Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 92 reacties
Submitter: ronaldvr

Europese bedrijven zouden Amerikaanse cloudaanbieders links laten liggen, omdat ze zich zorgen maken over wat er met hun data gebeurt als gevolg van de Patriot Act. Diverse Pro-panelexperts van Tweakers.net bevestigen dit beeld.

Uit besloten overleggen die op verzoek van de Financial Times hebben plaatsgevonden tussen enkele Europese it-directeuren, kan worden geconcludeerd dat de cloud tegenwoordig met argusogen wordt bekeken. Aanleiding hiervoor is onder meer de bevestiging van Microsoft vorige maand dat het bedrijf als gevolg van de Amerikaanse wetgeving in sommige gevallen ook in Europa opgeslagen data aan de VS moet overhandigen.

Dit is het gevolg van de Patriot Act, waarin is vastgelegd dat een bedrijf dat in de VS is gevestigd of in handen is van een Amerikaans bedrijf, gedwongen kan worden om data die door het bedrijf wordt opgeslagen of verwerkt, af te staan, ongeacht of deze vertrouwelijk is of niet. Ook blijkt dat Amerikaanse bedrijven het in sommige gevallen niet aan klanten hoeven te melden als zij gedwongen worden om gegevens af te staan, hoewel dit wel verplicht is volgens de Europese Data Protection-richtlijn.

"We zijn nu niet in staat om een Amerikaanse aanbieder van clouddiensten te gebruiken, zelfs niet als de data in een Europees datacenter wordt opgeslagen", verklaarde een van aanwezige it-directeuren. Volgens FT bleek uit de sessie dat veel van de aanwezigen er zo over dachten.

Ook in Nederland blijken er bedrijven te zijn die intern worstelen met de privacyvragen rondom cloudhosting. Zo heeft de bank waar Pro-panelexpert Plofkotje werkt, besloten om alles in eigen beheer te doen. "Hoewel vanuit het bestuur wel het idee ontstond om dingen in de cloud te hosten, kon geen enkele cloudprovider harde garanties geven dat onze data daar veilig kon staan en wie er eventueel toegang toe hadden."

Bij de werkgever van Pro-panelexpert ndeleeuw lijkt bijna een aversie te ontstaan tegen cloudcomputing, omdat het bedrijf niet wil dat data buiten Nederland wordt opgeslagen. "Voor zover ons bekend is er geen cloudhoster die kan garanderen dat data op een locatie blijft. Dat kan voor sommige bedrijven een reden zijn om niets met cloudcomputing te doen. Ik kan begrijpen dat veel bedrijven niet graag zien dat hun intellectual property wordt afgegeven aan de Amerikaanse overheid."

Tweaker LeLo werkt momenteel bij een groot Duits bedrijf aan een consolidatie- en migratietraject, en ook daar is privacy een heet hangijzer. "Dit geldt echter niet specifiek voor clouddiensten, maar voor alle diensten die niet in eigen beheer worden uitgevoerd. Deze specifieke klant heeft daarom strenge regels opgesteld waarmee alle diensten en data worden gecategoriseerd, en als blijkt dat het om gevoelige gegevens gaat, mag deze data Duitsland niet verlaten en ook niet worden beheerd door externe partijen die ook kantoor houden buiten Duitsland."

Moderatie-faq Wijzig weergave

Reacties (92)

Je kunt als bedrijf dan ook niet aan je klanten garanderen dat je data veilig is als een of ander Amerikaans overheids orgaan wild begint te zwaaien met de Patroit Act. Zul je ook zien dat die gegevens dan weer ergens in de Metro worden vergeten.

Dit is natuurlijk ook een doorn in het oog van de aanbieders. Die zien ook wel waar het schort als er contracten niet worden afgesloten.

Bedankt Amerikaanse overheid, maar tot ziens.
@LOTG:

Niet helemaal waar. In veel gevallen waar het privacygevoelige informatie betreft mag data niet naar landen buiten de EU worden geëxporteerd. Dit omdat alleen binnen de EU consistentie in de behandeling van deze data kan worden gegarandeerd.

Clouddiensten zijn zeker nieuw, en ik denk niet dat er rekening mee is gehouden bij het opstellen van dit specifieke richtsnoer. Door de patriot act en de verklaring van bijvoorbeeld Microsoft dat er niet kan worden gegarandeerd dat de data kan worden beschermd tegen de invloed van die wet, kan er geen discussie zijn dat waar het die privacygevoelige informatie betreft ze niet naar een Amerikaanse cloudserver kunnen worden verhuisd.

