Cloud-gebaseerde kantoorsoftware afkomstig uit de VS voldoet niet aan GDPR

5 min lezen
shutterstock_1023017815-1

shutterstock_1023017815-1

Amerika levert naar schatting 80% van alle diensten voor cloud computing ter wereld. En bijna alle populaire cloud-based oplossingen voor e-mail en tekstverwerking komen uit de VS. Dit is een probleem voor Europese organisaties, omdat deze leveranciers niet aan de GDPR voldoen. Dit is de uitkomst van een onderzoek door de Zweedse nationale dienst voor overheidsopdrachten, die rechtstreeks rapporteert aan de Europese OSOR.

De Europese Unie bestaat uit 28 landen en heeft één van de strengste vormen van gegevensbescherming ter wereld. Deze geldt niet alleen voor organisaties die zijn gevestigd in Europa, maar voor iedereen die gevoelige informatie van de inwoners van één van deze 28 landen verwerkt.

Organisaties die deze informatie verwerken moeten voldoen aan de GDPR (ook wel Algemene Verordening Gegevensbescherming of AVG). De richtlijn bevat eisen om de informatie te beveiligen en zorgt ervoor dat data niet buiten de Europese Unie geëxporteerd wordt, behalve naar landen of organisaties waarin een vergelijkbare privacybescherming geldt.

Een Europees rapport over cloud adoption and risk meldt dat 74% van de providers van cloud services die medewerkers van Europese organisaties gebruiken, niet volledig aan deze verordening voldoet. De overige 26% voldoet hier zelfs helemaal niet aan. Hierdoor overtreedt een organisatie die deze services zonder extra’s gebruikt voor gevoelige persoonsgegevens, mogelijk de GDPR.

De GDPR en het Zweedse dilemma

Sinds kort is het voor openbare dienstverleners in Zweden niet toegestaan om web-based SaaS-producten (zoals tekstverwerkers, e-mail- of chatservices) te gebruiken, vanwege Amerikaanse surveillancewetten zoals de Cloud Act, Executive Order 1233 en Sectie 702 van de Foreign Intelligence Surveillance Act. Deze wetten zijn in strijd met GDPR. Daarom kunnen leveranciers die onder deze wetten vallen hun gebruikers onvoldoende privacy bieden.

In een studie naar het gebruik van web-based zakelijke software, konden de Zweden geen enkele all-round cloud service provider vinden die de publieke sector een 100% compliant product biedt. Volgens het ‘Kammarkollegiet’ (opgericht in 1539, en daarmee de oudste Zweedse maatschappelijke organisatie) moeten openbare diensten en bedrijven samenwerken aan oplossingen die aan de Europese regelgeving voldoen. Helaas zijn dit soort oplossingen op dit moment nog niet te vinden in Europa, of waar dan ook ter wereld. Misschien is dit wel de reden dat we nog niet veel handhaving van de GDPR hebben gezien. Er zijn echter wel Europese initiatieven die specifieke GDPR-compliant producten aanbieden, zoals veilige e-mail en file sharing.

Mogelijke oplossingen voor cloud computing onder de GDPR

De GDPR is de meest uitgebreide set regels voor bezit, opslag, verspreiding en bescherming van persoonsgegevens ter wereld. Voorheen profiteerden sommige bedrijven van het gebruik van deze gegevens, zonder dat zij hier uitdrukkelijke toestemming voor hadden. De GDPR is in het leven geroepen om daar een einde aan te maken. Om de definities en processen vast te leggen met betrekking tot het universele recht op privacy. En natuurlijk om organisaties die deze wet overtreden, verantwoordelijk te houden.

Het grote publiek ontving de GDPR met open armen. In tegenstelling tot de bedrijven binnen de EU, die voor een vraagstuk werden gesteld. Zij zijn nu gedwongen zich te houden aan een enorme hoeveelheid regels die invloed heeft op hun hele manier van werken. Wat de zaken nog ingewikkelder maakt, is dat veel van deze regels nog geen oplossingen hebben. Web-based zakelijke software is hier een goed voorbeeld van. Organisaties in Europa en de rest van de wereld zijn hier in de loop der tijd afhankelijk van geworden. Hoe kan zo’n Europees bedrijf, afhankelijk van cloud computing, zich dan volledig houden aan de GDPR? Helaas is er nog geen eenvoudig antwoord op deze vraag. Toch zijn er manieren.

Om mogelijke oplossingen te bespreken, is het eerst belangrijk te begrijpen wat het probleem werkelijk is. In principe komt het neer op het volgende: volgens de GDPR mag niemand zonder gegronde reden (juridische grond) toegang krijgen tot de gegevens. Klinkt logisch, toch? Om jezelf daarvan te verzekeren moet je of  zelf je gegevens opslaan, of zorgen dat de gegevens versleuteld worden opgeslagen waarbij jij (en relevante betrokkenen) de sleutels beheert, of je sluit overeenkomsten voor gegevensverwerking af met alle betrokken partijen die je gegevens verwerken. Klinkt ook logisch, toch?

