REGAS naar AWS; hoe zit het met de dataprivacy?

6 min. lezen

AWS, Azure en Google Cloud. Ook wel de ‘public cloud’ genoemd. Een term die we de afgelopen jaren steeds vaker horen, maar wat is het eigenlijk, waarom kiezen we hiervoor en hoe zit het met privacy en security?

Cloud computing

Cloud computing bestaat uit drie varianten; private, public en hybrid.

De private cloud kan worden vertaald als een infrastructuur die wordt geleverd exclusief voor één specifieke organisatie. Het kan bezit zijn van, beheerd en ondersteund worden door de organisatie zelf, een derde partij of een combinatie hiervan.  De public cloud verwijst naar leveranciers zoals Amazon Web Services (AWS), die de infrastructuur in de vorm van diensten aanbieden. Men 'huurt' als het ware servers bij die organisaties, ook wel cloud providers genoemd.

AWS public cloud

Public cloud is een ‘shared responsibility’. Dit betekent in ons geval dat Amazon verantwoordelijk is voor de security van de cloud infrastructuur en wij op onze beurt weer verantwoordelijk zijn voor de security in die cloud infrastructuur. Het operating system, de applicaties en de data die in de public cloud draaien zijn en blijven onze eigen verantwoordelijkheid.

AWS geeft ons eigenaarschap en controle over onze data aan de hand van eenvoudige en krachtige tools waarmee we in staat zijn te bepalen waar de data is opgeslagen, hoe de data is beveiligd en de wijze waarop we de services en middelen inzetten voor onze klanten. AWS biedt bovendien zeer goede mogelijkheden om ongeautoriseerde toegang of ontsluiting van data te voorkomen.

Een aantal voordelen op een rij:

  • Redundantie: bij uitval van een server, service of zelfs datacenter wordt dit direct automatisch hersteld of opgevangen door een back-up entiteit.
  • Geen onderhoud: Amazon zorgt grotendeels voor het onderhoud aan onze infrastructuur (managed services), dus wij kunnen ons volledig richten op onze software.
  • Bijna onbeperkte schaalbaarheid: er zijn op aanvraag resources beschikbaar om aan onze behoeften te voldoen.
  • Hoge betrouwbaarheid: een krachtig en stabiel platform met een groot netwerk van servers die ervoor zorgen dat er op infrastructureel vlak geen storingen optreden.
  • Hoge securitystandaarden: zoals encryptie op alle datalagen.

 

Compliancy

AWS voldoet aan ISO 27018, een gedragscode die zich richt op de bescherming van persoonlijke gegevens in de cloud. Het is gebaseerd op ISO-informatiebeveiligingsstandaard 27002 en biedt implementatiebegeleiding over ISO 27002-controls die van toepassing zijn op persoonlijk identificeerbare informatie (PII) verwerkt door openbare cloudserviceproviders 

Wij hebben een contract gesloten met de Europese vestiging van Amazon (Luxemburg) en onze data staat in de Amazon datacenters in Frankfurt (Duitsland) en Dublin (Ierland), beide binnen de EER.

Privacy

Privacy staat hoog op de prioriteitenlijst van Amazon. Zij eisen van overheden en andere regelgevende instanties een correcte naleving van processen om beroep te mogen doen op vorderingen van persoonsgegevens. Ieder verzoek wordt zorgvuldig beoordeeld en er wordt bezwaar gemaakt tegen onjuiste verzoeken. Amazon zal haar klanten waarschuwen alvorens eventuele gegevens te overhandigen. Amazon adviseert al haar klanten dan ook om encryptie toe te passen en haar eigen sleutels te beheren. Voor ons betekent dit dat er in geen enkel geval persoonsgegevens leesbaar overgedragen kunnen worden zonder actief handelen van regas. 

Amazon houdt voortdurend toezicht op de continue in beweging zijnde privacy regel- en wetgeving om te kunnen anticiperen op wijzigingen waarbij er aanpassingen nodig zijn om te voldoen aan onze nalevingsbehoeften en die van onze klanten. [1]

Dat de public cloud niet meer iets is om bang voor te zijn heeft De Nederlandse Bank jaren geleden al bewezen. DNB heeft in 2013 al toestemming gegeven aan alle Nederlandse banken en verzekeringsmaatschappijen om hun diensten vanuit AWS aan te bieden. Voorbeelden van bedrijven die hun diensten vanuit AWS aanbieden zijn Nationale Nederlanden, bunq en ING.

EU-VS Privacy Shield

Het EU-VS Privacy Shield heeft geen impact op AWS-klanten. Wij hebben volledige controle over de verplaatsing van onze data en hebben altijd de keuze in welke regio onze data wordt bewaard. Wij kiezen zelf de AWS-regio waar onze data wordt opgeslagen en kunnen er zeker van zijn dat onze data daar blijft tenzij ze door onszelf worden verplaatst. [2]

GDPR

Amazon is GDPR compliant en biedt daarmee op een hoop onderdelen configuraties en hoge (security) standaarden, bijvoorbeeld op het gebied van encryptie, monitoring en logging.

Cloud act

De Cloud act is sinds maart 2018 de verplichting voor Amerikaanse providers om data van betrokkenen af te staan, waar ook ter wereld gelokaliseerd. Doel van de regeling is om sneller en gemakkelijker toegang te krijgen tot data, ter bestrijding van criminaliteit en terrorisme.

Kort samengevat houdt dit in dat Amerikaanse opsporings- en veiligheidsdiensten persoonsgegevens kunnen vorderen via Amerikaanse providers van elektronische communicatiediensten, ongeacht waar ter wereld de servers zich bevinden.

Natuurlijk gelden hiervoor wel strenge voorwaarden en is het niet zo dat er een gehele database gevorderd wordt, want de vordering moet zich richten op een specifiek individu.

De provider heeft ook middelen om eventueel bezwaar te maken tegen een vordering. Bijvoorbeeld als de provider van mening is dat de persoon waarover het verzoek gaat niet een onderdaan is van de Verenigde Staten of zich bevindt in de Verenigde Staten.

Door de komst van de Cloud act, kan het voldoen aan een vordering vanuit deze wetgeving tot gevolg hebben dat er wordt gehandeld in strijd met de Europese privacywetgeving (GDPR). In dat geval loopt de provider risico op het ontvangen van een hoge boete. Omgekeerd riskeren ze eenzelfde probleem.

Hoe Europa omgaat met deze nieuwe wet is nog afwachten. Het is waarschijnlijk dat er nieuwe afspraken, verdragen en/of maatregelen zullen volgen tussen de EU en Amerika.

Wat kan en gaat regas doen? Alle vormen van data ontsluiting encrypten. Zorgen dat alles van database tot aan de data versleuteld is en niemand onze sleutel in handen krijgt. Op deze manier kan Amazon ‘gerust’ data afgeven, echter zal deze onleesbaar zijn. Amerikaanse diensten zullen met lege handen staan, want vervolgens een beroep doen op ons is zinloos. Wij zijn immers geen Amerikaanse provider en vallen daarmee buiten de Cloud act.