.. tenzij de betrokkenen expliciet akkoord gaan met het verschepen van de info naar buiten de EU.
@Helixes:

Dat is ook niet helemaal waar. Er mag wel data van de EU naar een bedrijf in een ander land geexporteerd worden, mits het land waarin het bedrijf zich bevindt, strengere of vergelijkbare privacyrechten heeft (in vergelijking met de EU, bijvoorbeeld Canada).

Daarnaast bestaat er nog zoiets als de "safe harbor privacy principles". Een zelf-gecertificeerd programma waarbij bedrijven in de US kunnen aangeven dat ze een soort minimale privacyregels waarborgen. Ook dan is de export van gegevens, volgens EU-regels in ieder geval, geen probleem.
We hebben helaas al vaker moeten lezen dat de PATRIOT Act door allerlei Amerikaanse instanties misbruikt wordt voor het opvragen van gegevens, net zoals een FBI of NSA verzoek om informatie nagenoeg standaard een stempel 'National Security' krijgt, waardoor het bedrijf geen informatie over het verzoek mag doorspelen aan de eigenaar..

Ook in Amerika zelf is hier veel ophef over.. tegenwoordig kan 'Land of the free' wel uit het 'Land of the free, home of the brave' plaatje geschrapt worden.. :/
Uitbesteden en gevoelige data gaan moeilijk samen. Een textbook-voorbeeld is uitbesteden naar Oost-Europa, waar de mensen weinig besef van privacy hebben. Hoe kan de derde partij garanderen dat een bediende niet zomaar het klantenbestand of andere data voor zijn/haar (spammende/scammende) vriend kopieert?

Naast overheid kan de derde partij of het personeel dat de derde partij niet volledig onder controle heeft ook roet in het eten gooien.

Uitbesteden wordt gedaan omdat je in huis niet de kennis hebt om het goed te doen. Met andere woorden omdat je eigen IT'ers een puinhoop ervan gemaakt hebben zodat je naar een derde partij met kennis van zaken moet overstappen. Maar hoeverre kan je een derde partij onder controle houden?
Uitbesteden wordt gedaan omdat je in huis niet de kennis hebt om het goed te doen. Met andere woorden omdat je eigen IT'ers een puinhoop ervan gemaakt hebben zodat je naar een derde partij met kennis van zaken moet overstappen.
Uitbesteden is altijd een kosten issue, dat je de kennis niet in huis hebt komt omdat je het geld er niet voor neer wilde leggen om het in huis te halen. Dat je IT'ers er een puinhoop van hebben gemaakt komt omdat je niet de juiste ITers/managers heb ingehuurd en in veel gevallen voor de goedkoopste oplossing bent gegaan. Ik zeg niet dat goedkoop altijd duurkoop is of dat duurkoop altijd goedkoop is, maar over het algemeen krijg je waar je voor betaald.
Wij lopen hier ook tegen aan, we zijn cloud minded maar door allerlei regels en wetten die privacy schenden zijn we niet in staat om cloud te gebruiken zo als wij zouden willen. Ik vraag mij af hoe lang het duurt tot dat er een grote Europese speler met een cloud dienst komt.
Ik ben zeer blij dat steeds meer bedrijven beter nadenken over privacy en wel of niet gebruiken van de cloud.
Stap over naar Tahoe-LAFS, dat is een clouddienst die alles versleuteld en zo veilig mogelijk opslaat. (LAFS = Least Authority File System)

Het is zo veilig dat hackers hun databasen erop opslaan :P
Ik vind het prima dat er bedrijven zijn die niet blij zijn met de Patriot Act en hoe er dus aan gegevens gekomen kan worden (door de Amerikaanse Overheid).
Vergeten we alleen niet dat in Europa ook het nodige aan dataopslag wordt gedaan en er in NL relatief meer taps worden geplaatst dan in Amerika.

Als we bezwaren hebben tegen de Patriot Act en het opvragen van gegevens door Amerika, waarom is er dan zo weinig commentaar op het opvragen van gegevens door de NL politie en justitie?

Natuurlijk wil ik ook niet dat mijn gevoelige bedrijfsgegevens in de verkeerde handen komen, maar wat is waarschijnlijker? (jullie mogen kiezen)
  • [De Amerikaanse regering vraagt mijn data op/li]
  • De Nederlandse regering vraagt mijn data op
  • Een (oud) medewerker neemt gevoelige gegevens mee naar zijn nieuwe werkgever
Ik weet het namelijk wel, de meest waarschijnlijke staat onderaan, de minst waarschijnlijke bovenaan.
Cloud diensten hebben een nadeel, dat is namelijk het feit dat je data overal en nergens staat, het is een keuze die je moet durven nemen.

