Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 53, views: 18.619 •

Bedrijven mogen er niet op vertrouwen dat persoonsgegevens bij Amerikaanse clouddiensten afdoende worden beschermd. Zonder aanvullende maatregelen voldoet het gebruik van zo'n clouddienst niet aan de privacywetgeving, zegt het CBP.

Europese cloud eurocloudBedrijven mogen er niet blind op vertrouwen dat een Amerikaanse cloudaanbieder persoonsgegevens naar Europese en Nederlandse maatstaven goed beschermt, schrijft het College bescherming persoonsgegevens. De overeenkomst die de Europese Unie en de Amerikaanse overheid hebben gesloten over verwerking van persoonsgegevens, de zogeheten safe harbor-overeenkomst, biedt volgens het CBP niet genoeg bescherming.

Volgens het CBP is het niet alleen nodig om een dienstverlener te kiezen die een safe-harbor-certificering heeft; er zijn aanvullende maatregelen nodig om aan de Europese en Nederlandse privacyregels te voldoen. Zo zou er een risico-analyse moeten worden opgesteld, waarbij moet worden bekeken welke gegevens onder welke voorwaarden bij een clouddienst mogen worden opgeslagen.

Daarnaast moet er een speciale 'bewerkersovereenkomst' worden opgesteld met aanvullende afspraken over de privacy. Daarbij moet de cloudleverancier toezeggen om in lijn met de Europese databeveiligingsrichtlijnen te handelen. Het is uiteindelijk de verantwoordelijkheid van het bedrijf dat de data in een cloudomgeving láát opslaan, om ervoor te zorgen dat dit conform de privacywetgeving gebeurt, vindt het CBP. Die wetgeving staat overigens op het punt om nog verder verscherpt te worden.

Het CBP heeft zijn 'zienswijze' gepubliceerd in reactie op vragen van SURFmarket, een ict-dienstverlener voor de educatieve sector die onderdeel is van SURF. Die stelde de vragen naar aanleiding van zijn in juni gepresenteerde Google Apps-integratie. Opvallend is dat SURFmarket heeft besloten om de antwoorden van het CBP niet af te wachten. "Een aantal instellingen wilde al met Google Apps aan de gang", zegt SURFmarket-directeur Jan Bakker tegenover Tweakers.net.

Gevolg daarvan is dat afspraken met Google over de gegevensverwerking moeten worden herzien. Er is in grote lijnen een risico-analyse gemaakt, maar er is geen bewerkersovereenkomst gesloten. Volgens Bakker is er wel rekening gehouden met gegevensverwerking: "We kunnen de contracten met Google nog wijzigen en we hebben Google de antwoorden van het CBP opgestuurd", aldus Bakker.

Alle bedrijven die naar een clouddienst willen overstappen en zich daarbij aan de Nederlandse privacywetgeving willen houden, moeten rekening houden met de zienswijze van het CBP. "Je blijft zelf verantwoordelijk voor de persoonsgegevens", aldus woordvoerster Lysette Rutgers. "Het is niet zo dat je als Nederlands bedrijf niet meer verantwoordelijk bent voor die gegevens als je ze uitbesteedt aan een clouddienst."

Opvallend is dat het CBP zich niet uitlaat over de Amerikaanse Patriot Act, die de Amerikaanse overheid het recht geeft om gegevens op te vragen bij dienstverleners. Daarmee zouden ook gegevens van Nederlandse bedrijven kunnen worden opgevraagd. Volgens Rutgers staat dat hier echter los van.

Reacties (53)

Opvallend is dat het CBP zich niet uitlaat over de Amerikaanse Patriot Act, die de Amerikaanse overheid het recht geeft om gegevens op te vragen bij dienstverleners. Daarmee zouden ook gegevens van Nederlandse bedrijven kunnen worden opgevraagd. Volgens Rutgers staat dat hier echter los van
De Patriot act is inmiddels enorm afgezwakt.
Hosters en ISP's kunnen inmiddeels wel degelijk een rechterlijk oordeel vragen tav opvragingen via de Patriot act. Zowel over de gegevensopvraging zelf als over een eventueel geheimhoudingsverzoek dat er bij kan zitten.

