Hoe werkt de cloud en wie kan bij je gegevens? 'Alleen jij hebt toegang, maar sleutels liggen vaak bij aanbieder'

Het nieuws dat het Nederlandse cloudbedrijf Solvinity is overgenomen door een techgigant uit de Verenigde Staten leidt ook bij jullie tot veel vragen. Deze servers, die voor onder andere voor MijnOverheid en DigiD worden gebruikt, komen nu mogelijk in Amerikaanse handen. Hoe zit het met de veiligheid van onze persoonsgegevens?

Opgeslagen in datacenters

Wat de cloud precies is, legt Mark de Reuver uit. Hij is hoogleraar digitale platformen aan de TU Delft. "De cloud wordt door de meeste mensen gebruikt om hun data ergens op te slaan, denk aan Google Drive." Maar ook om apps te gebruiken: "Sommige mensen gebruiken bijvoorbeeld Microsoft Word in de cloud, of diensten als Gmail."

De cloud gebruiken betekent dus dat je data of software niet op je eigen apparaat staat, maar op een andere locatie. En al die 'zwevende' gegevens worden opgeslagen in grote datacenters in enorme ruimtes vol computers die alles continu draaiende houden zodat de data altijd meteen beschikbaar zijn.

Versleuteld en beveiligd

In principe heb alleen jij - als eigenaar - toegang tot je bestanden in de cloud. Al kan de aanbieder van de clouddienst soms ook toegang hebben, vertelt De Reuver. "Het is natuurlijk wel zo dat een ander bedrijf jouw data beheert, maar dat betekent niet dat ze zomaar in jouw gegevens mogen kijken." De opgeslagen data zijn vaak beveiligd en versleuteld.

Maar, voegt de hoogleraar daaraan toe: "De sleutels zijn vaak ook in handen van het bedrijf, zeker bij consumentendiensten zoals Gmail. Zo kan het bedrijf, als er echt iets aan de hand is, alsnog toegang krijgen." Wat volgens hem wel zou kunnen, 'is dat een overheid zegt: 'Die informatie van die 'verdachte' persoon willen we graag hebben.' In dat geval kan er een officieel verzoek worden gedaan aan de beheerder om toegang te krijgen."

In eigen land opslaan?

Waar zijn de gegevens eigenlijk fysiek opgeslagen als we het hebben over de cloud? Veel bedrijven en organisaties geven vaak aan dat ze willen dat hun data binnen Nederland wordt opgeslagen, maar hoe werkt dat in de praktijk? De cloud bevind zich dus in grote datacenters, die in ons land en het buitenland kunnen staan.

Wel is er, bijvoorbeeld voor medische gegevens, vaak de eis is dat deze data binnen Nederland moeten blijven, weet De Reuver. "Sowieso zijn er bedrijven die een 'private 'cloud willen. Dat betekent dat alleen hun data op die server staat en dat die niet wordt gedeeld." Ook heeft het volgens hem voordelen om een datacenter dichtbij te gebruiken. "Anders zou je de hele tijd dataverzoeken over de oceaan heen en weer moeten sturen."

Kiezen voor goedkoper

Toch maken we ook dagelijks gebruik van clouddiensten waarvan de datacenters in het buitenland staan, bijvoorbeeld van Apple, Google of Microsoft. Volgens De Reuver kiezen bedrijven ervoor om dit te doen vanwege de kosten. De prijs van een clouddienst hangt dan weer van verschillende factoren af, waaronder de elektriciteitsprijzen bij het datacenter of de hoogte van belastingen in het land.

Er staan wel grote datacenters in Nederland, maar het is altijd een afweging tussen de snelheid van de cloud en de prijs die bedrijven bereid zijn daarvoor te betalen, legt hij uit. "Neem bijvoorbeeld een e-mail: daarbij is het niet zo erg om een paar milliseconden extra te wachten. Maar bij echt tijdkritische dingen kunnen bedrijven het praktischer vinden om het datacenter dichterbij te houden."

In Amerikaanse handen

Het maakt voor de veiligheid van onze data niet alleen uit of die in Nederland of bijvoorbeeld in Amerika zijn opgeslagen, vertelt De Reuver. "Waar veel zorg over is, is dat als de data in de VS zouden komen staan, de Amerikaanse overheid op deze manier toegang zou krijgen tot je gegevens."

De hoogleraar legt uit dat het niet alleen uitmaakt waar een datacenter staat, maar ook in welk land het cloudbedrijf gevestigd is. Ook als een Amerikaanse aanbieder de data in Nederland opslaat, kan de Amerikaanse overheid toegang eisen op basis van de wetgeving daar. Alleen worden dit soort verzoeken niet vaak openbaar: "Dus strikt genomen weten we niet hoe groot dit gevaar is."

Cruciaal voor overheid

De discussie rond Solvinity gaat niet zozeer om die cloud zelf, zegt De Reuver. De angst ligt volgens hem bij het theoretische scenario dat de Amerikaanse overheid zou kunnen zeggen: 'Zet DigiD maar uit, want we zijn nu geen goede vrienden meer met Nederland of Europa.'"

"Dan mis je opeens een cruciaal stuk infrastructuur, want DigiD is voorlopig nog het enige identificatiemiddel voor burgers richting de overheid", benadrukt hij. Maar, gaat de hoogleraar verder: "Dit is vooral een theoretisch risico en onwaarschijnlijk in de praktijk."

Proef met NextCloud

Veel mensen vragen zich af hoe je zelf als consument ervoor kan zorgen dat je data niet op buitenlandse servers worden opgeslagen. De Reuver vertelt dat ze bij de TU Delft bezig zijn met een proef van NextCloud: "Dat is een bedrijf uit Duitsland. En wat daar interessant aan is, is dat ze alles open source doen."

Open source betekent dat de code openbaar is, waardoor iedereen kan controleren of de dienst of software veilig is en geen persoonlijke data verzamelt. "Je kunt dus echt zien wat voor dienst ze aanbieden", zegt de hoogleraar over NextCloud. "Mocht het ooit failliet gaan, dan kun je in principe de software kopiëren en er zelf mee doorgaan."

Makkelijker overstappen?

Daarnaast wijst De Reuver erop dat er in Europa druk wordt gewerkt aan het standaardiseren van clouddiensten, waardoor het makkelijker moet worden om over te stappen. "Als je nu naar de cloud kijkt, wordt de hele markt gedomineerd door ongeveer drie spelers: Google, Amazon en Microsoft."

"Deze bedrijven vinden het fijn als je bij hen blijft. Ze creëren daarom specifieke diensten en manieren van opslaan, waardoor het moeilijk is om van de ene clouddienst naar de andere te gaan", zegt hij tot slot. En dat zou straks door nieuwe Europese regels dus een stuk makkelijker moeten zijn.