Daarnaast: Wat nu als mijn e-mail verkeer naar een klant in Australië loopt via een internet kabel door de Atlantische oceaan, door de USA en uiteindelijk via de Stille Oceaan naar Australië? Wat denk je dat er dan gebeurd? Precies, met behulp van de Patriot Act mogen ook die gegevens opgeëist door de Amerikaanse regering.
Ik kan me hierbij volledig aansluiten, bij een bedrijf waar ik werkte, waren we aan het kijken naar o.a. IDS systemen, mijn werkgever was op een gegeven moment heel erg geintresseerd in een bedrijf wat opzich een hele mooie oplossing heeft. Echter tot ik zei, ik denk niet dat onze klanten er blij van worden als hun gegevens in de VS worden opgeslagen.

Ik wil graag weten in welk land mijn data opgeslagen wordt, Wat in Nederland toegestaan is, kan in een ander land weer strafbaar zijn. Of om een andere reden niet wenselijk zijn, dat het niet in nederland opgeslagen wordt.
Ik vond de hele hype achter de cloud een beetje bizar - hmmm... al mijn belangrijke data vertrouwen aan één of ander bedrijf die het "ergens" neerzet waar het daarna in principe overal te bereiken is... ja, dàt klinkt lekker veilig! :p

[Reactie gewijzigd door MossMan op 3 augustus 2011 15:59]

Hoe zit het met de schoonmaakdienst in het kantoorpand van je werkgever? Of de glazenwasser? In veel gevallen zijn de PCs van de werknemers die vanuit huis kunnen werken een grotere bron van zorgen dan een goede clouddienst. We hebben nu de tools om gebruikers te verplichten om complexe wachtwoorden te gebruiken en elke 30 dagen te veranderen, zodat ze die vervolgens op moeten schrijven, vaak met appnaam en userid erbij omdat ze die complexe wachtwoorden niet kunnen onthouden. Of dat je tegen gebruikers moet zeggen, "Nee, ik wil je wachtwoord absoluut niet weten!", ze het er spontaan al uitflappen, of je het ze hoort mummelen tijdens het intypen. Een goede clouddienst is echt niet je grootste veiligheidsprobleem...
Nee, maar als je alle genoemde lekbronnen heb en dan nog's verenigvoudigd door alle mogelijk lekken van een cloud-dienst gaat het er niet beter van worden...

Bovendien zijn de mogelijke gevolgen van een lek in de cloud-dienst, meen ik, véél en véél erger. Stel je voor dat op het één of ander manier een foutje in de software ontdekt is waardoor heel je dataopslag in een oogwenk door één of ander bende gekopieërd wordt!

Volgens mij is de aard van het cloud-dienst zo dat, mocht er een probleem zijn, de te verrichten schade groter is. Een kwaadwillige moet meer werk ondernemen om aan de wachtwoorden te komen via de glazenwasser of fysiek je datacentrum binnen te komen, en ik vermoed dat hij dan ook aan minder data kan komen dan wat mogelijk zou zijn via de cloud.
Hoe is de kwetsbaarheid van de cloud anders dan de kwetsbaarheid van de moderne bedrijfs computernetwerken? Alles is bereikbaar via het internet. En omdat er veel meer verschillende systemen draaien bij de bedrijfsnetwerken is de kans veel groter dat er een gat valt bij een van die systemen dan bij een cloud oplossing. Inderdaad, als er wat fout gaat met de cloud, gaat het goed fout. Maar het risico voor individuele bedrijven is veel kleiner.
Met het verschil dat een eigen bedrijfsnetwerk:

- lang niet alles aan het internet bloot moet stellen (op de cloud moet je per definitie alles heen en weer sturen)

- in principe in eigen handen is (zoals ik al zei, dat betekent niet dat het 100% veilig is - maar de zekerheid gaat omlaag hoe meer wildvreemden er mee betrokken raken)

- juist uit verschillende systemen kan bestaan, waardoor de kans dat alles in één klap verloren/gestolen wordt kleiner is.


