is juridisch gezien niet mogelijk om tegen te houden dat bepaalde data worden opgevraagd door de overheid als deze een relatie legt met staatsveiligheid of strafvordering.
Wilma Mossink, juridisch adviseur van SURF: “Dat overheden toegang tot gegevens kunnen krijgen is niet nieuw. De overgang naar cloud computing roept wel vragen op over de veranderende context en de consequenties hiervan. Het is volgens het IViR te verwachten dat het opvragen van gegevens uit de cloud door overheden alleen maar zal toenemen gezien de hoeveelheid gegevens die daarin worden ondergebracht. Hoe vaak dat nu gebeurt, is moeilijk na te gaan. Het is daarom niet aan te geven hoe groot het risico daadwerkelijk is. Toch is het belangrijk dat instellingen zich bewust zijn van dit risico bij het onderbrengen van data in de cloud.”
Afgeschermde diensten voor HO?
Joris van Hoboken, onderzoeker van het IViR voegt hieraan toe: “De actuele kwestie rond de Patriot Act is nauwelijks grondig onderzocht. Hierdoor zijn in het maatschappelijke debat over cloud computing flink wat onjuistheden geslopen. Het maakt bijvoorbeeld in beginsel niet uit of cloudgegevens in de VS of ergens anders in de wereld zijn opgeslagen. Als een Nederlandse cloudaanbieder structureel zaken doet in de VS, dan geeft VS wet- en regelgeving al de mogelijkheid voor VS autoriteiten om gegevens op te vragen vanuit Nederland. Voor afnemers van clouddiensten zullen zulke relaties in de praktijk moeilijk te achterhalen zijn en door overnames in de sector kan de situatie opeens veranderen.”
SURF heeft tegen deze achtergrond de opvatting dat per soort gegevens bekeken moet worden wat de risico’s zijn. Op basis van een dergelijke classificatie kan worden vastgesteld waar public clouddiensten van marktpartijen ingezet kunnen worden.
Om optimale rechtsbescherming te garanderen in geval van gegevens met een te hoog risico, kan het nodig zijn om bepaalde afgeschermde community clouddiensten speciaal voor het hoger onderwijs in te richten.