Ja, Microsofts SharePoint Online opslag in de cloud in Dublin is wellicht technisch en procedureel safe; safer, professioneler en straffer genormeerd en gecertificeerd dan veel lokale hosting partijen kunnen bieden. En nee, deze opslag kan niet uitsluiten dat Amerikaanse justitie er op basis van de Patriot Act een beroep op zal doen.
Dit is het tweede deel van mijn blogs over SharePoint en cloudopslag. Ik had daarover een prettig gesprek met Hans Bos, National Technology Officer (NTO) bij Microsoft Nederland. “Bij ons weet je altijd waar je data staan” en “Staatsgeheimen bewaar je niet in de cloud”. Twee uitspraken van Hans, die, verwijzend naar de normen en beloftes van Microsofts Office 365 trust Center graag transparantie en nuchterheid wil overbrengen waar het cloudopslag door Microsoft aangaat. Dat is fijn, daarom maar meteen met de deur in huis: mijn klanten – en ik zelf soms ook niet – zien door alle berichtgeving over geheime diensten, Amerikaanse justitie en hun al dan niet vermeende samenwerking met grote op internet opererende bedrijven als Microsoft, Google, Yahoo door de bomen het bos niet. De Patriot Act hype was net een beetje weggeëbd (maar niet vergeten), toen Snowden een wel heel grote kei in de vijver wierp.
De publicaties in The Guardian over de Snowden-onthullingen wekken de indruk dat o.a. Microsoft met die diensten samenwerkt zodat deze diensten zich toegang kunnen verschaffen tot ons handelen via internet. Hans wil voorop stellen dat de hele discussie over de reikwijdte van nationale veiligheidsdiensten wat hem en Microsoft betreft ‘politiek en maatschappelijk’ is. Microsoft heeft daar geen rol in of uitspraak over, aldus Hans. Wel wil Hans zo veel mogelijk transparantie nastreven waar het de internationale werking van justitiële verzoeken aangaat. Dit is een door wetten en overeenkomsten gereguleerd proces.
Dus ja, de VS kan op basis va de Patriot Act aan bedrijven met belangen in de Verenigde Staten data opvragen. Dit geldt onverkort voor de Dublinvestiging van het Microsoft datacenter.
Wanneer rechtshulpverzoeken conform mutual assistance overeenkomsten tussen overheden worden gedaan is er wel sprake van een lokale toetsing. En ook Nederlandse justitie laat zich niet onbetuigd in het zelf indienen van rechtshulp verzoeken.
Hans benadrukt dat dergelijke verzoeken geen blanco volmacht betekenen voor de Verenigde Staten of andere landen maar stuk voor stuk getoetst worden. Hij vindt dat een potentiële klant van een cloud service provider altijd moet vragen naar een beleid hoe die provider handelt bij dergelijke rechtshulpverzoeken.
Hoewel Microsofts Office 365 Trust Center onder ronkende koppen (‘Your privacy matters’, ‘Leadership in transparancy’) overtuigend de technische en procedurele veiligheid van zijn cloudopslag beschrijft, is helderheid over juist deze juridische vraagstukken – die Nederlandse potentiële klanten nu vaak nog weerhoudt van recordmanagement in Office 365 – zo gewenst. Overigens geeft de publicatie – reeds vóór de Snowden-affaire – van zgn. ‘transparancy reports’ wel inzicht in de afhandeling van justitiële verzoeken door Microsoft. Daarbij werd wereldwijd in 2.2% van de 75.378 verzoeken daadwerkelijk inzicht in content verschaft.
Hans stelt dat er zoveel data en documenten in Nederlandse bedrijven en (overheids-)organisaties aanwezig is die niet aan absolute eisen van privacy of (staats-)veiligheid hoeft te voldoen, dat de discussie over de mogelijkheid of de kans van een ingewilligd informatieverzoek door een Amerikaanse overheidsinstantie niet het juiste begin van een afweging voor cloud computing is.
In plaats daarvan zou de organisatie als eerste zich andere vragen moeten stellen: heeft de organisatie een businesscase voor cloudarchivering uitgevoerd of laten uitvoeren? Beschikt de organisatie over alle informatie om die businesscase te kunnen maken? Heeft de organisatie een informatiebeleid dat helderheid geeft over de waarde en gevoeligheid van alle soorten informatie? Is de huidige opslag van informatie wel zo veilig? Heeft de organisatie zicht op de risico’s die ze loopt, die ze kan en maximaal wil lopen bij de opslag van verschillende soorten informatie? Dus altijd eerst de drieslag businesscase/informatiebeleid/risicomanagement bezien voordat cloudopslag in SharePoint Online categorisch wordt afgewezen.
Ik vind de Snowden-onthullingen in The Guardian schokkend. Of misschien is het schokkender dat we als consumenten allemaal zo aan onze ‘gratis’ internetdiensten verslingerd zijn geraakt, dat we er niet over zouden denken om uit weerzin of protest ons Facebook-, Yahoo- of G-mail-account op te heffen.
De legale internationale rechtshulpverzoeken vormen een transparanter proces. De echte risico’s van recordsmanagement zullen niet zitten in een internationaal informatieverzoek. Die zitten in dagelijkse zorgvuldige vastlegging van informatie en documenten. En daar is voor bedrijven en instellingen, voorlopig, echt meer te winnen dan het buiten de deur houden van justitie of geheime diensten van welk land dan ook.
Erg goed bericht! Bedankt voor het delen. Zelf merk ik dat veel mensen direct schermen met “Cloud/Office365. Liever niet met die patriot act kunnen ze zo bij onze data. En hoe veilig is veilig?” Vandaar ook mooi de aanvulling vanuit jou artikel “de drieslag”