Toch is het verstandig voor partijen die gevoelige gegevens hosten om dat ook in de afspraken met de hoster vast te leggen dat de hoster zich altijd verzet tegen NSL verzoeken op die data. Overigens is het niet zo waarschijnlijk dat de amerikaanse overheidsdiensten NSL's jegens buitenlandse dataverzamelingen gaan uitschrijven. NSL hebben slecht een beperkt opvraag bereik en zijn het meest effectief om verkeersgegevens op te vragen van bijvoorbeeld ISP's, telco's, internetcafe's, telefoonwinkels en dergelijke. Ze kunnen niet gebruikt worden om inhoudelijke gegevens op te vragen.

[Reactie gewijzigd door hAl op 11 september 2012 11:40]

Dat kunnen ze altijd doen, die vrijheid heeft men maar ... wanneer men handelt vanuit het oogpunt van nationale veiligheid zal er geen rechter zijn die dat weerlegd. Ofwel; kunt op je achterpoten gaan staan, maar data aanleveren zul je uiteindelijk toch wel moeten.
wanneer men handelt vanuit het oogpunt van nationale veiligheid zal er geen rechter zijn die dat weerlegd.
Maar dan kom je wel dichtbij de Nederlandse situatie waarbij het ook mogelijk is om een gerechterlijk bevel aan te vragen om gegevens op te vragen.

Het lijkt me overigens vrijwel onmogelijk om een NSL situatie te bedenken waarbij een Amerikaanse rechter een opvraging op een datacollectie van bijvoorbeeld een Nederlandse overheids orgaan zou kunnen goedkeuren. Daar is de Patriot act als middel totaal ongeschikt voor ondanks de vele kretelogie over deze wet.
Als je gegevens nodig hebt van een Nederlandse partij is het voor bijvoorbeeld de FBI veel praktischer is het om een rechtbijstandverzoek aan de Nederlandse overheid te doen en door een Nederlandse rechter zo'n bevel om die gegevens uit te laten gaan. Dit is wel een bestaande en beproefde methode.
Afgezwakt? Tot wat?

Als ik er op zoek wordt ik iig niet vrolijk:
https://www.google.nl/sea...8&q=Patriot+act+cloud

Alleen maar vraagtekens nergens iets over afgezwakte patriot act (wat ik overigens ook niet geloof want naar mijn weten is die wet/act nooit aangepast)...
Alleen maar vraagtekens nergens iets over afgezwakte patriot act (wat ik overigens ook niet geloof want naar mijn weten is die wet/act nooit aangepast)...
Toch wel. Dat jij dat niet wenst te geloven is jou zaak.
Bedankt voor jouw zeer verhelderende post. Vooral de links naar informatie over hoe en wanneer deze afgezwakt zijn, zijn een echte meerwaarde. Jammer dat niet iedereen zo'n moeite doet om kwalitatieve posts te schrijven.

Wanneer ik even Google, vind ik vooral dingen over het verlengen van de act, zonder veel wijzigingen, zoals dit:
http://www.politifact.com...increase-oversight-on-go/
hAl moet even bijblijven, Antisec vertelde verhaaltjes, de data kwam van een bedrijf.
Het gaat wel via een rechter, maar dan heb je er alsnog niets over te zeggen, en mag je er ook niets over melden. Je weet dus als nederlands bedrijf niet wie je info heeft.
This section of the PATRIOT Act [Section 215: Access to records and other items under FISA] is controversial because the order may be granted ex parte, and once it is granted — in order to avoid jeopardizing the investigation — the order may not disclose the reasons behind why the order was granted.

The section carries a gag order [...]
Dus verleend zonder mogelijkheid tot verdediging, zonder opgave van rede, en met verbod het er over te hebben.

