Vragen rond opslag in de cloud zijn nog steeds prangend, onder andere door de uitspraak in de Schrems-zaak. Wat moeten advocaten weten van hun cloudprovider?
Of ze even 2.500 dollar in bitcoins wilden betalen. Dan zou een advocatenkantoor in Florida weer toegang tot de bestanden krijgen. Een ingeschakelde techneut bevestigde: betalen of je bent alles kwijt. Dus maakte het kantoor het losgeld over en verhoogde ook maar de beveiliging, meldde ABA Journal in februari. Nu is er een geïsoleerde server die dagelijks wordt geback-upt. Dit soort aanvallen met ransom ware, of zelfs extortion hacks (‘Als je niet betaalt publiceer ik de gehackte gegevens’), waar eind 2015 een advocatenkantoor in Polen mee te maken kreeg, komen steeds meer voor in de juridische wereld. Volgens cybersecurity bureau Mandiant zijn sinds 2011 ten minste tachtig van de honderd grootste Amerikaanse advocatenkantoren gehackt.
Eigen server
Ongeveer de helft van de ondernemers kiest daarom voor een eigen bedrijfsserver, blijkt uit onderzoek van informatiemanager Iron Mountain. Met een eigen server staan alle gegevens veilig ‘thuis’, wat ondernemingen als een voordeel zien. Documentenbeheer kunnen advocaten zo in eigen hand houden. Maar daar staat tegenover dat er ook meer werk aan kleeft. Server down, de beveiliging en vooral ook alle updates meteen installeren voordat hackers het gat vinden: dat moet het bedrijf zelf regelen. Onderhoud vraagt om een groot verantwoordelijkheidsgevoel én een grote portemonnee.
Uit kostenoverwegingen en vanwege de schaalbaarheid kiest meer dan de helft van de ondernemers inmiddels voor de cloud. Gegevens en software staan dan op afstand in een datacenter en worden via een netwerk – meestal internet – benaderd. De klant heeft de gebruikte hard- en software niet meer in eigendom en de verantwoordelijkheid voor het onderhoud ligt bij de cloudprovider. Voor hackers is de cloud steeds meer een ‘vruchtdragende jackpot van gegevens,’ meldt cloud-beveiliger Alert Logic. Toch menen gebruikers dat een cloudprovider het qua veiligheid wel goed op orde zal hebben. De redenering is dan: één hack en het bedrijf kan de datacenters wel sluiten. Bedrijven lijken de cloud steeds minder eng te vinden.
Bij een keuze voor de cloud zijn er voor advocaten meerdere aandachtspunten. Bij een public cloud deelt de gebruiker over het algemeen de hardware met anderen (denk aan Gmail). De serviceprovider bepaalt dan de voorwaarden. Een private cloud behelst een speciaal opgezette infrastructuur voor de klant. Ook zijn er mengvormen, waarbij een deel van de applicaties in een private cloud draait en andere in de public cloud staan. De termen kennen geen vaste definities, dus waarvan sprake is, moet blijken uit het contract. ‘Werken in een private cloud met bepaalde waarborgen moet voor advocaten mogelijk zijn,’ vindt advocaat Jos van der Wijst van Bogaerts & Groenen Advocaten uit Boxtel. Van der Wijst merkte dat er behoefte was in de Bossche balie aan meer richtlijnen over het gebruik van de cloud. Met hulp van Marianne Korpershoek (Louwers IP|Technology Advocaten, Eindhoven) schreef hij in 2015 voor het lokale Baliebulletin een artikel over cloud computing. Waar moeten advocaten volgens Van der Wijst op letten? ‘Maak goede afspraken over waar de data opgeslagen wordt, wat de beveiliging is, wie bij de gegevens kan en hoe het zit met certificaten en beveiliging. Doe een due diligence naar de provider.’ Dat zijn ook het soort vragen dat dekens stellen bij kantoorbezoeken, bevestigt dekenberaadvoorzitter en deken van Breda-Middelburg Emilie van Empel: ‘We vragen: wat weet je er zelf van? Waar wordt de data bijvoorbeeld bewaard? Wie kan erbij? Dat zijn allemaal vragen die je als advocaat moet kunnen beantwoorden.’
