AP: overheid moet risico's van gebruik cloudopslagdiensten beter beschrijven

De Nederlandse overheid moet de privacyrisico's van dataopslag bij Amerikaanse clouddiensten beter beschrijven. De Autoriteit Persoonsgegevens zegt dat staatssecretaris Van Huffelen van Digitalisering die risico's in haar nieuwe wetsvoorstel niet goed heeft onderbouwd.

De Autoriteit Persoonsgegevens uit in een brief aan de staatssecretaris stevige kritiek op het cloudbeleid van de Rijksoverheid. Staatssecretaris Alexandra van Huffelen presenteerde in augustus een nieuw cloudbeleid voor overheidsinstanties. Daarin staat opgenomen welke overheidsinstellingen op welk moment en onder welke voorwaarden buitenlandse clouddiensten mogen gebruiken, zoals Google Workspace of Microsoft 365. Inmiddels zouden zulke diensten veilig genoeg zijn om te gebruiken door overheden. De privacytoezichthouder zegt nu dat de staatssecretaris meer moet doen om de privacyrisico's in dat beleid af te dekken.

De AP heeft drie problemen met het voorstel. Het eerste is dat de privacyrisico's 'vollediger moeten worden geadresseerd' en die moeten leidend worden bij de vraag of een clouddienst kan worden ingezet. In het voorstel wordt een scheiding gemaakt tussen publieke en private clouddiensten. Op basis daarvan worden de privacyrisico's ingeschat, maar de AP zegt dat die risico's moeten worden ingeschat ongeacht de vorm van de clouddienst. Zo'n beoordeling van de privacyrisico's past volgens de AP ook beter in het beleid van de staatssecretaris, die vorig jaar stelde dat de Rijksoverheid 'de plicht heeft om grondrechten en publieke waarden te beschermen'.

Een tweede probleem is dat Van Huffelen in haar beleid niet genoeg specificeert wat de risico's zijn van het gebruik van clouddiensten. Het gaat dan specifiek om het opslaan van data van Nederlanders in landen buiten Europa. De AP vindt dat de vraag of er gegevens buiten Europa worden opgeslagen 'leidend moet zijn' in een besluit om met een aanbieder in zee te gaan. Het beleid houdt ook niet genoeg rekening met de mogelijkheden dat gegevens vanuit Europa naar de VS kunnen worden doorgegeven via bijvoorbeeld leveranciers. Daarom zou er bij elke clouddienstkeuze een transfer impact assessment moeten worden uitgevoerd. In zo'n tia worden dan die risico's afgedekt.

De Autoriteit Persoonsgegevens vindt ook dat de Nederlandse overheid meer zou moeten kijken naar Nederlandse of Europese alternatieven voor clouddiensten. De overheid werkte ooit aan een private 'Rijkscloud', maar die is er nooit gekomen omdat er 'geen gemeenschappelijke behoefte aan was'. De AP vindt dat Van Huffelen dat niet goed onderbouwt en dat Nederland meer zou moeten kijken naar de mogelijkheden om Europese initiatieven zoals Gaia-X te ondersteunen. "Juist vanuit een centraal Rijksbreed cloudbeleid kunnen deze ontwikkelingen worden gestimuleerd en, op termijn, als alternatief gaan dienen voor grote commerciële partijen", schrijft de AP. "Door dit onvoldoende te onderzoeken of onvoldoende bij te dragen aan de ontwikkeling hiervan ontstaat juist een situatie waarbij een te grote afhankelijkheid bestaat van grote commerciële partijen van buiten Europa."

De toezichthouder heeft gesproken met Van Huffelen over de kritiek. De staatssecretaris heeft die 'ter harte genomen'.

Door Tijs Hofmans

Nieuwscoördinator

14-11-2022 • 12:04

40

Reacties (40)

Sorteer op:

Weergave:

Van Huffelen legt niet uit waarom het rijksoverheid gebruik moet maken van de public cloud? En ook de AP stelt daar geen vragen over, als ik bovenstaande samenvatting mag geloven. De overheid is groot genoeg voor een private cloud waar ook gemeentes, provincies en ZBO's gebruik van kunnen maken. Inmiddels is de kwaliteit van Open Source dermate hoog dat de druk kan worden weerstaan van Vendors om van public cloud gebruik te maken, door te migreren naar Open Source.