Dat wetende, hebben organisaties de volgende keuzes

  1. Maak geen gebruik van cloud services en host zelf alle gegevens en services. Voor veel organisaties is dit geen realistische optie, gezien de vereiste expertise en aanzienlijke kosten van aanschaf, installatie, onderhoud en ondersteuning van servers en software. Zelfs als zij de functionele beperkingen die deze oplossing met zich meebrengt, negeren.
  2. Sluit contracten met Europese serviceproviders die volledig GDPR-compliant zijn en gegevensopslag en -verwerking in een compliant datacenter garanderen. Dit klinkt gemakkelijk, maar kan complex zijn. De markt voor clouddiensten is een dynamische markt waarin regelmatig strategische aankopen plaatsvinden, voornamelijk door niet-Europese partijen. Dit betekent dat als een provider nú GDPR-compatibel is, dit van de ene op de andere dag kan veranderen. Dit risico kan een organisatie alleen wegnemen door een clausule op te nemen in het contract met de serviceprovider, waarin duidelijk staat dat deze nooit zal worden gekocht door een niet-Europese partij. Of dit realistisch is, is zeer de vraag.
  3. Sluit contracten met Europese serviceproviders die volledig GDPR-compliant zijn en die versleuteling van gegevens gebruiken waarbij alleen de betrokkenen de sleutels hebben om de gegevens te ontsleutelen (mits op een sterke manier versleuteld, zoals met RSA-2048 of sterker). Op deze manier maakt het niet echt uit waar gegevens exact worden opgeslagen, omdat het decoderen van gegevens zonder sleutels niet mogelijk is. Uiteraard moeten de gegevens worden opgeslagen in een ISO27001, SOC 2 compliant datacenter binnen de EER, om het risico te verkleinen dat iemand toegang krijgt tot de gecodeerde gegevens.

Gezien het bovenstaande lijkt oplossing 3 de meest haalbare en toekomstbestendige. Echter, zoals de Zweden concludeerden: er is geen Europese speler die een volledig pakket kantoorsoftware aanbiedt die GDPR-compatibel is. Dit betekent dat 100% GDPR-compliant zijn voor een Europese organisatie alleen mogelijk is door een deel van de office support tools zelf hosten, bijvoorbeeld desktopversies van Microsoft Word, Excel en Outlook blijven gebruiken, en op zoek gaan naar leveranciers van full-encryption oplossingen, bijvoorbeeld voor e-mail en het delen van bestanden. Want voor e-mail en het delen van bestanden bestaan cloud-based oplossingen die wel GDPR-proof zijn.

ZIVVER is een veilige oplossing voor digitale communicatie uit Nederland, een land waar privacy prioriteit krijgt en wordt gereguleerd. Zozeer zelfs, dat onze Nederlandse regels dienden als een uitgangspunt bij het creëren van de GDPR. Bovendien gebruikt ZIVVER asymmetrische encryptie en twee-factor-authenticatie in haar software voor veilige e-mail en het delen van bestanden, waardoor deze volledig GDPR-proof is. Ben je benieuwd hoe deze oplossing ervoor zorgt dat data niet op straat komen te liggen? Bekijk onze productsheet.

Uiteindelijk gaat het erom wie werkelijk toegang heeft tot ‘leesbare informatie’. Sterk versleutelde informatie, is niets meer of minder dan een reeks nullen en enen zonder betekenis of waarde. Daarom is er bij een cloud provider die kan aantonen geen toegang te hebben tot decoderingssleutels, geen risico dat onbedoelde derden bij data kunnen. Dergelijke diensten zijn de vooralsnog de enige garantie op volledige GDPR-compliance.

Conclusie

Het kost tijd om volledige GDPR-compliance te bereiken. Voor organisaties is het wel belangrijk om op korte termijn goede oplossingen te vinden die werkbaar en veilig zijn. Oplossingen kiezen en implementeren die aansluiten bij de businessbehoefte en veilig zijn, is tijdrovend en ingewikkeld. De conclusies van Zweden dat Amerikaanse, cloud-based, zakelijke software in strijd is met GDPR, maakt deze uitdaging voor veel organisaties nog groter. Wachten op een provider die een oplossing biedt op alle vlakken is waarschijnlijk niet de beste strategie. Een eerste logische stap lijkt het kiezen van individuele kantoordiensten, zoals voor e-mail, die GDPR compliance wel kunnen garanderen. Die zijn erg gelukkig wel. Eén ding is zeker: de Zweedse conclusies zorgen dat de druk op organisaties en leveranciers om GDPR compliant te zijn behoorlijk oploopt en genoeg dynamiek in de markt geeft. Zeker nu de Europese Data Protection Supervisor een breder onderzoek heeft aangekondigd naar GDPR-compliance van Microsoft producten.

Download onze productsheet
Geschreven door

Renato Zamagna

Gepubliceerd op mei 8, 2019

Laatst gewijzigd op juli 16, 2019