Cloudopslag vereist nieuwe wetgeving

13-02-2013 09:52 | Door Sander Hulsman | Er zijn 12 reacties op dit artikel | Permalink

Cloud computing stelt de opsporing en vervolging van misdaad voor uitdagingen, is de conclusie van een onderzoeksrapport van het Tilburg Institute for Law, Technology, and Society (TILT). Het onderzoek vond plaats in opdracht van het Ministerie van Veiligheid en Justitie. In cloud computing wordt gegevensopslag en dataverwerking uitbesteed, vaak aan buitenlandse partijen. Het is daarbij vaak moeilijk te bepalen waar gegevens precies liggen opgeslagen. De wetgever en beleidsmakers zullen daar snel op moeten inspelen.

Dataopslag in de cloud is verdeeld over verschillende locaties en is dynamisch. Het ‘verlies van locatie’ vormt een fundamentele uitdaging voor de territoriaal georiënteerde strafvordering. De problemen die dat creëert voor opsporing zijn op zich niet nieuw, maar krijgen wel een nieuwe dimensie door de fundamentele verschuiving die ontstaat wanneer burgers en bedrijven grootschalig data in de cloud plaatsen.

Onderscheid vervaagt

De wetgever moet zich bezinnen op de systematiek van het strafrecht in relatie tot internetaanbieders. De aanbieders van clouddiensten vallen niet naadloos in het bestaande begrippenkader van communicatie- en telecommunicatieaanbieders. Ook vervaagt het onderscheid dat de wet maakt tussen stromende en opgeslagen gegevens.

Voor het beleid liggen er uitdagingen om een barrièremodel te ontwikkelen voor cloudgerelateerde criminaliteit, de beveiliging van cloud computing te stimuleren en om een strategie te ontwikkelen voor het omgaan met het ‘verlies van locatie’. Naast investeren in samenwerking met buitenlandse overheden en cloudaanbieders, vraagt cloud computing ook om een herbezinning op wat soevereiniteit betekent in een netwerkende samenleving.

In de wolken

De praktijk zal beter moeten leren omgaan met computerdoorzoekingen en internettaps in een tijdperk waarin gegevens niet meer op de harde schijf maar ‘in de wolken’ liggen opgeslagen. Dat vergt kennis, expertise en investeringen in het soepel laten verlopen van rechtshulp met andere landen.

Het rapport concludeert dat cloud computing vooralsnog meer knelpunten dan kansen oplevert voor de opsporing en vervolging van strafbare feiten. Als wetgeving, beleid en praktijk echter een nieuwe, systematische en uitgebalanceerde regeling en praktijk ontwerpen voor opsporing in de wolken, kan volgens TILT van deze nood alsnog een deugd worden gemaakt.

Reacties op dit artikel
De redactie vindt deze reactie: OKSunny, 13-02-2013 12:29
Leuk die cloud, maar niet mijn ding. Ik wil precies weten wie mijn gegevens beheerd. Liefst opslag met eigen servers of uitbesteed aan een partij met een duidelijke verantwoordelijkheid. Dat schuiven met gegevens vind ik heel gevaarlijk.
De redactie vindt deze reactie: MatigKarel, 13-02-2013 12:52
No danger! Buy you self an Mac(Apple), and your problem is solved on a legal way.
De redactie vindt deze reactie: OKCor Kroon, 13-02-2013 12:56
Dat ligt er helemaal aan. Als ik een duidelijke afspraak heb met mijn leverancier over beschikbaarheid en locaties van opslag dan heb ik geen probleem en ben ik compliant met de aan mij gestelde eisen.
 
Een denkfout die vaak gemaakt wordt is dat Cloud Computing betekent dat je nergens meer controle over hebt. In de praktijk heb je gewoon een leverancier die binnen vastgestelde kaders een dienst aanbiedt. Met veel leveranciers vallen zelfs op maat afspraken te maken over de exacte voorwaarden.
 
Ook bij een eigen datacenter heb je vaak fail-over recovery waarbij je als eindgebruiker niet kunt zeggen of je data vanuit datacenter 1 or datacenter 2 wordt opgeleverd maar waarbij je wel weet dat het uit een vaste reeks locaties komt.
De redactie vindt deze reactie: OKGuus, 13-02-2013 14:09
Uiteindelijk staat data altijd opgeslagen op een of andere fysieke drager. Probleem is alleen dat we niet meer weten waar die drager ergens staat/ligt, wie daar nog meer toegang toe heeft, hoeveel kopieen ervan gemaakt zijn, hoe lang en voor welk doel ze bewaard worden etc..
 
