Inspiration blog - cloud sovereignty

Cloud sovereignty is daarbij een hot topic. Iedereen spreekt erover, maar vaak met een eigen invulling. Naar aanleiding van 15 jaar rCloud vonden we het dan ook het ideale moment om helderheid te brengen. Daarom vroegen we juridisch expert Erik Valgaeren om de verschillende cloudmodellen duidelijk te positioneren binnen het soevereiniteitsverhaal. 

Als advocaat gespecialiseerd in IT-wetgeving weet Erik Valgaeren hoe belangrijk het is dat je ook je juridische team tijdig betrekt bij het uitstippelen van je cloudstrategie. “Eenmaal je een contract met een externe cloudleverancier hebt getekend, is het doorgaans te laat om nog de nodige compliance-ingrepen te doen”, zegt hij. “Maar hoewel de IT-wetgeving en het belang ervan nog elk jaar toenemen, hebben veel bedrijven die belangrijke parameter niet of onvoldoende in hun managementdashboard geïntegreerd.” Een stiefmoederlijke behandeling die niet zonder risico’s is: van geldboetes bij niet-naleving tot financiële verliezen en reputatieschade bij incidenten.

De soevereine cloud: commerciële oplossing voor juridisch risico?

Een mogelijke oplossing voor die groeiende compliance-problematiek is cloudsoevereiniteit. Een soevereine cloud is een cloudomgeving waarin de data op lokale servers zijn opgeslagen, in overeenstemming met de lokale wetgeving en beschermd tegen toegang door derden. Doordat de soevereine cloud een hoge mate van controle en autonomie biedt, kunnen bedrijven de soevereiniteit en de veiligheid van hun data beter garanderen. Ze bepalen zelf wie toegang heeft tot de data, wie de data mag gebruiken en waar ze zijn opgeslagen.

“Cloudsoevereiniteit komt in feite neer op de mate van controle die je hebt over je cloud”, verduidelijkt Erik Valgaeren. “Dat bepaalt op zijn beurt hoeveel controle je hebt over je data en je processen om die data te verwerken. Vergelijk het met een fort dat je om je data heen bouwt. Hoe sterk is dat fort? In welke mate is het onaantastbaar of oninneembaar?”

Juridische sleutel 1: GDPR 

In de cloudstrategie die de Europese Unie uittekent, staan naast innovatie en digitale autonomie ook soevereiniteit en controle centraal. “De regelgeving die nodig is om die strategische doelen te bereiken, is tegelijk een manier om een schild op te werpen en onze eigen data en systemen beter te beschermen tegen bijvoorbeeld de hyperscalers die over de grenzen heen opereren”, verklaart Erik Valgaren. “Die bescherming is ook nodig.” Amerikaanse hyperscalers gaan er al te vaak vanuit dat alles wat ze op hun thuismarkt kunnen en mogen, ook in het buitenland zomaar kan en mag. En dat is niet het geval.

Misschien wel de bekendste Europese regelgeving die een sterk fort moet helpen optrekken rond de eigen data is de GDPR-verordening. Die privacywetgeving, die al sinds 2018 van kracht is, standaardiseert de regels over het verwerken van persoonsgegevens door bedrijven en overheidsinstanties in de EU. Maar diezelfde GDPR-wet is ook van toepassing op organisaties buiten de EU die persoonsgegevens van EU-burgers verwerken. “Maar hoewel de meeste mensen het concept intussen wel kennen, zijn ze niet echt vertrouwd met de impact en de naleving van de GDPR.”

Adequate gegevensbescherming

De GDPR verbiedt de overdracht van persoonsgegevens buiten de Europese Economische Ruimte (EER). Daartoe behoren alle 27 EU-landen plus IJsland, Liechtenstein en Noorwegen. “Dat neemt niet weg dat er verschillende instrumenten of mechanismen bestaan die de gegevensoverdracht van een EU-lidstaat naar een derde land toch mogelijk maken”, merkt Erik Valgaeren op. 