Een aantal voorbeeldenDe regering heeft geen visie, aldus politicoloog Anton Hemerijck in De Groene van afgelopen week. Ook Van Huffelen laat zien dat ze geen visie heeft. Omdat er veel afspraken moeten worden gemaakt over het al-dan-niet verwerken van persoonsgegevens in de public cloud en die weer door horden overheidsmanagers moeten worden gecontroleerd, maakt Van Huffelen weer een volgend bureaucratisch moloch. De Tweede Kamer stelt geen vragen over bureaucratisering t.g.v. haar plannen. Er is al tekort aan mensen, geeft dat geld uit aan goede ITers die een Rijkscloud onderhouden, zonder dat die weer aan derde partijen wordt uitbesteed (IBM, ATOS, etc). En natuurlijk zonder horden rijks-managers die de ITers van het werk houden met procedures en die vasthouden aan ouderwetse technologieën.

Gelukkig is er 1 fractie die verder gaat dan de waan van de dag in haar vraag "De leden van de Volt-fractie merken op dat de staatssecretaris in het Rijksbreed cloudbeleid schrijft dat één van de voordelen van het gebruiken van publieke cloudleveranciers is dat zij veel grotere investeringen in informatiebeveiliging doen dan de rijksoverheid zelf wil of kan doen. Om hoeveel investeringen gaat het hier? Kan de staatssecretaris uitleggen waarom de rijksoverheid dergelijke investeringen niet wil doen? Welke andere belangen, naast investeringen in beveiliging worden afgewogen bij de keuze om voor publieke cloudleveranciers te kiezen? ". Ik ben benieuwd of op die vraag een zinnig antwoord gaat komen.
Helemaal eens met je betoog maar ik speel wel even advocaat van de duivel. Kijken wat de moderatie doet.. :D

Van Huffelen legt niet uit waarom het rijksoverheid gebruik moet maken van de public cloud? En ook de AP stelt daar geen vragen over, als ik bovenstaande samenvatting mag geloven.
De overheid is er ‘om een plain playing field’ te creëren, niet om te concurreren met de markt.

De overheid is groot genoeg voor een private cloud waar ook gemeentes, provincies en ZBO's gebruik van kunnen maken. Inmiddels is de kwaliteit van Open Source dermate hoog dat de druk kan worden weerstaan van Vendors om van public cloud gebruik te maken, door te migreren naar Open Source.
De overheid er dus om de markt te stimuleren, niet om de ‘natuurlijke’ balans van de markt te verstoren. Dat vereist dus ook dat de overheid gebruik kan maken van alle aanbieders in de markt (dus ook de groten) Wat u vraagt is ook ongekende samenwerking tussen overheidsinstanties die nu al niets met elkaar (willen) hebben. Dat terwijl tevens veel instanties wettelijk verplicht zijn zich af te scheiden, bijvoorbeeld bij een controlerende of veiligheids functie.

Er is al tekort aan mensen, geeft dat geld uit aan goede ITers die een Rijkscloud onderhouden, zonder dat die weer aan derde partijen wordt uitbesteed (IBM, ATOS, etc).
Die constructie bestaat ook voor een reden. Ten eerste moeten overheden openbaar uitbesteden. Je concurreert dus altijd, dat zijn ze Europees verplicht. Ten tweede is er simpelweg een loonschaal probleem. Dit wordt afgevangen met betere secundaire voorwaarden maar de doelgroep interesseert dat niet veel. Dat zijn namelijk meestal jongere mensen die nog echt niet aan pensioen denken. En die krijgen bij de concurrent een mooie lease auto. Moet je bij de overheid niet mee aankomen, die stuurt je mooi in een overvolle trein naar huis (vinden ze leuk, als ze net uit school komen).

En natuurlijk zonder horden rijks-managers die de ITers van het werk houden met procedures en die vasthouden aan ouderwetse technologieën.
Ook dit bestaat natuurlijk weer met een reden. Door die hordes interim managers creëren je afstand tot een probleem. Als het dus uiteindelijk allemaal weer in het honderd loopt dan zijn die poppetjes makkelijk te vervangen en zijn de toezichthouders weer blij. Zie het als een betaald excuus voor verantwoordelijk. En genoeg derde partijen die graag een business case willen schrijven waarom die poppetjes daar moeten zijn.