Maarja, ik ben ook van natuur een tikje cynisch - daarom gebruik ik GMail en Hotmail niet (al heb ik wel accounts) en POP ik mijn mail ipv. het op de server te laten staan. :)

[Reactie gewijzigd door MossMan op 4 augustus 2011 11:45]

Interessant onderwerp. Welk bedrijf springt er in dit gat? Het moet toch niet moeilijk zijn om als Nederlands bedrijf een cloud-dienst aan te bieden waarbij zij garanderen dat de data Nederland niet verlaat?
Dacht ik eerst ook maar wat als er dan een Amazon of vergelijkbaar Amerikaans cloud bedrijf je hoster wilt overnemen? En op welk moment krijg jij als klant dit te horen, heb dan nog de kans om de data te migreren voordat het bedrijf een Amerikaans moederbedrijf heeft?

Indien dergelijke wetgevingen en privacy een breekpunt voor je hosting is, kun je het beste een private cloud kunt gaan opzetten als een cloud oplossing nog voldoende voordelen heeft tenminste.

edit: heul slecht nederlandsch

[Reactie gewijzigd door Sjengcity op 3 augustus 2011 15:36]

Maar er is toch nog geen migratie garantie voor die cloud zooi?
Dus toe komstig gezien kan je altijd de pineut zijn. Volgens mij is cloud computing niet goed in het scheiden van code en data. Waardoor het eigenlijk Bad-practice is.
Ligt er aan, in veel gevallen kan je de data gewoon exporteren. Vaak is het zelfs zo dat je geen app huurt, maar een virtuele instance waar je dan weer je eigen app op kan draaien en die relatief simpel weer ergens anders naartoe kan verhuizen.
Dit kan je toch contractueel vast leggen? Het is volgens mij gewoon mogelijk om een clausule op te nemen dat de huidige voorwaarden (zoals de garantie dat het nationaal blijft) mee genomen worden met de lopende contracten bij een eventuele overname
'helaas meneer, tot ons ongenoegen moeten wij u mededelen dat uw contract ons pas onder ogen is gekomen nadat de USA..'

Nja, de rest kun je zelf verzinnen. Contract of niet, dan liggen je gegevens toch al op straat.
"We zijn nu niet in staat om een Amerikaanse aanbieder van clouddiensten te gebruiken, zelfs niet als de data in een Europees datacenter wordt opgeslagen."

Belachelijk. Ik zou liever zien dat alle banden met Amerika werden verbroken, als onze Europese wetten niet kunnen bepalen wat er in Europa mag en niet mag.
als onze Europese wetten niet kunnen bepalen wat er in Europa mag en niet mag.
Die Europese wetten gaan wel degelijk op.
Het doorgeven van data aan de US overheid kan dan ook gewoon strafbaar zijn in Europa en de organisaties en personen die dat doen kunnen vervolgd worden.

Een methode bijvoorbeeld voor amerikaanse bedrijven om dit te voorkomen is door speciale datacentrums in te richten met alleen maar europese medewerkers op hun datacentrums te laten werken en deze keurig naar de europese wetten te instrueren.
Deze medewerkers zijn wettelijk gebonden om niet mee te werken aan dergelijk verzoeken voortvloeiend uit de patriot act omdat zij zich wel degelijk aan de europese wetten moeten houden.

Effectief kan dus een europees datacentrum met europese medewerkers gewoon weigeren om aan eisen uit de VS te voldoen ook al komen die eisen uit het hoofdkantoor van dat bedrijf. Sterker nog, dat zouden zij wettelijk zelfs moeten.

Het wordt pas lastig als het datyacentrum verbonden is met andere in de VS en er remote gewerk kan worden. Maar dat lijkt me wel te voorkomen.
[...]
Effectief kan dus een europees datacentrum met europese medewerkers gewoon weigeren om aan eisen uit de VS te voldoen ook al komen die eisen uit het hoofdkantoor van dat bedrijf.
Leuke theorie. Praktijk is dat als de VS b.v. een boycot uitvaardigen tegen b.v. Iran, er amper een Nederlands bedrijf is dat nog aan Iran levert.

Dus reken er maar gewoon op dat die data vanuit de EU naar de VS gaat. Helemaal vanuit een VS-schoothondje-land als Nederland.
Firewall er tussen met een dummy computer misschien? normaal zou ik zeggen: If you don't want that hackers gain access to your stuff, then think as a hacker to prevent them from doing that.
Het wordt pas lastig als het datyacentrum verbonden is met andere in de VS en er remote gewerk kan worden. Maar dat lijkt me wel te voorkomen.
Dat zou wel mooi zijn maar is het ook haalbaar? Zelf denk ik dat het niet uitmaakt of dat gebeurt ja of nee. Krijgen zij geen toegang i.v.m Europese regels dan hacken ze wel. Misschien moet tante Kroes maar een agenda punt hiervan maken.
Dag blockbusters, dag cod, dag mw, dag wow, dag ms, dag iphone, dag android, dag xbox, dag etc. Dan moeten we toch wel van veel leuks afscheid gaan nemen...
nee, dan ga je 2 volledig gescheiden markten krijgen..

zowiezo is het van de zotte dat een amerikaans bedrijf op europees grondgebied zich aan de amerikaanse wetten moet houden, je zit op andermans grondgebied, waar dus ook andere wetten en regels gelden..