Als voorbeeld haalt hij het adeqaatheidsbesluit aan: een besluit van de Europese Commissie dat een derde land als een land met een in wezen gelijkwaardig niveau van gegevensbescherming bestempelt. Dat betekent dat je gegevens kan overdragen aan een ander bedrijf in dat derde land, zonder dat je daarvoor verdere waarborgen hoeft te bieden of aan aanvullende voorwaarden hoeft te voldoen. De overdracht aan zo’n adequaat derde land is met andere woorden 
vergelijkbaar met een overdracht van gegevens binnen de EU.

De VS heeft dan weer een eigen Data Privacy Framework (DPF) met de EU onderhandeld. Dat biedt waarborgen voor een correcte verwerking van persoonsgegevens van EU-burgers door Amerikaanse bedrijven in overeenstemming met de GDPR-principes. De vraag is natuurlijk of dat nieuwe mechanisme onder de huidige Trump-regering zal blijven bestaan.

Impactbeoordeling en verwerkersovereenkomst

Om persoonsgegevens over te dragen aan een entiteit die een adequaatheidsstatus geniet of gevestigd is in een land met zo’n status, moet je vooraf wel eerst nog een formele beoordeling maken van de impact van die overdracht op de bescherming van de persoonsgegevens. Daarbovenop moet je als verwerkingsverantwoordelijke van persoonsgegevens steeds ook een Data Processing Agreement (DPA) afsluiten met alle (sub)verwerkers van die gegevens. “Die voorwaarden zien bedrijven vaak over het hoofd”, weet Erik Valgaeren. “Of ze voldoen slechts aan één of twee voorwaarden, terwijl er drie vereist zijn: adequaatheidsstatus, impactbeoordeling én verwerkersovereenkomst.”

Tegelijk is het begrip ‘gegevensoverdracht’ aan een ruime interpretatie onderworpen. “Stel dat je persoonsgegevens van klanten bijhoudt in een datacenter hier in België, maar dat je tegelijk een back-up maakt van die gegevens in een datacenter buiten de EU. Of stel dat je gebruikmaakt van een helpdesk buiten de EU die toegang heeft tot persoonsgegevens in het Belgische datacenter om jouw klanten te ondersteunen. Dat geldt in beide gevallen als een overdracht van persoonsgegevens. Geniet het derde land waar jouw back-up of helpdesk zich bevindt geen adequaatheidsstatus of kom je een andere voorwaarde niet na, dan ben je evengoed in overtreding.”

Juridische sleutel 2: sectorspecifieke wetgeving

Ook sectoren voorzien vaak in aangepaste of specifieke regelgeving voor de opslag, verwerking en meer algemeen de bescherming van gevoelige data. Als voorbeeld haalt Erik Valgaeren de medische sector aan, meer bepaald de ziekenhuizen. “Tot een paar jaar geleden moesten alle patiëntendossiers en andere medische data in het ziekenhuis zelf opgeslagen blijven. Dat impliceerde meteen ook dat ziekenhuizen die data niet in de cloud konden onderbrengen, zelfs niet in een lokale cloud. Om gelijke tred te kunnen houden met de recente ontwikkelingen in technologie en outsourcing, is die vereiste inmiddels aangepast. Vandaag hoeven die data alleen nog maar door het ziekenhuis en niet langer in het ziekenhuis te zijn opgeslagen.”

Andere sectoren, zoals telecommunicatie, eisen dan weer enkel dat je bepaalde data binnen de EU bewaart. Maar als werkgever moet je, ongeacht de sector waarin je actief bent, alle sociale documenten van je werknemers, zoals contracten en loonbrieven, nog altijd op een locatie in België bewaren. “Ook wanneer je een cloudstrategie implementeert, kan je maar beter voldoende op de hoogte zijn van je eigen sectorale regelgeving”, zegt Erik Valgaeren. 