Ik zal het antwoord op Volt ook even uitschrijven voor de minister:
De leden van de Volt-fractie merken op dat de staatssecretaris in het Rijksbreed cloudbeleid schrijft dat één van de voordelen van het gebruiken van publieke cloudleveranciers is dat zij veel grotere investeringen in informatiebeveiliging doen dan de rijksoverheid zelf wil of kan doen. Om hoeveel investeringen gaat het hier?
Om Microsoft als voorbeeld te nemen (kijkt nog even op een blaadje om te doen alsof ze notities checked), 20 (Amerikaanse maar wordt er niet bij verteld) biljoen over 5 jaar.

Kan de staatssecretaris uitleggen waarom de rijksoverheid dergelijke investeringen niet wil doen?
Omdat de staatsecretaris zijn portemonnee vandaag thuis heeft laten liggen.
Er klinkt gelach vanuit de kamer om de minister’s antwoord
De voorzitter vraagt orde van de zaal..
Welke andere belangen, naast investeringen in beveiliging worden afgewogen bij de keuze om voor publieke cloudleveranciers te kiezen? "
Nou, naast het enorme bedrag dat geïnvesteerd wordt in beveiliging waarvan ik de kamer nog even wil herinneren dat dit extreem belangrijk is met vijanden zoals RUSLAND! Recentelijk heeft de kamer zelfs nog een videogesprek gesprek gehad met een Russische spion (totaal ongerelateerd maar niemand snapt dat). Kijkt deze minister ook naar de leidende positie van deze spelers. Deze positie hebben ze namelijk in de markt verworven door hun sterke innovatie.

Kort door de bocht, wij kunnen het niet toelaten dat Nederland achter gaat lopen op gebied van innovatie en veiligheid. Iedereen die anders beweerd, moet eens goed in de spiegel kijken of hij of zij wel voor een veilig digitaal Nederland staat… (Queue applaus van eigen partij).

Terwijl de minister van het podium afloopt moppert ze nog een moment:
Opensource… als je communistische software wilt, ga je maar naar china…

Dit is allemaal als grap bedoeld… ik solliciteer bij de speld.
Mocht het allemaal zo uitgesproken worden, dan eis ik wel credit op van de minister :+
"Van Huffelen legt niet uit waarom het rijksoverheid gebruik moet maken van de public cloud? En ook de AP stelt daar geen vragen over, als ik bovenstaande samenvatting mag geloven."

>De overheid is er ‘om een plain playing field’ te creëren, niet om te concurreren met de markt.

Soms doe je dingen omdat die van strategisch belang zijn. Niet omdat ze goedkoper of makkelijker zijn.

Al jaren wordt dit vreselijke argument misbruikt om elke open source software ontwikkeling die voor de overheid van belang is meteen de nek om te draaien terwijl het een drogreden is.

Een overheid heeft behoefte aan een F-35. Jij als consument nauwelijks. Daarom koop je die dingen ook niet bij de Albert Heijn. Nee. Die maak jezelf. En als dat niet kan, dan met vriendjes. Waarom? Daarmee heb je invloed en kennis van zaken. Hetzelfde geldt voor marine schepen. Die bouwt Nederland al eeuwen (!) zelf. Maar zodra het op software aankomt dan begrijpt overheid het niet meer.

Ja natuurlijk gaat de overheid niet zelf dat extreem specifieke stuk software schrijven voor de Belastingdienst. Want net als de F-35 is daar vast een markt voor! Bedrijven moet die belasting software natuurlijk ook bij de media Markt kunnen verkopen! Dus die software kopen we of besteden we uit want God behoede de wet markt en overheid. Of nog heel veel erger een overheid die zelf verstand heeft van haar eigen processen en software. Stel voor dat je als overheid bij de rechter kan uitleggen hoe de stikstof berekening van de gekochte software werkt.

Ja natuurlijk is het geen probleem dat gemeenten niet weten hoe ze onafhankelijk van mevrouw Centric hun processen nog moeten draaien.