[Reactie gewijzigd door mschol op 3 augustus 2011 16:00]

Wij doen dat net zo hard. Als je als Nederlander naar Thailand gaat moet je je ook houden aan de Nederlandse wetten mbt minimum leeftijd voor sex.
Ik vind het sowiezo van de zotte dat Amerika zich aan hun eigen regels houden zelfs als het bedrijf in andere landen gevestigd is. het is idd wat mschol zegt. zit je in een ander land dan moet je ook je aan de regels houden van dat land. Als ik zou kiezen voor een cloud oplossing dan zou ik een bedrijf zou zoeken in Duitsland.

Als Privacy een gevoelig onderwerp is voor een project/bedrijf en het is inderdaad gezegd dat de Duitsers een beetje door gedraaid zijn met betrekking tot de privacy, dan zou ik zeggen doen. Beter teveel security en privacy dan helemaal "niks" doordat die idioten in Amerika dan aankomen zetten met die verschrikkelijke Patriot Act.

Hou even rekening mee dat die Patriot Act opgezet is door George W. Bush jr. en dat we in preciepe alle rotzooi door hem gekregen hebben met die wet...

Zelf denk ik dat cloud computing meer en verder ontwikkeld moet worden omdat het nog in de kinderschoenen staat. hoe zit het met de beveiliging? Hoe zit het met diefstal van data welke encryptie gaat er over de lijn als je gebruik maakt van cloud computing. Zolang daar over niks bekend is ga ik het niet gebruiken en blijf ik bij het opslaan van de data binnen de muren van het pand.
Dag blockbusters, dag cod, dag mw, dag wow, dag ms, dag iphone, dag android, dag xbox, dag etc. Dan moeten we toch wel van veel leuks afscheid gaan nemen...
android niet.. die wordt gewoon lekker geport :p
Krijgen we gewoon Samsung of HTC die zitten niet in de US en heeft europa gelukkig niks mee te maken :P
En niet te vergeten dag Intel en AMD en Nvidia. Dusss...Hoeveel MHz heeft jouw nieuwe Game PC? En kan 'ie Full HD aan?

Ik ben het wel met je eens dat er wat moet gebeuren met de absurde macht die de VS heeft in andere landen over andermans eigendommen.
Je kunt natuurlijk wel enorme schade clausules afspreken als je data gecompromiteerd wordt door de US overheid.
Dergelijke boetes zijn namelijk wel hier te handhaven.

Overigens kan natuurlijk ook een systeembeheerder hier in je europese datacenter even een paar USB sticks volpompen met jouw data en tegen een leuke vergoeding naar de VS opsturen. Er is nooit een 100% garantie dat je data veilig is zolang er mensen zijn die die data beheren of kunnen inzien.
Vraag dat maar aan de Zwitserse banken die al de nodige diskjes met data uit hun datacentrums hebben zien vertrekken.
Reeel gezien is het risico voor een willekeurig bedrijf dat je eigen personeeel of het personeel van je ICT dienstverlener de data steelt VEEL groter dan het risico dat de US zo maar je data inkijkt.

[Reactie gewijzigd door 80466 op 3 augustus 2011 15:36]

Punt is alleen, dan is de schade al geleden.

De bedrijven kiezen er niet voor de data af te staan, zij worden hiertoe gedwongen door de overheid. En als die data eenmaal in handen is van de overheid, wat voor nut heeft het nog om er een boete achteraan te gooien?
wat voor nut heeft het nog om er een boete achteraan te gooien?
Een Amerikaanse concurrent failliet laten gaan door de torenhoge boetes is ongeveer het enige dat in me op komt.

En daarmee pak je indirect ook de Amerikaanse overheid (een heel klein beetje) doordat die minder belastingen binnen krijgt en er wat extra werklozen rondlopen.
Ik denk dat je ze meer pakt met het feit dat Amerikaanse bedrijven dan veel meer hun best gaan doen om te lobbyen dat die rare regel moet verdwijnen, omdat ze geen internationale zaken kunnen doen, en daardoor geen geld richting de VS laten stromen.

[Reactie gewijzigd door .oisyn op 3 augustus 2011 16:09]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True