En zolang cloud storage tegen dumpprijzen wordt aangeboden moeten we onze ogen er niet voor sluiten dat er dus op andere manieren geld verdient zal worden. En ook moeten we ons afvragen wat ermee gebeurd als de aanbieder verder onder druk komt te staan en het zakelijk niet zo'n succes blijkt te zijn als erder verwacht. Hoe buigbaar worden de gemaakte afspraken over privacy e.d. dan? En wie controleert dat?
 
Naar mijn mening leven we nog steeds in de wereld van Wensdenken 3.0
We willen allemaal zo graag dat het waar is. Dat we al dat moois voor bijna niks krijgen aangeboden. Dat de leverancier er altijd zal zijn en zich netjes an de gemaakte afspraken zal houden.
Maar uit welke hoek komen tot op heden al die beloften, adviezen en voorspellingen? Louter en alleen uit de hoek van partijen die er zelfs rechtstreeks belang bij hebben dat het een succes wordt.
En als we onze hele ziel en zaligheid (lees data en programmatuur) hebben overgeleverd aan deze partijen en daarmee volledig afhankelijk zijn geworden, bij wie moeten we dan zijn als het ineens niet meer zo aantrekkelijk is?
Bij mijn laatste pakketselectie was er ook een cloud aanbieder.
Deze bleek uiteindelijk 2x zo duur als een traditioneel Windows client/server pakket van eigen bodem. 6 maanden later werd de stekker uit het project getrokken omdat het resultaat de investeerders tegen viel. Ik moet er niet aan denken dat betreffende organisatie voor die oplossing had gekozen en na een langdurig migratietraject weer van voren af aan had kunnen beginnen....
De redactie vindt deze reactie: OKHenri Koppen, 13-02-2013 15:32
Sunny ik respecteer je gevoelens, maar ik respecteer een onderbouwing nog meer.
 
Waarom vind je dat schuiven met gegevens heel gevaarlijk? Hoe uit zich dat dan? Heb je het onderzocht? Of is het vooral eng omdat je het niet kent?
 
Bij mij heeft de cloud namelijk precies het tegenovergestelde. Ik voel me pas gerust als ik het in de cloud (redundant) heb opgeslagen, dan hoef ik niet meer bang te zijn voor kapotte computers en diefstal van mijn laptop en heb ik bovendien mijn data altijd bij de hand vanaf elk apparaat wat ik heb.
De redactie vindt deze reactie: OKOskar Hendriks, 13-02-2013 23:13
@Sunny, wie jou gegevens beheert is 1 ding, onder welke landspecifieke regelgeving is een ander ding. Daarmee kan het maar zo zijn dat de eigenaar van de server(s) automatisch (mede-)eigenaar zijn van jou data en daarmee vogelvrij is te doen wat hij/zij daarmee wil.
 
@Karel, als je niks zinnigs te melden hebt.....
 
@cor kroon, of het juridisch allemaal in kannen en kruiken is is nog maar de vraag. Verder lijkt het mij verstandig dat er in elk geval ook duidelijk afspraken komen bij overname van de leverancier en verhuizing van de data over de grens.
 
@guus, in het kort proef ik uit jou verhaal dat de mens geneigd is te kiezen voor de goedkoopste oplossing om de eigen verantwoording te outsourcen? Als dat zo is, ben ik bang je gelijk te moeten geven.
 
@henri koppen, gevoelige en crusiale bedrijfs informatie op laptops en het niet hebben van redundante data in de vorm van backups is eigen verantwoordelijkheid. Natuurlijk kun je voor goed serverbeheer en recovery scenario's kiezen, maar de randvoorwaarden en een redelijke vergoeding zijn bij die beslissingen van essentieel belang, maar naar blijkt in de praktijk vaak van ondergeschikt belang en beinvloed door advisering en sturing van belanghebbende partijen. Verder lees de (inter-)nationale doom scenario's en jurisprudentie er eens op na, onderzoeken en waarschuwingen zijn er inmiddels voldoende geweest. Het gaat bij cloud allang niet meer over "onbekend maakt ongeliefd".
 
Mijn vingers jeuken inmiddels al jaren om een adviesburo te starten. Over het algemeen is het ook bij een 'goede' cloud zo geregeld dat documenten over verschillende servers zijn verdeeld en niet zo maar te verhuizen/verplaatsen/vergaren zijn.
De redactie vindt deze reactie: OKPaVaKe, 14-02-2013 1:29
@Henri
 
Maar is dit alles niet afhankelijk van het soort data wat je opgeslagen hebt in de cloud?
 
Om maar even wat uitersten te nemen: het maakt denk ik nogal verschil of we het hier hebben over wat vakantiefoto's of algoritmes waarmee je zelfs bij 300 km/u nog scherpe foto's kunt maken van snelheidsovertreders....
 