Ja natuurlijk kopen we domweg Office 365 en Azure want wet markt en overheid. Dat een overheid specifieke eisen heeft aan een cloud als strategische onafhankelijkheid van buitenlandse leveranciers (mag ik jullie eraan herinneren dat de VS op een haar na ontsnapt is aan "America First"?). Om nog maar te zwijgen van IT-beveiliging en de mogelijkheid om een "reserve" cloud te hebben mocht er een publieke cloud omvallen.

Ja natuurlijk is het een goed idee om de gas opslag te verkopen aan Rusland en dat vervolgens terug te huren.

Ach wat maakt het uit dat die tap apparatuur uit Israël komt! Super goedkoop man.

Ah joh, ASML heeft echt maar heel weinig Amerikaanse aandeelhouders... Ohnee wacht Amerika verbied het ASML om machines aan China te verkopen. Wat zetten we daar tegenover? Ja en amen, want we moeten toch echt ook die Amerikaanse LNG schepen deze kant op hebben deze winter. Samen met Qatar. Jeeh WK! Hup Holland Hup!

Het is *complete* waanzin dat we als Nederland keer op keer de verkeerde strategische keuzes maken. En het is elke keer met hetzelfde argument. "Het moet wel een level playing field blijven".
Super goede bijdrage, Smartbit!
Bedankt! Breng dit a.u.b. onder de aandacht van de Tweede Kamer, in een technische briefing?
De overheid werkte ooit aan een private 'Rijkscloud', maar die is er nooit gekomen omdat er 'geen gemeenschappelijke behoefte aan was'.
Laat dat "ooit" maar weg, De verschillende Overheid Data Centers (ODC's) leveren toch een rijkscloud?
https://www.odc-noord.nl/
Europese initiatieven zoals Gaia-X te ondersteunen.
Dit is vooral een feestje voor Duitse en Franse bedrijven, een reden waarom het maar niet van de grond komt.

[Reactie gewijzigd door wica op 25 juli 2024 03:48]

Inderdaad, die Rijkscloud is er wel degelijk. Als je als Rijksmedewerker bestanden wilt versturen via bijvoorbeeld Sendit of WeTransfer mag dat niet, maar kun je een vergelijkbare service in de Rijkscloud gebruiken. Het voornaamste verschil is dat zowel de verzender als de ontvanger een account moet aanmaken om de dienst te kunnen gebruiken.
als je doelt op secure transfer via de Rijkscloud klopt het niet helemaal wat je schrijft. De ontvangende partij hoeft geen account te hebben, er moet echter wel een e-mailadres en telefoonnummer bekend zijn van de ontvangende partij.
Persoonlijk vind ik het een slechte zaak dat overheden onder bepaalde omstandigheden, wat die ook mogen zijn, op Google/Amazon/Microsoft/andere amerikaanse clouddiensten willen/mogen opslaan.

Stel voor dat de belastingdienst een backup faciliteit gebruikt bij 1 van deze diensten, dan zouden jouw gegevens zomaar weer bij Amerikaanse inlichtingendiensten terecht kunnen komen.

Als men het toch wil, vind ik dat de overheden aan de burger moeten vragen of ze er bezwaar tegen hebben. Ze moeten dan een alternatief aanbieden (desnoods tegen betaling).

Je kan ook de verantwoordelijkheid bij de burger neerleggen, Jij moet dan zorgdragen voor een gegarandeerde opslag van 7 jaar.
Wij zitten op dit moment in eenzelfde soort keuze-traject: on-premise, of cloud. Een van de zaken die meewegen is dat we zelf maar beperkt de capaciteit hebben om zelf een on-premise setup op te zetten en onderhouden. We zouden deze kennis van buiten aan moeten trekken en onze beheersafdeling op moeten schalen.
Daarbij biedt Microsoft Azure een heel brede integratie van allerlei services die toch nogal wat kruim kosten om zelf in te richten.

Dus de vraag is: wil je het snel en goedkoop (cloud "goedkoop" in setup, duur in running costs) maar dan wel op de computer van een ander... of traag en duur maar volledig onder eigen controle.
...
De boekhouder en mensen die het geld op tafel moeten leggen hebben hun antwoord al klaar ;)
Weet niet of je voor de Rijksoverheid werkt, maar mocht het wel zo zijn. Dan kunnen de verschillende ODC's je ontlasten.

Mocht je niet hier geen gebruik van maken, kan je altijd nog kiezen voor een externe beheer bedrijf.

