Voor wie het nog niet wist: de cloud, dat zijn gigantische servers waarop de software en de gegevens van vele gebruikers staan. Service en onderhoud verzorgt de cloudleverancier. Kantoren die alles lokaal bewaren, huiveren wellicht om de overstap te maken, al zitten zelfs de lokale ordes sinds dit jaar in de cloud. Om goed over te gaan, dient u zich er grondig in te verdiepen, want zeker in het licht van de nieuwe Algemene Verordening Gegevensbescherming geldt: je moet kunnen verantwoorden wat er met je gegevens gebeurt.
Fort Knox
Het lijkt minder veilig om je hele hebben en houden bij een ander op te slaan, maar volgens Joost Linnemann, IT-advocaat bij Kennedy Van der Laan, hangt dat er maar vanaf. ‘Als je op kantoor een Fort Knox hebt, geeft dat minder risico. Maar het gemiddelde advocatenkantoor heeft de kennis noch de financiële draagkracht om de beveiliging op zo’n hoog niveau te brengen en te houden. Dan is het een verbetering om de opslag te laten verzorgen door een partij die volledig is ingericht op die security.’
De cloud biedt nog andere voordelen: minder onderhoud dus minder IT-personeel, nooit meer achter met software-updates. En je kunt werken vanaf elke gewenste locatie, zolang er maar internet is.
Dat laatste voordeel verandert in een nadeel als het internet eruit ligt: als je volledig in de cloud zit, kun je dan zelfs niet meer bij je eigen documenten. Mogelijk is de cloud ook duurder – je moet als advocaat een stevig beveiligingsniveau bereiken, en de stelregel is: hoe veiliger, hoe duurder.
‘Voor een paar tientjes per maand per gebruiker heb je de basisvoorzieningen, zoals e‑mail en opslag van documenten,’ zegt Linnemann. Maar dan begint het scala aan mogelijkheden pas. Je kunt geheel of gedeeltelijk overstappen en je moet beveiligingskeuzes maken. Je hebt de ‘public cloud’, waarbij je als eindgebruiker niet altijd weet waar de gegevens zich precies bevinden. Veiliger is een ‘private cloud’, waarbij de gegevens op een aparte server staan.
Risico van de cloud ligt ook bij de continuïteit. Er zijn veel onderaannemers bij betrokken. Wat als de leverancier zijn verplichtingen tegenover een onderaannemer niet nakomt, of een van beiden failliet gaat? Het gevaar van ‘gijzeling’ ligt op de loer.
Slotje
Veel risico’s zijn af te dekken met een goed contract (zie kader), maar dat is nog geen garantie – de beveiliging staat of valt met de manier waarop de eigen mensen ermee omgaan. Kors Monster van adviesbureau ICTRecht: ‘Het slotje wat je ziet als je e-mailt, betekent alleen dat de gegevens veilig zijn tot aan jouw server. Je moet het hele verkeer versleutelen, dat kan bijvoorbeeld met ZIVVER. Als je maar af en toe vertrouwelijke informatie verstuurt, kun je ervoor kiezen de gevoelige informatie in een bijlage te zetten die je versleutelt. Daar is gratis software voor, bijvoorbeeld IZArc.’ Daarnaast zijn wachtwoorden in de cloud nog belangrijker dan ze al waren. Monster: ‘Kies sterke wachtwoorden, en verander ze regelmatig. Er bestaan digitale kluisjes die de wachtwoorden voor je bewaren en die op elke plek het juiste wachtwoord invullen, zodat je ze niet hoeft te onthouden. Want als het te ingewikkeld wordt, gaan mensen eromheen werken. Laat je wachtwoord niet online onthouden door bijvoorbeeld Google Chrome – daar zit wel beveiliging op, maar is die voldoende? Gissen is niet genoeg, je bent eindverantwoordelijk voor je eigen gegevens.’
Verder is het volgens Monster het beste om een tweede identificatiefactor in te voeren, waarbij je bijvoorbeeld een sms’je met in te voeren code ontvangt.
Een passend pakket
Moet nou werkelijk iedereen het wiel zelf uitvinden? Kors Monster: ‘Het zou natuurlijk mooi zijn als er een passend cloud-pakket was voor alle advocaten. Je ziet nu al meer specifieke gedragscodes van brancheorganisaties, en binnen nu en vijf jaar verwacht ik dat er ook gecertificeerde bedrijven zullen zijn.’
De Nederlandsche Bank heeft al overeenstemming bereikt met leveranciers, zodat niet elke bank afzonderlijk hoeft na te gaan of leveranciers aan de eisen voldoen, vertelt Joost Linnemann. ‘De orde zou een checklist kunnen maken waarvan een leverancier kan zeggen: daaraan voldoe ik. Misschien zou het goed zijn een adviescommissie in te stellen van pragmatische mensen – IT-advocaten en beveiligingsdeskundigen – die concreet kunnen maken: als je het zo doet, doe je het netjes. Je moet ook niet vergeten dat er in de predigitale wereld risico’s waren. Met een gewone handtekening kun je sjoemelen, maar voor de digitale handtekening zijn de eisen hemelhoog.’
Checklist
Waar moet u op letten als u in de cloud gaat?
- Controleer de betrouwbaarheid van leverancier en onderaannemers.
- Behoud de zeggenschap over uw data.
- Beding een beschikbaarheidsgarantie (99,5 tot 99,99% is normaal).
- Maak leverancier en onderaannemers bewust van uw geheimhoudingsplicht.
- Breng risico’s in kaart (zoals verlies van gegevens) en regel de aansprakelijkheid.
- Maak afdoende afspraken over beveiliging (versleutelde verzending, toegang traceerbaar, alleen geautoriseerde medewerkers).
- Privacy: zorg voor een goede bewerkersovereenkomst.
- Spreek af hoe u kunt controleren hoe met uw gegevens wordt omgegaan (audit).
- Regel wanneer onderhoud mag plaatsvinden.
- Maak afspraken over het verhelpen van storingen, inclusief termijnen.
- Zorg voor regelmatige back-ups.
- Beding dat u bij afscheid uw gegevens leesbaar terugkrijgt, en dat de leverancier meewerkt aan migratie.
- Waarborg de continuïteit bij bijvoorbeeld faillissement en storingen (back‑ups bij een andere partij).
- Check waar uw gegevens naar toe (kunnen) gaan – persoonsgegevens mogen niet zomaar worden doorgegeven buiten de EER.
Dit praktijkverhaal is ook verschenen in het Advocatenblad van december 2017. De hele editie is hier te lezen.