[Reactie gewijzigd door Zoijar op 11 september 2012 11:37]

Nee, een uitvaardigen van een NSL gaat juist niet via een rechter (wat dus juist het grote kritiekpunt op de patriot act was) maar mag inmiddels wel worden aangevochten voor een rechter door bijvoorbeeld een ISP of hoster.
Oh, we hebben het over verschillende secties zie ik nu. Jij hebt het over 505 en ik over 215.

Voor 215 geldt:
Any order that is granted must be given by a district court judge or by a magistrate judge who is publicly designated by the Chief Justice of the United States to allow such an order to be given.
De kritiek opde patriot act zit hem juist in de uitgifte van NSL's direct door functionarissenvan overheidsorganen ipv rechters worden uitgegeven.
Ook kan Ameika dat wel alleen beslissen maar mits NL dat verdrag ondertekent hoeft ze zich nergens aan te houden of gegevens uit te leveren. Nu doet onze regering dat tch wel.. maar je kan noot eenzijdig wat gaan beslissen en verwachten dat de andere partij zo maar mee werkt.
Ik werk voor verschillende bedrijven in Engeland, Duitsland en Noorwegen. De enige bedrijven die ik ooit vragen hoor stellen zijn die uit Nederland. DIe Patriot act is vrijwel nooit toegepast en om de een of andere redenen is het een hype aan het worden in Nederland om er over te zeuren.

[Reactie gewijzigd door Kcod op 11 september 2012 12:05]

Ik werk voor verschillende bedrijven in Engeland, Duitsland en Noorwegen. De enige bedrijven die ik ooit vragen hoor stellen zijn die uit Nederland. DIe Patriot act is vrijwel nooit toegepast en om de een of andere redenen is het een hype aan het worden in Nederland om er over te zeuren.
Dus omdat we vragen stellen, zijn we niet kritisch, nee, dan zijn we een pain in the ass en aan het zeuren?

Moeten we dan maar gwn alles laten gebeuren 'omdat' anderen dat dat ook doen 8)7
Het is en blijft vooralsnog onduidelijk of, en zoja hoevaak, opsporingsinstanties in de VS gebruik maken van de mogelijkheden die de Patriot Act hun biedt. Enkele redelijk recente quotes en links om dit te onderbouwen, wat een ieder een prettigere manier vindt dan roepen zonder onderbouwing:

Arnoud Engelfriet oktober 2011:

"Dit kun je maar op één manier lezen: als de FBI het vraagt, wordt er data vanuit Europa opgestuurd naar de Amerikaanse federale politie."

"De grote vraag is nu: doet men dit ook werkelijk, of loopt iedereen zich zorgen te maken over een theoretisch probleem?"


(bron http://www.hostingrecht.n...eem-voor-cloudgebruikers/ )

pcworld.com mei 2012:

"Since the Sept. 11, 2001, terrorist attacks on the U.S., "the U.S. government has simply been far more aggressive in its demands for data from other jurisdictions than have other governments," Rotenberg said in an email. "The U.S. is also widely believed to have more powerful data processing tools than any other government. There is simply no other spy agency that competes with the NSA [U.S. National Security Agency]."


(bron http://www.pcworld.com/bu...access_to_cloud_data.html )

De algemene consensus is dat cloud-computing privacy-issues oplevert in een steeds groter groeiende lijst landen, waarbij de VS de kroon spant. Het CBP zal ook geen uitspraken gedaan kunnen hebben over de relatie tussen de Patriot Act en privacy-issues omdat de VS geen enkele openheid geeft over het gebruik daarvan. Het bestaan van de Patriot Act en het stilzwijgen is ook een van de grootste bezwaren van Amerikaanse cloud-aanbieders. Blijven oppassen waar je je data huisvest.
Waarom alleen bij Amerikaanse clouddiensten?
Ik zie geen reden om een third party clouddienst blindelings te gaan vertrouwen gewoon omdat die niet US based is.
Los van het feit dat de amerikaanse overheid op basis van de patriot act zich geen zorgen om privacy moet maken, maar dat werd door het CBP ook niet meegeteld.
De US hebben een beetje een speciale status volgens Europese dataprotection wetgeving. Vandaar dat de safe harbour regels zijn bedacht, die alleen voor de US gelden. Deze uitspraak van het CBP is specifiek gericht op de safe harbour en dus de US.
Niet alleen dat de Amerikaanse overheid gegevens kan vorderen van alle dienstverleners die op wat voor manier dan ook "Amerikaans" zijn, dus ook al staat het rekencentrum in Europa, maar de dienstverlener is het ook nog eens verboden om naar het slachtoffer iets over die vordering te communiceren.