Mijn ervaring, is dat als je naar de Cloud gaat. Je nog steeds kennis nodig hebt en niet niet altijd goedkoper is. Deze ervaring heb ik, door meerdere migraties van private cloud/on-premise naar public cloud.

Het grootste voordeel van de Cloud, is naar mijn mening. De schaal voordeel, die je kan behalen. Heb je over 1 uur 100 extra servers nodig. Dan is dat in de public cloud geen probleem, maar zelf deze servers binnen een uur aankopen en draaiende hebben wel.
Semi-overheid/stichting.
Mijn persoonlijke voorkeur is ook on-premise omdat ik denk dat op de langere termijn je meer controle hebt en kosten bespaart.
Maar mijn gut-feeling is dat we net te klein zijn om eigen serverbeheerders (meervoud, want je wil geen single point of failure) te rechtvaardigen naar het bestuur.
We hebben nu niet de kennis aan boord om zelf servers in te richten, wel om Azure op te tuigen. Ik weet als developer te weinig van het werk van een beheerder om in te schatten hoe "anders" dat werk is. Wel weet ik voldoende van Azure/beheer om te weten dat er heel veel kennis bij komt kijken die je niet even van de straat plukt (of uit Youtube filmpjes haalt).
Dan zou ik toch eens gaan praten met een ODC.
Ik voor van meerdere lagere overheden (pff, wat een woord) en semi-overheden. Dat ze best wel bij een Rijkscloud willen. Zover ik begrepen heb, is het geen technisch probleem, maar een juridisch probleem. Wat opgelost kan worden.
Thanks, ik zal het balletje hier eens opgooien. :)
Ben benieuwd of ze van het bestaan van ODC's weten. Ik in ieder geval nog niet tot dit moment.
Ogh, dan zijn ze in goed gezelschap. Zelfs ministers en kamerleden weten het niet.... (zo lijkt het)
Is er een beetje tooling voor, zeg maar zijn er modules voor dingen als Pulumi/Terraform enzo? Of hoe moet ik me zo'n Rijkscloud eigenlijk voor me zien? Draait men een soort OpenStack achtige omgeving?
Als ik o.a. dit lees https://www.odc-noord.nl/quattro/

Lijkt het mij, dat ze de standaard tooling gebruiken.
Ja daar zag ik alleen maar daadwerkelijke applicaties en niet echt iets als IaC support. Anders verlies je daar meteen op in een keuze natuurlijk. Maar ze draaien dus openshift dus als dat er eenmaal staat als instance dan is er gewoon een terraform module voor, het eerste stuk alleen niet dan.
Als ik deze pagina goed lees https://www.odc-noord.nl/infrastructure-service-iaas/ , draaien ze ook openstack. En daar kan je gewoon met terraform tegen aan babbelen.
Nou dan hebben overheidsinstanties dus eigenlijk bijna geen reden om het niet te gebruiken behalve mogelijk politieke redenen.
Hier speelt inderdaad ook een juridisch probleem. Volgens de aanbestedingsregels hebben de ODC's een financieel voordeel op de markt, waardoor je deze niet zou mogen gebruiken als semi- of lagere overheden.
Om je infra in de cloud te zetten heb je ook gespecialiseerde kennis nodig om dat op een efficiënte en veilige manier te doen.
En precies hier gaat het vaak mis, het wordt heel vaak vergeten! want "alles op default" werkt, en zal wel veilig zijn.
Maar dat aspect speelt niet bij de overheid. Die zijn zo groot dat zij ook het schaalvoordeel hebben.
Er is voor hen helemaal geen valide argument om de boel niet zelf te draaien. Maar ja, het CIO tijdschrift zegt dat cloud geweldig is, dus iedereen wil cloud.

Onze TCO voor onze email omgeving was veel goedkoper dan wat Microsoft kon bieden. Maar omdat Microsoft ons heel graag binnen wilde halen hebben ze ons een grote korting gegeven. Inmiddels zal die er wel af zijn en hebben ze ons wel mooi binnen.

Voor een klein bedrijf snap ik dat cloud vele voordelen bied. Maar voor grote bedrijven valt dat nogal tegen en kun je je afvragen wat nu werkelijk de reden is om naar de public cloud te gaan. Waarom geen private cloud?

