De in 2018 door de Europese Unie ingestelde General Data Protection Regulation (GDPR) wordt gezien als de meest ingrijpende regelgeving op het gebied van dataprivacy en heeft meer dan honderd landen geïnspireerd (de teller stond op 145 in September 2021)1 tot soortgelijke wetten. Nieuwe wetgeving rond datasoevereiniteit zou zelfs nog meer impact kunnen hebben op uw bedrijfsvoering, vooral als er geen effectieve datamanagement-strategieën en -tactieken zijn geïmplementeerd.
Datasoevereiniteit is het juridisch concept dat data is onderworpen aan de soevereine wetgeving waarbinnen de data wordt verzameld en bewaard. Stelt u zich bijvoorbeeld voor, dat u een paar hardloopschoenen koopt van een online winkel uit Nederland genaamd Rotterdam Runners. Het verzamelen, bezitten en gebruiken van de data die door de online aankoop is gegenereerd valt onder zowel Nederlandse- als EU-regelgeving voor datasoevereiniteit. Deze regels beschermen privacy door toegang van ongeautoriseerde entiteiten tot de data te voorkomen.
Laten we vervolgens aannemen dat Rotterdam Runners een online webshop heeft op een Public Cloud-infrastructuur, waarbij ze – net als bijna twee derde van alle Europese Public Cloud-gebruikers – een Public Cloud gebruiken van een bedrijf uit de VS. Data- en communicatiebedrijven uit de VS vallen onder de U.S. CLOUD Act uit 2018, die bepaalt dat bedrijven op gerechtelijk bevel opgeslagen data moeten kunnen aanleveren van hun klanten of abonnees, vanuit iedere server die zij bezitten of beheren – ongeacht de fysieke locatie van deze server.2 Dus zelfs als de server van de Amerikaanse Public Cloud-provider waarop de website van Rotterdam Runners wordt gehost in Amsterdam staat, voldoet deze niet langer aan de datasoevereiniteitsregels van de EU, vanwege deze U.S. CLOUD Act.
Public Cloud en datasoevereiniteitsregels lijken dus op gespannen voet te staan. Toch is het niet noodzakelijk voor bedrijven als Rotterdam Runners om drastisch te besluiten geen gebruik meer te maken van Public Cloud-diensten.
Niet alle data is gelijk en sommige data valt niet onder privacywetgeving. Om die reden is het een goed om data te classificeren en zo te kunnen zien welke data welk beschermingsniveau nodig heeft. Volgens de richtlijnen van de Carnegie Mellon University kan data worden ingedeeld in drie categorieën3:
- Publiek – openbare data voor algemeen gebruik, niet onderhevig aan privacyregelgeving.
- Geheim – zeer vertrouwelijke data, bestuurlijke data, top- en staatsgeheimen die het hoogste niveau van beveiliging vereisen en gewoonlijk vallen onder strikte regelgeving.
- Vertrouwelijk – data die onder privacyregels valt, zoals persoonlijk identificeerbare informatie (PII), bedrijfsdata en intellectueel eigendom. Vaak is dit de standaardkeuze voor data die niet expliciet geclassificeerd is als publiek of beperkt.
Op basis van deze drie datacategorieën lijkt de Public Cloud ideaal voor publieke data, zoals het openbare deel van de Rotterdam Runners website of de voorraadgegevens. Alleen de opslag van vertrouwelijke data in de Public Cloud, zoals uw adres- en betalingsgegevens, veroorzaakt problemen voor Rotterdam Runners op het gebied van datasoevereiniteit en privacy.
Hoe kunnen organisaties als Rotterdam Runners en de uwe vertrouwelijke data verzamelen en gebruiken, terwijl ze blijven voldoen aan lokale datasoevereiniteitsregels? Eén optie is een Private Cloud. Een Private Cloud wordt beheerd door en is eigendom van één enkele organisatie waarbij data wordt opgeslagen op lokale servers. Maar het beheer en het eigendom van verschillende lokale datacenters is kostbaar en complex, vooral voor multinationale organisaties. En kleinere ondernemingen, zoals Rotterdam Runners, hebben vaak geen IT-personeel om hun eigen Private Cloud te onderhouden.
Een andere optie is een soevereine Cloud. Deze kan gezien worden als een semi-private Cloud, die de beste functionaliteit van een Public en Private Cloud combineert. Soevereine Clouds zijn kleinere, multi-tenant omgevingen die worden beheerd door een ervaren, lokale Cloud-provider. Ze voldoen aan lokale dataopslag- en datasoevereiniteitsregels zonder de overhead en complexiteit van het eigendom en het beheer van eigen lokale datacenters.
Omdat alle data – inclusief metadata – lokaal wordt bewaard in een soevereine Cloud, geldt alleen de lokale wetgeving en hebben buitenlandse mogendheden geen toegang. Op deze manier heeft uw organisatie totale controle over uw data. Bovendien maakt een soevereine Cloud datamigratie naar andere landen eenvoudiger, een onderwerp dat later in deze serie wordt behandeld.
Deze reeks bestaat uit vier blog-artikelen: elke week plaatsen we een nieuwe.
- Global Data Privacy Laws 2021: Despite COVID Delays, 145 Laws Show GDPR Dominance – Pg3, SSRN, Graham Greenleaf, University of New South Wales, Faculty of Law, september 2021
- Wikipedia, Cloud Act, Augustus 2022
- Carnegie Mellon University, Guidelines for Data Classification, february 2021