Van der Wijst vertelt dat in zijn arrondissement gekeken wordt om collectief met een bepaalde cloudprovider in zee te gaan. ‘We wachten eerst of de NOvA met aanvullende richtlijnen komt, maar als dat te lang duurt, dan stellen we zelf wel iets op.’ Van der Wijst had tijdens het innovatieplatform van de NOvA in december de vraag gesteld of er richtlijnen van de NOvA voor cloudcomputing gaan komen en verwees naar de richtlijnen van de Engelse Law Society op dit gebied uit 2014. De NOvA komt binnenkort met eigen tips en tricks. Tot die tijd zijn er de richtlijnen van de raad van Europese balies, de CCBE, uit 2012, met aandachtspunten voor advocaten die met een cloudprovider willen contracteren. In de praktijk lijken de CCBE-richtlijnen niet erg te leven. ‘Ik had er nog nooit naar verwezen,’ zegt Emilie van Empel. ‘Maar vanaf nu doe ik dat wel.’
Gedragsrecht
Naast gedragsrechtelijke componenten aan de cloud is er ook nog het algemene privacyaspect. Elk gegeven dat herleidbaar is tot een individu is een persoonsgegeven, denk aan gegevens van contactpersonen in digitale dossiers. Europa hanteert strenge privacyregels en persoonsgegevens mogen niet zomaar geëxporteerd worden buiten de EER. Lang bestonden de VS-EU Safe Harbor principles: een gestroomlijnd proces voor Amerikaanse bedrijven om te voldoen aan de Europese privacyrichtlijn. Het Safe Harbor Verdrag maakte het mogelijk dat bedrijven als Amazon en Microsoft hun clouddiensten konden aanbieden in Europa. En dat ging ook lang goed, totdat Max Schrems een zaak tegen Facebook aanspande. Edward Snowden had onthuld dat de Amerikaanse inlichtingendienst NSA meeleest met de posts van Europeanen; zo’n veilige haven waren de VS dus niet, vond het hof.
Er kwam een EU-VS-Privacyschild om het Safe Harbor Verdrag te vervangen; eind februari werd de tekst van de overeenkomst gepubliceerd. Toezichthouders als de Autoriteit Persoonsgegevens hebben zich nog niet uitgelaten over de afspraken bij het ter perse gaan van dit nummer. Maar experts denken al te weten waar dit heen gaat: de prullenbak. ‘Gatenkaas,’ noemde privacyorganisatie Bits of Freedom de bepalingen. Gegevensuitwisseling met de Verenigde Staten lijkt daarom op dit moment in de meeste gevallen nog niet het beste idee.
Eigen land
Dan maar binnen Europa blijven? Dat is wat de CCBE in elk geval aanraadt in de richtlijnen voor cloudcomputing: kies voor een cloud in eigen land, de EER of daarbuiten, maar dan wel met Europese normen rond privacy en vertrouwelijkheid. Amerikaanse bedrijven als Amazon en Microsoft hebben Europese dochters waar data ligt opgeslagen. Dit zijn Europese bedrijven, de Europese wetgeving geldt: dit is dus veilig? Misschien niet. De Amerikaanse overheid heeft al een tijdje een zaak lopen tegen Microsoft. Hoofdvraag in het geschil: mag de overheid gegevens opeisen bij Europese dochters van het Amerikaanse bedrijf? Ja, zei de rechter in eerste instantie, maar het hoger beroep loopt nog. Als het tot een onherroepelijke uitspraak komt, zijn deze diensten van bedrijven met Amerikaanse moederbedrijven, hoe relatief goedkoop en gemakkelijk ook, mogelijk geen veilig alternatief. ‘Op dit moment adviseer ik: kies maar voor opslag in Nederland, dan heb je de minste problemen,’ zegt dekenberaadvoorzitter Van Empel.
En dan is er nog de meldplicht datalekken die vanaf 1 januari geldt. Bij een ransom of extortion hack, zoals die waar de kantoren in de VS en Polen mee te maken kregen, of andere vormen van datalekken, moet de Autoriteit Persoonsgegevens meteen ingelicht moeten worden. Nog een vraag dus aan de cloudprovider: wat doe je als mijn gegevens gegijzeld worden?
Nathalie Gloudemans-Voogd