[Reactie gewijzigd door mjtdevries op 25 juli 2024 03:48]

Mijn ervaring, bij de Rijksoverheid. Is dat het vaak geen technische keuze is. Maar meer een politieke keuzen.
Het is veel gemakkelijk, de verantwoording af te schuiven op een Microsoft, als er een storing is. Dan te moeten uitleggen, waarom die storing ontstaan is en hoe je het gaat voorkomen.
Dat gevoel heb ik ook.
En je hoeft niet je budget te verantwoorden, dat kost het nou eenmaal per gebruiker.
Het gaat niet alleen om 'bestandsopslag', maar ook cloud diensten waarbij data wordt gegenereerd en opgeslagen. Denk aan Microsoft Teams, wat bij steeds meer lokale overheden wordt gebruikt als telefonie-platform, ter vervanging van hun on-premises telefooncentrale.
Over de verwerking van deze telefonie-data moeten wel goede afspraken worden gemaakt.
De Teams data en opslag van data is op zich wel belangrijk, maar dat is maar een klein deel.
Het grootste deel, gaat om het verwerken van data.

Mag het NCTV, AWS gebruiken. Om social media accounts in de gaten te houden.
Mag je gemeenten, Google gebruiken, om geautomatiseerd fraude op te sporen etc etc.
Ik heb er geen problemen meer mee, dat data bij 1 van de " Google/Amazon/Microsoft/andere clouddiensten" wilt opslaan.
De geheimen diensten kunnen er links of rechts om toch wel bij, al zij het met medewerking van onze eigen geheime diensten.

Waar ik mij meer zorgen om maak, is dat de data niet meer op ons grond gebied staat, daarmee buiten ons rechtsysteem.
Mochten we nog eens met Amerika in onmin komen zou het toch handig zijn dat onze complete infrastructuur niet op buitenlands grondgebied staat.

Ik denk dat de huidige energieproblematiek een mooi concreet voorbeeld is van wat er kan gebeuren bij geopolitieke strubbelingen...
Er zijn afspraken gemaakt door bijv. AWS waardoor data binnen een regio blijft en niet zomaar gekopieerd kan/mag worden naar een andere regio (al dan niet buiten de EU).
Er zijn uitzonderingen voor global services (bijv. Route53 voor DNS) maar dan gaat het niet om klantdata maar om dataverkeer tussen gebruiker en de applicatie (al kan je toegang vanuit niet NL/EU natuurlijk ook vrij eenvoudig blokkeren).
Er is behoorlijk wat documentatie beschikbaar hierover;
https://aws.amazon.com/compliance/eu-data-protection/

Uiteraard kan het wel zijn dat je als gebruiker met je configuratie data aan het verplaatsen bent tussen regio's binnen en buiten de EU maar hier kunnen de cloud providers weinig aan doen.
Dit noemen ze ook wel het 'shared responsibility model' waarbij de cloud providers vanantwoordelijk zijn voor de beveiliging van de cloud (infrastructuur, netwerk etc) en de gebruikers voor de beveliging in de cloud (inrichting en gebruik van de beschikbare cloud services).
Helaas gaat het hier dan ook vaak mis zonder de juiste kennis en ervaring.
ik heb zelf Azure AZ-800 certificering, en je kan in Azure gewoon aangeven waar je data en metadata komt te staan.
EU West is hier in Nederland, datacenter in Amsterdam
EU Noord is in Ierland, datacenter in Dublin

als je het zelf op US East lat staan dan is dat niet de fout van cloud provider maar van de user.
De kritiek van de toezichthouder toont hiermee ook aan hoe belangrijk het is waar het beleid op gebaseerd is.

Wat was er nu eerder? De drang om de overheid en de samenleving van andermans computers afhankelijk te maken, of het voldoende bedenken wat de risico's echt zijn en dan te beslissen of dat gebruik maken van andermans computers hoe dan ook maar een mogelijkheid moet kunnen zijn om belastinggeld, gegevens en macht nog meer bij bedrijven te laten belanden?
Natuurlijk zijn er zorgen, maar maak je geen illusies dat een computer die aan internet hangt op wat voor manier dan ook 100% van jou kan zijn tenzij je zelf het volledige design (van transistors en fabricage tot software) in de hand hebt en foutloos is.