Als sportclub heb ik ook onze huisstijl, boekhouding etc. gedeeld via de cloud met mijn mede bestuursleden. Werkt als een tierelier, en als een ander (op wat voor manier dan ook) kan lezen is er geen man overboord.
 
Hoe anders zou dat zijn met de financiële resultaten van het beursgenoteerde bedrijf waar ik in voor werk ...
De redactie vindt deze reactie: OKSjoerd, 14-02-2013 8:51
Hoe lastig kan het zijn om wettelijk verplicht alle data voor in de cloud aan de client kant te encrypten? Je loopt dan wel tegen de technische beperking aan van indexering op basis van inhoud en zoeken wordt wat trager maar het is wel een goede manier om ervoor te zorgen dat alleen gebruikers de inhoud kunnen inzien.
 
Vertrouwen is goed, encryptie is beter.
De redactie vindt deze reactie: OKallesbasje, 14-02-2013 9:10
Zoals ik het lees gaat dit niet om "onze" data die niet veilig staat omdat anderen er mogelijk bij kunnen, maar gaat het juist over bewijsmateriaal voor Justitie. Wie kan Justitie bijvoorbeeld verantwoordelijk stellen voor bepaalde data die in de cloud staat.
De redactie vindt deze reactie: OKNumoQuest, 14-02-2013 11:22
Al vanaf het begin van het 'cloud' verhaal ben ik redelijk conservatief, en op momenten, achterdochtig geweest en gebleven. De dooddoener dat het een duidelijke toegevoegde waarde zou hebben, dat het goedkoper zou zijn, naadloos/moeiteloos zou passen in om het even welke IT strategie, dat is nu steeds duidelijker niet zo.
 
Zoals ik al eerder aangaf is de enige besparing die je zou kunnen aanmerken als een besparing dat je met iets minder FTE toe kan, overigens, het is telkens het FTE verhaal wat de grootste boosdoener is van de budget overschrijdingen in meer dan 90% van de gevallen.
 
Terug naar cloud. Eén groot voorbeeld heb ik meermaals gegeven. Op mijn eenvoudige vraag of ik de garantie krijg dat niets van mijn data op servers komt te staan van zg GEC's, ik moest telkens weer uitleggen wat GEC's ook alweer waren, kreeg ik die garantie niet. In andere woorden; ik kan in de VS juridisch worden opgehangen als men daar weet dat mijn data onverhoopt op servers staan van landen zoals Pakistan, Iran, Irak, Oesbekisthan, en andere landen die nog steeds op de grote zwarte lijst staan. Men kan zelfs besluiten tot vervolging over te gaan als ik niet weet dat mijn data daar onverhoopt zou worden ontdekt.
 
Een andere dan maar. Wie is wanneer en waar verantwoordelijk voor de back up van data en wie spreek ik aan voor de restore hiervan. Ik heb al verschillende concepten onder ogen gehad waarin in de kleine lettertjes was opgenomen dat er sprake kon zijn van 'beperkte aansprakelijkheid', vooral daar waar het data was op servers van derde gestald. Immers, die clubs zijn volkomen verantwoordelijk voor de back up en restore van....
 
Recentelijk heb ik meegedaan aan een pilot om mijn mail in de cloud te zetten. Het was gratis dus wat kon me gebeuren? Dat kan ik u vertellen. Ik ben blij dat ik erg omslachtig redundant bezig ben gebleven. Momenteel is men al acht dagen bezig met het restore van mijn mail bestanden. Gelukkig heb ik mijn mail historie maar niet aan de cloud toevertrouwd.
 
Nu komt men eindelijk eens aan het kopje toe ... Cloudopslag evreist nieuwe wetgeving. Niemand geeft hier dan ook een duidelijke aanzet hoe die nieuwe wetgeving er dan uit zou moeten komen te zien. Als we kijken naar het Amerikaanse model? Die eisen namelijk dat alle data gestored op 'Amerikaanse' servers, integraal beschikbaar moet zijn voor security diensten van de VS die zonder tussenkomst van enige rechter, onverkort toegang moet kunnen hebben tot die data. Lees hier ook even bits en pieces en encrypted data. Veel hiervan vervat ondermeer in de Home Security Act.
 
Pavake geeft aan wat ik in den beginnen al geconcludeerde. Zeer 'gevoelige' corporate data moet je niet in de cloud willen, soms nog niet eens in een data center maar gewoon in eigen huis. Het zijn namelijk niet de kosten die dat met zich mee brangt maar de absolute duidelijkheid en zekerheid dat derden moeilijk tot niet toegang hebben tot die data.
 
