Ik heb het niet over de privacy policy en de beveiliging. Die is meestal wel in orde, toch bij de grotere spelers in de cloudmarkt. In die policy’s wordt vrijwel altijd een uitzondering gemaakt voor wettelijke vereisten. Het is logisch dat uw gegevens opgevraagd kunnen worden via een rechtelijk bevel.
Maar ook zonder zo een bevel kunnen sommige overheidsinstanties aan uw bedrijfsgegevens die in de cloud zijn opgeslagen. Dat hangt af van de locatie waar uw cloudaanbieder juridisch zijn hoofdkantoor heeft. 
Het hangt verder af van de locatie waar uw cloudaanbieder zijn data opslaat.
Misschien ligt u daar niet wakker van. U houdt zich immers niet bezig met illegale zaken, “dus ze doen maar”. Maar wellicht zijn er heel wat bedrijfsgeheimen in uw cloud opgeslagen. Industriële spionage wordt ook, sommigen beweren zelfs vooral uitgevoerd door overheden. China bijvoorbeeld neemt het niet zo nauw met intellectuele eigendomsrechten. Is het dan een goed idee om in zee te gaan met Atos, dat onlangs een joint venture startte met het Chinese beursgenoteerde Ufida om clouddientsen te leveren in de EMEA-regio (Europa, Midden-Oosten, Afrika)? De joint venture Yunano krijgt zijn hoofdkwartier weliswaar in Parijs, maar mogelijk worden goedkopere Chinese servers gebruikt om data op te slaan. China, waar de overheid zonder bevel elke server kan doorzoeken, met of zonder medeweten van de eigenaar…
De belangrijkste cloudaanbieders opereren echter vanuit de Verenigde Staten, waar president Obama in mei van dit jaar een aantal secties van de beruchte Patriot Act uit 2001 met vier jaar verlengde. Sectie 215 bijvoorbeeld, algemeen bekend als de “library records provision” en officieel “Access to records and other items under the Foreign Intelligence Surveillance Act (FISA)” genoemd. FISA geeft de Amerikaanse overheid toestemming om alle soorten data van buitenlanders te doorzoeken binnen of buiten Amerika zonder dat de betrokkenen op de hoogte mogen worden gebracht. Amerikaanse bedrijven zijn verplicht mee te werken met de veiligheidsdiensten en mogen hun klanten zelfs niet waarschuwen als hun informatie wordt doorzocht.
Als Europees bedrijf kijkt u dus best uit met wie u in zee gaat voor een clouddienst. De Britse defensiespecialist BAE Systems denkt er ook zo over. De juridische dienst van het bedrijf wil niet dat er wordt overgestapt naar Microsoft Office 365. Sommige aanbieders kunnen contractueel garanderen dat de informatie uitsluitend op Europese servers wordt opgeslagen.
Nog een goed idee is om gevoelige informatie te versleutelen met sterke AES-encryptie. Ook daar bestaan allerlei clouddiensten voor. Kies dan wel een encryptiedienst die niet onder Amerikaanse wetgeving valt. SecureCloud van Trend Micro bijvoorbeeld, geen Amerikaans, maar een Japans bedrijf. Of kies een open source oplossing zoals TrueCrypt.
Lees in dat verband ook onze test van dergelijke producten die vorige maand verscheen in nr. 20 van het informaticablad Data News (Roularta).