En reken maar dat sommige van die gevorderde data ook economisch ingezet kan worden (ik zou niet graag als Nederlands bedrijf in defensie-speeltjes de gegevens van mijn R&D afdeling ergens neerzetten waar de Amerikaanse overheid toegang heeft).
En reken maar dat sommige van die gevorderde data ook economisch ingezet kan worden (ik zou niet graag als Nederlands bedrijf in defensie-speeltjes de gegevens van mijn R&D afdeling ergens neerzetten waar de Amerikaanse overheid toegang heeft).
Alsof wij ons materiaal niet sowieso al in de USA bestellen? Apache's F16's die nieuwe JSF...
Thales radar? Dat is redelijk Nederlands, alhoewel het moederbedrijf Frans is. Maar als tegenhanger van stealth is moderne radar zeker gevoelige technologie.

Nu heb ik korte tijd bij Thales gewerkt, en ik kan je vertellen dat de R&D data nog niet eens zo ver komt als de computer van de secretaresse, laat staan buiten de deur.
Safe-harbor-certificering, 'bewerkersovereenkomst' met afspraken over privacy, Europese databeveiligingsrichtlijnen... kom nou op zeg. Van dat soort onbetrouwbare, ondoorzichtige, en oncontroleerbare nonsens wil je toch uberhaupt niet afhankelijk zijn?

Komen die lui dan echt niet op het idee dat wanneer je je data toevertrouwt aan een of andere random cloudboer, dat je die data dan ALTIJD encrypt? :{
Moet je wel oppasen dat je data dan niet toevallig in de UK terecht komt... Die hebben een wet waarbij je verplicht kan worden je key af te geven
En die wet is van toepassing op? De Britse eigenaren van de server hebben de sleutel niet, dus die hebben een theoretisch probleem. En de Britse overheid kan de Nederlandse overheid niet vragen om jou uit te leveren.
Nou dat bedoel ik dat is het gevaar van die clouddiensten.
Eigen harde schijven of datacentra is gewoon goedkoper, sneller en veiliger.
Eigen harde schijven of datacentra is gewoon goedkoper, sneller en veiliger.
Kan je wel zeggen maar toon het is aan...

Goedkoper kan bijna niet, immers de afname op bijna alles is groter bij een cloud-hoster. In het datacenter, hardware boeren en software zullen die dus goedkoper uit zijn...

[Reactie gewijzigd door watercoolertje op 11 september 2012 11:41]

Ik denk dat watercoolertje daarin helaas gelijk heeft (ben niet zo'n fan van alles maar in de cloud)

Wat ik echter een groot nadeel vind is dat de huidige aanbieders vaak us based zijn. Waarom komt er is er geen grote cloud aanbieder die gewoon 100% in europa zit en waarbij je dus geen 'last' hebt van de VS met mogelijke privacy nadelige regelingen.

(kan zijn dat ze er wel zijn hoor, heb niet echt gezocht, maar als ze er zijn, waarom gaat surf dan daar niet gewoon mee in zee?)
Kan me niet voorstellen dat er geen Europese cloud aanbieders zijn, maar mocht dat het geval zijn dan is het een gat in de markt (ideetje voor een ambitieuze tweaker hier? :)). Je kan dan misschien zelfs klanten die in de VS zitten wegsnoepen omdat onze privacyregels wel eens aantrekkelijker voor ze kunnen zijn.
Hmm beetje naïef is dit wel. Inderdaad heeft de overheid in de VS zich uitgebreide bevoegdheden toegekend als het gaat om het binnenslurpen van gegevens. En overigens ook als er géén expliciete bevoegdheden zijn. Pregnant (juist vandaag) is de actie om zich na 9/11 SWIFT data toe te eigenen omdat er een backup server in de VS stond. (NYT, login nodig)