Kortom, cloud, leuke hype maar intussen wel een beetje doorgezaagd.
De redactie vindt deze reactie: OKHenri Koppen, 16-02-2013 8:36
Waarom zou je in de cloud willen? Alleen als dit bepaalde voordelen biedt, dat is uiteraard het uitgangspunt. Je wilt alleen naar de cloud als de voordelen groter zijn dan de nadelen en er geen show-stoppers zijn.
 
@PaVaKe: Uiteraard, als je aan een patent werkt wil je deze data beschermen Maar dat geldt ook intern!! Zeer veel bedrijven slaan gegevens zelf niet versleuteld op. In principe zijn er dus meerdere bedrijven en beheerders die daar bij kunnen. Elke computer met aansluiting op het internet is een bedreiging. Dit is gewoon governance over hoe je met bepaalde data omgaat en dat kan prima in de cloud.
 
@NumoQuest: Leuk die ****pilot**** ofwel een POC met gebruikers. Dat is iets anders dan een betaalde mailservice zoals Google met een *extreem* goed trackrecord op dit gebied. Daarnaast dien je altijd voor belangrijke informatie een backup-restore mogelijkheid te hebben, ook voor cloud producten, dit is niet anders dan on-premise.
 
Het is ook een misvatting dat je nooit weet waar je data staat als je iets met de cloud doet. In veel gevallen (waar je dat wilt) weet je precies in welke datacenter je data staat. Uiteraard weet je dit niet bij Facebook.
 
On-premise of in de cloud hebben beiden sterke kanten en zwakke kanten, met mijn ervaring zie ik geen toekomst met on-premise, het wordt niche en alleen in bepaalde gevallen behouden, net als dat er nu ook nog mainframes zijn die in bepaalde gevallen gerechtvaardigd zijn.
 
Infrastructuur wordt een commodity.
Big data wordt een commodity (ik zeg kijk eens naar Redshift).
 
Laten we ons concentreren op ons werk en wat van waarde is en al het niet noodzakelijke als commodity zien. Net als dat we geld bij de bank zetten, electriciteit uit het stopcontact halen, pakketjes laten bezorgen, et cetera.
 
Het is allemaal niet zwart-wit.
De redactie vindt deze reactie: OKPascal, 17-02-2013 14:07
Leuk artikel, ook leuke maar voorspelbare reacties.
Ik kan mij helemaal vinden in de eenvoudige maar zeer heldere onderbouwing van PaVaKe
 
@Henri, je hebt natuurlijk volkomen gelijk waneer je het over versleuteling van gegevens hebt.
De praktijk is echter weerbarstig, we laten usb sticks in huurauto's/taxies liggen, we slaan wachtwoorden op in een password manager, we gebruiken vooringestelde programma's waarin over beveiliging met geen woord gerept wordt, hell we gebruiken MicroSoft Windows waar praten we nog over....
 
Gebruikers (inclusief ikzelf) zijn nu eenmaal niet in staat of geintereseerd zich met veiligheids issues bezig te houden.
Alles staat dus in plain format in de cloud... erg gemakkelijk om een leuk centje bij te verdienen door data te doorzoeken en er dingen mee te doen die speciaal in het belang van de eigenaar is.
Hoeveel Cloud boeren geven niet aan dat zij van mening zijn dat 'zij' eigennaar van die data zijn (eens kijken of ze dat ook vinden als je die cloud volstopt met illegale of ranzige meuk)
 
Feit is... zolang er niet tav 'de cloud' een uniforme internationale wetgeving is, zijn je gevens nergens veilig voor derden.
 

Wat is beter: MS Office of Google Apps?

Organisaties hebben als het gaat om productiviteitstoepassingen, e-mail en samenwerking – onder de verzamelnaam......

19 vacatures
Netwerk- Systeembeheer

Wazda-IT Solutions , Goor

Managed Services Engineer m/v / systeembeheerder

PK Automatisering , Assen

Senior Systeembeheerder

ORTEC bv , Zoetermeer

Senior systeembeheerder

Openbare Bibliotheek Amsterdam , Amsterdam

Junior Projectleider ICT

Grant Thornton , Alphen aan den Rijn

Top 10 Reagerende members
  Aantal reacties
met 3+ sterren
Gemiddelde
waardering
Klik voor meer info1 1563 6.2
Klik voor meer info2 1299 6.0
Klik voor meer info3 1266 6.2
Klik voor meer info4 1069 6.2
Klik voor meer info5 976 6.1
Klik voor meer info6 901 6.1
Klik voor meer info7 755 6.2
Klik voor meer info8 521 6.1
Klik voor meer info9 397 6.0
Klik voor meer info10 391 6.2