Het Instituut voor Informatierecht van de Universiteit van Amsterdam onderzocht, in opdracht van SURFdirect, de veiligheidsaspecten van de overgang naar Cloud Computing. Het gaat hierbij met name om de veiligheidsaspecten waarmee Nederlandse kennisinstellingen te maken krijgen onder de invloed van de Patriot Act van de VS.
In de Patriot Act is bepaald dat de VS gegevens van kennisinstellingen en betrokkenen op kan vragen. Valt een onderneming onder Amerikaanse jurisdictie dan kan de informatie rechtstreeks worden opgevraagd bij de betreffende onderneming.
In dit rapport wordt nog eens bevestigd dat het opslaan van gegevens van cloud systemen in Nederlandse of Europese datacenters op zich nog geen 100% garantie biedt dat deze gegevens niet kunnen worden ingezien door de VS. Indien de cloudleverancier deel uit maakt van een moeder organisatie uit de VS, is alsnog de Patriot Act van kracht.
Om aan de invloed van de Patriot Act te ontkomen dient de cloudleverancier:
- een 100% Nederlandse onderneming te zijn,
- de data op Nederlands grondgebied op te slaan en
- contractueel te hebben vastgelegd dat bij een eventuele overname door een onderneming die onder de Patriot Act valt, de overeenkomst met de afnemer wordt ontbonden.
Het onderzoeksrapport biedt verder enkele voorbeelden van situaties waarbij de invloed van de Patriot Act ongewenst is.
Misschien is dit wel een leuk toevoegen op dit artikel over een doorbraak op dit gebied namelijk; Office 365 toegestaan door de DNB voor Financiële Instellingen. Voor meer info zie: http://www.toezicht.dnb.nl/7/50-226970.jsp