Ik zou toch eerder van Google eisen dat ze analoog aan Amazon meerdere regio's en datacenters opzetten, zodat je kan garanderen dat je gegevens überhaupt niet in de VS terecht komen...
Hmm beetje naïef is dit wel. Inderdaad heeft de overheid in de VS zich uitgebreide bevoegdheden toegekend als het gaat om het binnenslurpen van gegevens. En overigens ook als er géén expliciete bevoegdheden zijn. Pregnant (juist vandaag) is de actie om zich na 9/11 SWIFT data toe te eigenen omdat er een backup server in de VS stond. (NYT, login nodig)

Ik zou toch eerder van Google eisen dat ze analoog aan Amazon meerdere regio's en datacenters opzetten, zodat je kan garanderen dat je gegevens überhaupt niet in de VS terecht komen...
Dat maakt niet uit, moeder maatschappij = amerikaans, dus al staat je data in europsa of rusland..je moet 't even goed overhandigen...
Dus in het kort je kunt geen gebruik meer maken van Google, Amazon of andere wereld leiders als het op cloud diensten aan komt want allemaal amerikaans en dat mag niet van het CBP.

Als kleiner bedrijf is zo'n onderzoek het regelen van de overeenkomsten en het controleren van een aanbieder als Amazon simpel weg niet te doen. De EU moet eindelijk eens accepteren dan dit soort regels opstellen ook in moet houden dat de EU zelf dit soort dingen voor eens en voor altijd moet regelen. De "safe harbor" oplossing leek het idee maar nu ook dat weer overboord wordt gezet met de nog strengere regels en met een permanent wantrouwen van niet EU bedrijven blijk ook dit een overbodige poppenkast te zijn geweest.

Dankzij het nederlandse CPB en de onvolprezen wijsheid van de EU is een heel land weer een stapje verder weg van aansluiting bij de rest van de wereld als het op het aanbieden van internet diensten aankomt. |:(
Welja, waarom zetten we die datacenters gewoon niet gelijk maar in China neer? Die luisteren so wie so toch overal mee mee niet?
Alsof we allemaal zitten te wachten op "de cloud-oplossing" als moderne (en toekomstige) aanpak. Het overgrote belang bij clouddiensten ligt in het belang van aanbieders (commercieel dus), niet gebruikers.
De CIA tak voor NL kan in ieder geval ingekrompen worden wanneer (semi) overheden hun data gewoon rechtstreeks op Amerikaanse bodem gaan opslaan.
Dus in het kort je kunt geen gebruik meer maken van Google, Amazon of andere wereld leiders als het op cloud diensten aan komt want allemaal amerikaans en dat mag niet van het CBP.

Als kleiner bedrijf is zo'n onderzoek het regelen van de overeenkomsten en het controleren van een aanbieder als Amazon simpel weg niet te doen. De EU moet eindelijk eens accepteren dan dit soort regels opstellen ook in moet houden dat de EU zelf dit soort dingen voor eens en voor altijd moet regelen. De "safe harbor" oplossing leek het idee maar nu ook dat weer overboord wordt gezet met de nog strengere regels en met een permanent wantrouwen van niet EU bedrijven blijk ook dit een overbodige poppenkast te zijn geweest.