Ook hardware waarvoor je zelf de prijs aftikt heeft mogelijke backdoors, software is niet door jezelf geschreven (en komt doorgaans uit het buitenland) en de fabrikant heeft gewoon macht over je omdat je daar aan moet kloppen wanneer het spul uiteindelijk stuk gaat.
Het concentreren van applicaties in datacenters van public cloud aanbieders kan nog wel eens - naast goedkoper - ook veiliger zijn dan op eigen hardware draaien.
Kan is niet een heel sterk argumenten om onduidelijk te zijn over de motivaties van nieuw beleid. Zeker niet door daarbij zomaar te suggereren dat er onvoldoende zou zijn nagedacht over het bestaande beleid, waar men kennelijk vanaf wil.
Dat klopt grofweg maar niet je conclusie. Alles bij één partij onderbrengen maakt het erg moeilijk om zaken te controleren en geeft veel mogelijkeheden voor (on)opzettelijke binnendoorweggetjes.

In mijn ogen moet je het juist omdraaien en gebruik maken van verschillende aanbieders die elkaar controleren.

Suf voorbeeld: Als je een Russische virusscanner gebruikt dan moet je altijd bang zijn dat de virussen van de Russische overheid zijn uitgezonderd. Als je een Chinese virusscanner gebruikt dan bemoeit de Chinese regering zich er misschien mee. En als je een Amerikaanse virusscanner gebruikt dan zijn het misschien wel de Amerikanen. Maar ze gaan echt geen uitzondering maken voor elkaars virussen. Dus als je die drie virusscanners allemaal gebruikt hebt kun je redelijk zeker zijn dat er geen regering meekijkt.
Met firewalls kun je iets vergelijkbaars doen.

Zo zou het op meer punten geregeld moeten worden. Natuurlijk is dat makkelijker gezegd dan gedaan maar bij het ontwerpen van nieuwe systemen zouden we de mogelijheid mee moeten nemen.
Gebruik bv de ene leverancier om je rauwe data op te slaan maar een andere leverancier voor de front-end en zet er een derde, onafhankelijke, (applicatie van een) partij tussen die alles versleutelt en ontsleutelt en misschien kun je de sleutels bij een vierde partij laten bewaren.
Want de partij die alles versleutelt heeft geen toegang tot de sleutels nodig?
In de praktijk heb je nu 4 'points of failure' gecreëerd, misschien super veilig maar ook niet meer werkbaar, performant of goed te beredeneren (je bent totaal lost wanneer ergens iets mis gaat...)

Je voorbeeld met virusscanners gaat mank omdat ze allemaal op hetzelfde OS draaien. En daar zijn domweg geen werkbare opties die niet in de US gemaakt zijn beschikbaar (zelfs de meeste Linux aanbieders zijn US based)
Want de partij die alles versleutelt heeft geen toegang tot de sleutels nodig?
Ik zal maar direct toegeven dat ik er niet heel lang over heb nagedacht.
Maar... met public key technologie is het wel degelijk mogelijk dat een partij wel de encryptie-sleutel heeft maar niet de decryptie-sleutel.
Met een dosis moeilijke wiskunde is er misschien nog iets te bedenken met afgeleide sleutels met een beperkte levensduur of zo iets.
In de praktijk heb je nu 4 'points of failure' gecreëerd, misschien super veilig maar ook niet meer werkbaar, performant of goed te beredeneren (je bent totaal lost wanneer ergens iets mis gaat...)
Dat is een kwestie van pioriteiten en geld. Je zoekt altijd een balans tussen veiligheid, stabilteit, gebruikergemak, kosten en nog wat meer factoren. Er zijn tal van plekken in de wereld waar je prima systemen/onderdelen van verschillende leveranciers kan combineren omdat ze standaarden volgen.
In RAID-systemen wordt bijvoorbeeld ook aanbevolen om schijven van verschillende leveranciers, fabrieken, batches, jaartallen, etc te combineren zodat je beter bestend bent tegen structurele fouten zoals een bug in een firmware die op al je redundante schijven dezelfde fout maakt.
Je voorbeeld met virusscanners gaat mank omdat ze allemaal op hetzelfde OS draaien. En daar zijn domweg geen werkbare opties die niet in de US gemaakt zijn beschikbaar (zelfs de meeste Linux aanbieders zijn US based)
De Linux-distributies zijn een prima voorbeeld van het model dat ik omschrijf. Er is niet één partij de baas. Er zijn duizenden partijen die samenwerken vanover de hele wereld. Een paar daarvan zijn vast niet te vertrouwen en werken zelf voor een geheime dienst met twijfelachtige plannen. Op een enkel punt rotzooi (bv een lek) introduceren zal wel lukken maar waarschijnlijk heb je verschillende van dat soort ingrepen nodig om echt iets gedaan te krijgen en daarvoor moet je bij verschillende partijen aankloppen.
Het verstoppen van je activiteit is ook een stuk lastiger bij open source (maar niet onmogelijk, code begrijpen is lastig).

