Het Britse defensiebedrijf BAE ziet af van een contract met Microsoft voor clouddienst Office 365. Gevoelige gegevens kunnen in handen komen van de Amerikaanse overheid. De Britten wilden een contract afsluiten met Microsoft voor breed gebruik van de Office-applicaties in de cloud. Daar is op de valreep van afgezien nadat de bedrijfsjuristen geen garantie kregen van Microsoft dat de data nooit Europa zou verlaten. De data zou worden opgeslagen in een datacenter in Dublin, maar Microsoft wildegeen garantie geven dat de informatie daar ook echt zou blijven.
Immers, het is Microsoft zelf geweest die eerder dit jaar openbaarde dat het zich heeft te houden aan de Amerikaanse wet, waaronder de Patriot Act. Die wet schrijft voor dat Amerikaanse bedrijven data moeten overdragen aan de Amerikaanse regering als die daar om vraagt. Ongeacht waar die data opgeslagen is. Een Microsoft-datacenter in het Ierse Dublin is dus niet veilig voor de graaigrage Amerikaanse veiligheidsdiensten.
Het uitblijven van garanties van Microsoft deed BAE, dat militaire systemen maakt voor vooral Groot-Brittannie, maar klanten heeft over de gehele wereld, besluiten af te zien van Microsofts clouddienst. Dat heeft het hoofd van strategie en ontwerp van het bedrijf, Charles Newhouse, bekend gemaakt tijdens een paneldiscussie op de Business Cloud Summit in Londen dat begin deze maand is gehouden. ‘We were going to adopt Office365 and the lawyers said we could not do it’.
Naast de angst voor de graaiende Amerikanen haalde Newhouse ook de vele kleine en grotere storingen aan in Microsofts clouddiensten in het afgelopen jaar. ‘A number of high profile outages that users have suffered recently demonstrated just how little control you actually have. When it all goes horribly wrong, you just sit there and hope it is going to get better’, zo stelde Newhouse. ‘I was on a study tour recently, and 85 per cent of European companies out on that, now cite international regulations being their major issue. Everyone was ‘on about’ the U.S. Patriot Act, saying that the geo-location of that data and who has access to that data is the number one killer for adopting to the public cloud at the moment’, zo vervolgde hij.
De problemen die bedrijven en overheden tegen kunnen komen bij het overstappen naar Amerikaanse cloudleveranciers spelen ook op hoger niveau. Het is onderwerp van gesprek tussen de Europese Unie en de Verenigde Staten.
Binnen de Verenigde Staten is het niet ongebruikelijk dat bedrijven hun data prijs moeten geven volgens de terrorismewetgeving. Zo moest het hostingbedrijf van Wikileaks dit jaar haar data afstaan aan een Amerikaanse rechtbank. Bij een Europees bedrijf levert dit echter meer problemen op. ‘Dit botst met de eisen van de Europese privacyregels, die alleen toelaten dat bij concrete verdenkingen jegens personen in diens gegevens wordt gesnuffeld. Maar in de VS geldt natuurlijk alleen de Amerikaanse wet, net zoals bij ons alleen de Europese wet geldt’, zegt Arnoud Engelfriet van ICTRecht.
Dat betekent dat een groot aantal data op dit moment niet veilig is in Europa. ICTRecht ziet daarnaast juridische problemen voor bedrijven binnen de EU. ‘Een Europees bedrijf dient te allen tijde te garanderen dat persoonsgegevens adequaat beveiligd zijn tegen ongeautoriseerd gebruik. Wie dus volgens de letter van de wet wil handelen, mag geen persoonsgegevens op servers in de VS opslaan, ook niet in een cloudconstructie. Tenzij men technische maatregelen kan nemen waardoor de data niet te lezen is van de servers in de VS, bijvoorbeeld met encryptie’.
Volgens Engelfriet is duidelijkheid hard nodig. ‘Wat men juridisch kan doen, is onduidelijk. De EU heeft geen jurisdictie over de VS (of omgekeerd). Hooguit kan men Amerikaanse bedrijven boetes opleggen omdat die immers de Europese wetten schenden’.
Experts komen met verschillende oplossingen voor bedrijven die gebruik maken van cloud computing diensten uit de Verenigde Staten. Huron Legal adviseert haar Europese klanten bijvoorbeeld om een Cloud Minus model aan te gaan. ‘Dat betekent dat zij weten waar hun data zijn opgeslagen en waar de back-ups zijn opgeslagen. Ze moeten zeker weten dat zij geen gebruik maken van een Amerikaans (dochter)bedrijf’.