Dankzij het nederlandse CPB en de onvolprezen wijsheid van de EU is een heel land weer een stapje verder weg van aansluiting bij de rest van de wereld als het op het aanbieden van internet diensten aankomt. |:(
Jij snapt blijkbaar niet dat het eigenlijk een stapje verder weg is van je complete economie en overheid vrijgeven aan de grillen van de buitenlandse (en bovenal niet altijd even democratisch gekozen) overheid en rechtsysteem dat draait op onderbuik gevoelens van een stel willekeurig gekozen burgers?
Dus in het kort je kunt geen gebruik meer maken van Google, Amazon of andere wereld leiders als het op cloud diensten aan komt want allemaal amerikaans en dat mag niet van het CBP.
Nee hoor, goed lezen!
Ieder nederlands bedrijf heeft zich te houden aan de privacy wetgeving, en terecht.
De verplichting je daar aan te houden bestaat dus gewoon, of het CPB nu deze uitspraak doet of niet.
Het CPB waarschuwt enkel dat bedrijven niet ondoordacht moeten vertrouwen op wat leuke "stickers" op de site van een leverancier van clouddiensten en zelf verantwoordelijk zijn voor het naleven van de wet.
Dankzij het nederlandse CPB en de onvolprezen wijsheid van de EU is een heel land weer een stapje verder weg van aansluiting bij de rest van de wereld als het op het aanbieden van internet diensten aankomt. |:(
Aansluiting bij de rest van de wereld?
Wees blij dat we er een dienst is die z'n bek durft open te trekken en gewoon ronduit aangeeft dat je niet zomaar op iemands blauwe ogen moet vertrouwen met je data.
Wellicht zouden andere landen zich moeten aansluiten bij dat beleid.
Ik zit niet zo te wachten op aansluiting bij de rest van de wereld as dat inhoudt dat mijn gegevens minder goed beveiligd zijn.

De boodschap is helder: als jij meent geld te moeten verdienen door persoonlijke gegevens van iemand op te slaan, dan moet je er donders zeker van zijn dat die opslag veilig is.
Is dat zo erg? Bij cloud opslag sluit de FBI het toch direct af wegens piraterij? Dan krijgt beveiliging van persoonlijke gegevens weinig kans om lange tijd beneden pijl te blijven. [/sarcastische sneer omtrent MegaUpload]
Het is een publiek geheim dat de FBI en/of CIA regelmatig aan informatie komen die ze logischerwijs niet kunnen hebben, en dat deze wordt doorgespeeld aan puur Amerikaanse bedrijven, zodat die er (bij overnames e.d.) hun voordeel mee kunnen doen.

Niet-Amerikaanse bedrijven die hun data in Google Docs verwerken, zouden daarmee wel eens een beetje naief kunnen zijn.

Jammer dat we in Europa geen eigen variant ontwikkelen. Daar hebben we die EU toch voor?
precies, een EU variant lijkt me een perfect plan, zowieso wat meer eu alternatieven in de software lijkt me wel goed. Bijna alles komt nu uit de US (windows, osx, android, Ios, windows phone)

Europese alternatieven zeker op het 'nieuwe' gebied van cloud opslag zijn wat mij betreft echt zeer welkom!
Allemaal consipracy theoretici; mijn bedrijf en ikzelf hebben niks te verbergen volgens de huidige wetten hoop ik. ;)

Privacy is zo 1950... Open informatie en innovatie, alles in de cloud :p
Privacy is zo 1950... Open informatie en innovatie
Binnen 15 minuten staat er iemand aan je deur om een webcam in je slaapkamer te plaatsen. Gelieve voor koffie te zorgen.
Je hebt geen gegevens van klanten te verbergen? Heb je dat toevallig ook al aan de klanten gevraagd? Andere bedrijven zullen vast wel kunnen "innoveren" met jouw klantenbestand, bijvoorbeeld. Alleen wil je dat waarschijnlijk niet.

Iedereen die met informatie werkt heeft ergens wel iets te verbergen. Niet omdat geheimen hebben zo leuk is, maar omdat daar gewoon een stuk waarde in zit (al dan niet eigenwaarde) die je niet gratis wil weggeven, of zelfs helemaal niet.

Je bent pas te paranoïde met informatie als de kosten voor afscherming hoger zijn dan de schade die je zou ondervinden als iemand anders die informatie had. Het zal zelden of nooit het geval zijn dat de schade voor alle informatie 0 is en je dus helemaal geen moeite hoeft te steken in afscherming.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013