Juridische sleutel 3: extraterritoriale werking van buitenlandse wetten

Om onze eigen data te beschermen tegen actoren die afkomstig zijn van buiten de EU, zal het soms niet volstaan om die data verplicht binnen de EU te houden. Zelfs zo’n wettelijke vereiste biedt geen absolute bescherming, als je weet dat er ook buitenlandse wetten van toepassing kunnen zijn binnen de EU die er de bestaande verplichtingen ondermijnen.

Een treffend voorbeeld van zo’n buitenlandse wet is de Amerikaanse CLOUD Act (voluit Clarifying Lawful Overseas Use of Data Act). Dankzij die wet kan de Amerikaanse federale overheid toegang krijgen tot informatie buiten de VS. De CLOUD Act is immers niet enkel van toepassing op Amerikaanse bedrijven, maar bijvoorbeeld ook op de Europese filialen van die Amerikaanse bedrijven. Zo kan de Amerikaanse overheid technologiebedrijven uit de VS via een bevelschrift of dagvaarding dwingen om de gevraagde gegevens van gebruikers te verstrekken, ook al zijn die gegevens opgeslagen op Europees grondgebied.

“Niet alleen kunnen enkel Amerikaanse bedrijven – en dan nog beperkt – bezwaar indienen tegen zo’n overheidseis, de Amerikaanse overheid kan hen ook een spreekverbod opleggen”, beklemtoont Erik Valgaeren. Dat belet hen om hun klanten in Europa te waarschuwen voor een gegevensoverdracht die naar EU-normen illegaal is, ook al bevat hun contract misschien wel een clausule in die zin. “Ook dat is een gegeven om zeker mee te nemen in de cloudstrategie die je uitstippelt.” Als oplossing schuift Erik Valgaeren het gebruik van Europese alternatieven voor Amerikaanse cloud- en IT-diensten naar voren.

Multifactoriële risicobeoordeling

“Uiteindelijk draait het allemaal om risicobeoordeling”, geeft Erik Valgaeren nog mee. Het resultaat daarvan hangt af van verschillende factoren die je achtereenvolgens in overweging moet nemen. “Eerst kijk je naar de gegevenscategorie. Gaat het om gevoelige en/of persoonlijke gegevens? Of om niet-persoonlijke gegevens? Meteen daarna al moet je een aantal juridische overwegingen mee opnemen in je analyse, zoals de GDPR-wetgeving, sectorspecifieke en buitenlandse wetten. Vervolgens is er het securityluik, met mogelijkheden voor encryptie en het anonimiseren of pseudonimiseren van data. Daarna pas komen de commerciële overwegingen rond functies, tools en serviceniveaus. En ten slotte zijn er nog factoren als interoperabiliteit en standaardisatie die je in overweging moet nemen.”

“In de strategie die je voor de cloud ontwikkelt, moet je ruimte maken voor al die overwegingen. Door daarbij ook de juiste juridische sleutels te selecteren, kan je het fort rond je data voldoende versterken en je cloudkoninkrijk afdoende beschermen”, besluit Erik Valgaeren.

rCloud: een proven soeverein datacenter voor een soevereine cloud?

Is het belangrijk om de volledige controle te houden over je data en IT-infrastructuur? Ben je hiertoe juridisch verplicht omwille van de sector of regio waarin je actief bent?

De rCloud in het Inetum Datacenter heeft alle kenmerken en kwaliteiten om die rol van soevereine cloud op zich te nemen:

• Gegarandeerde dataresidentie: uw gegevens blijven 100% binnen de landsgrenzen
• Lokale operaties: betrouwbaar, gecertificeerd personeel in België en Portugal staat in voor het volledige beheer van uw cloudomgeving
• Naleving van de regelgeving, in lijn met de geldende regels voor gegevensbescherming en voor specifieke sectoren
• Een autonome infrastructuur, volledig in handen van Inetum, zonder externe inbreng of controle
• ‘Security by design’: uw cloudomgeving is ontworpen en gebouwd volgens soevereine cybersecuritynormen

Meer info nodig over onze eigen soevereine cloudoplossing of wenst u een begeleid bezoek te brengen aan onze rCloud? Mail naar info.belgium@inetum.com.