Maar goed, laten we er even vanuitgaan dat het OS niet te vertrouwen is. Zouden die virusscanners dat niet opmerken? Dat is immers hun taak. Een corrupt OS kan dat moeilijk maken maar ook het uitblijven van verwachte resultaten is verdacht. Ik neem aan dat fabrikanten van virusscanners daar af en toe op testen door bewust een (vals) alarm te genereren en te kijken of het alarm inderdaad geregistreerd wordt of dat er iets in de weg zit. (Als ze het nog niet doen hebben ze bij deze mijn toestemming om het te implementeren).
Het is natuurlijk niet heel anders dan virussen die proberen de virusscanner uit te schakelen. Dat is tegenwoordig heel gewoon. Zo gewoon dat de virusscanners zich er tegen verdedigen.

PS. Juist bij Linux is het vrij eenvoudig om te controleren of het OS in tact is omdat alle code beschikbaar is en je alles zelf kan (her)compileren om te controleren dat er geen veranderingen in zitten. In ieder geval in theorie. Sinds enige tijd zijn "reproducible builds" een ding zodat je echt iedere bit kan voorspellen en controleren.

[Reactie gewijzigd door CAPSLOCK2000 op 25 juli 2024 03:48]

Tsja, we zijn allemaal zo mooi in de weer geweest met 'Alles in de cloud!" dat we lijken te vergeten dat het gewoon Microsoft/Amazon/Google is. dat dus jou volledige data in kan zien, naast dat het bijna niet offline te krijgen is (of ze maken een fout en alles ligt plat, uiteraard) zie ik niet helemaal in waarom het nou beter is dat google op je data en servers past dan een lokalere partij.
Ik moet bij dit soort vraagstukken toch steeds weer denken aan Adobe die gebruikers in Venezuela moest blokkeren voor toegang tot hun software i.v.m. Amerikaanse sancties een paar jaar geleden.

Politiek is best veranderlijk, dus lijkt me een risico om toegang tot data en software uit handen te geven.
Of zoals ze in de goud en crypto wereld ook wel eens zeggen: If you dont hold it, you dont own it.
Ik denk dat wordt onderschat hoezeer de opmerkingen van de AP ook buiten de Rijksoverheid van toepassing zijn. Zo noemt de AP bijvoorbeeld:
Daarnaast is het gezien de aard, de omvang, de context en de doeleinden van verwerkingen waarvoor de clouddiensten zullen worden ingezet vrijwel uitgesloten dat er geen sprake is van verwerkingen die leiden tot een hoog risico. Ook in die gevallen is een DPIA verplicht.
Omdat de inzet van cloud-diensten ook om vrij basale kantoortoepassingen gaat zou ik ook alle organisaties buiten de Rijksoverheid aanraden om nog even goed na te denken over het uitvoeren van een DPIA. En wat de AP niet zegt is dat als er inderdaad een hoog risico blijkt te zijn (vrijwel uitgesloten dat dat niet zo is volgens de AP) moet de organisatie een voorafgaande raadpleging (art. 36 AVG) indienen. In 2021 zijn er bij de AP 10 ingediend (publieke en private sector, cloud en geen cloud, etc.) en het jaar daarvoor 8. Ik heb zo'n donkerbruin vermoeden dat dat niet vrijwel alle verwerkingen bij cloud-providers kunnen zijn. En als de AP besluit te handhaven op het niet naleven van art. 36 kan het ingrijpen vrij bot zijn: stoppen met de verwerking totdat de overtreding is opgelost.

Op dit item kan niet meer gereageerd worden.