Oracle Cloud en de Europese Privacy regels; waar moeten we op letten? eu flag ss 1920

Oracle Cloud en de Europese Privacy regels; waar moeten we op letten?

Als Oracle gebruiker ziet u de mogelijkheden van de Oracle Cloud.  De grote flexibiliteit, de mogelijkheid om capaciteit bij en af te schalen, instant diensten en het maandelijkse verrekenmodel. Alleen al de korte doorlooptijd voor (tijdelijke) omgevingen en de verminderde beheerinspanning kunnen leiden tot een flinke verbetering in efficiëntie. Zo bent u minder bezig met de dagelijkse operatie van de IT en kunt u zich richten op het benutten van nieuwe kansen.

Om effectief gebruik te kunnen maken van de Cloud is het belangrijk dat u vooraf weet wat er op dit moment speelt op het gebied van wetgeving. Vooral op het gebied van informatiebeveiliging en privacy zijn er een aantal belangrijke aspecten om rekening mee te houden bij het gebruik van Cloud diensten. In dit artikel benoem ik vooral de aandachtspunten voor het gebruik van de Oracle cloud.

Achtergrond

Nu het Europese hof de Safe Harbour Decision heeft verworpen, ontstaat er een juridisch gat waardoor organisaties een potentieel probleem hebben als ze verantwoordelijk zijn voor het verzenden van gegevens van Europeanen naar de VS. Er wordt hard gewerkt aan nieuwe Europese wetgeving en opvolging van Safe Harbor. Maar dat is nog niet klaar, laat staan geëffectueerd of verduidelijkt door jurisprudentie.

Ook in de VS wordt ondertussen doorgewerkt aan wetgeving: de Cybersecurity Information Sharing Act (CISA). Door de verschillen met de Europese kijk op privacy zijn grote Cloudaanbieders zoals Microsoft en Amazon bezorgd over hun (Europese) klandizie, en grote namen in de industrie zijn in verweer tegen de ontwikkelingen. Tegelijkertijd is de roep om duidelijkheid vanuit de industrie hoog.

De veiligheidsdiensten in de VS zijn door de USA Freedom Act (de vervanger van de Patriot Act) dan wel beperkt in het stiekem binnenhalen van gegevens met ‘sleepnet tactiek’, de meeste bepalingen uit de Patriot Act zijn gewoon weer van kracht. Zij kunnen nog steeds gegevens opvragen via bedrijven die structureel activiteiten ontplooien in de VS. Zo nodig zonder medeweten van de personen van wie de data is. Ook als die data niet staat opgeslagen in de VS.

De Artikel 29-werkgroep, waar ook ons CBP aan deelneemt, deelt ondertussen haar mening. In een artikel op nrc.nl staat een samenvatting. In afwachting van nieuwe wetgeving moeten bedrijven hun eigen maatregelen nemen:

In particular, in the context of the judgment, businesses should reflect on the eventual risks they take when transferring data and should consider putting in place any legal and technical solutions in a timely manner to mitigate those risks and respect the EU data protection acquis.

Reactie vanuit de grote Cloud providers

Dat betekent huiswerk bij de gang naar de Cloud: uitzoeken voor welke informatie (stromen) je verantwoordelijk bent en als dat nodig is maatregelen treffen. In de vorm van duidelijke afspraken met Cloud leveranciers en partners op basis van de beginselen van de komende wetgeving, eventueel zoeken naar alternatieven, en toepassen van technische oplossingen zoals encryptie.

Om Europa tegemoet te komen bouwden Cloudaanbieders al datacenters in Europa, maar zij moeten met meer garanties komen. Het zijn nog steeds Amerikaanse bedrijven, en vallen dus onder de wetgeving in de VS. Microsoft faciliteert bijvoorbeeld al met aparte afspraken hiervoor, er werkt verder aan het Europese karakter van hun opslag via Europese partner organisaties. Amazon houdt nog een slag om de arm, zegt dat het feit dat data binnen de EU-grenzen is opgeslagen nog geen garanties biedt.

Cyber security, privacy in de Oracle Cloud

Oracle laat zich wel duidelijk uit over hun inzet voor cyber security en past het aanbod aan, maar cyber security is niet hetzelfde als privacy. Het zijn juist sommige cyber security methodes in de VS waarover de EU zich zorgen maakt met betrekking tot privacy.

Op OpenWorld 2015 geeft Thomas Kurian aan dat Oracle ook de koers volgt van opslag binnen EU grenzen (ondanks dat ze al in 2012 hebben toegegeven dat er beperkingen zijn). En Klaus Bergius (Director Technology Marketing EMEA & Global Security Marketing Lead bij Oracle) laat een bericht achter op LinkedIn over het onderwerp. Hierin komt hij vooralsnog niet met duidelijke statements over hoe Oracle de nieuwe eisen implementeert, echter het plaatsen van een dergelijke uiting (“Are you ready for it?”) is een duidelijke indicatie dat ze het gesprek aan willen gaan. Oracle heeft in ieder geval de Data Processing Agreement for Oracle Cloud Services (DPA) aangepast naar aanleiding van het wegvallen van de Safe Harbour Decision.

Op Europrivacy.info wordt vanuit de Oracle Community for Security ingegaan op de GDPR.

Verder denkt Oracle in technische oplossingen. Daarover is Oracle een stuk duidelijker: in zijn keynote van ruim een uur op Oracle OpenWorld 2015 beschrijft Larry Ellison onder andere maatregelen die in hun hardware (!) en software ingebakken zitten zoals encryptie die niet uit te zetten is, on-premisse opslag van encryptiesleutels, en de scheiding tussen data en beheerders. Dat is een duidelijk signaal dat niet alleen cyber security, maar ook privacy hoog op de agenda staat. Daarmee zouden alleen klanten zelf bij hun data kunnen in de Oracle Cloud. Oracle zelf niet. “Zelfs wethandhavingsdiensten niet” zou hier een krachtige toevoeging zijn geweest, maar dat aspect werd helaas niet expliciet gemaakt. In dit artikel op CloudWorks staat een interessante review van de keynote.

Ja, u kunt naar de Oracle cloud.

Naast de levering van hun diensten vanuit Europese datacenters vangt Oracle het wegvallen van de Safe Harbour Decision op door de EU Standard Contractual Clauses / Model Clauses te gebruiken. Oracle houdt leveranciers en partners aan dezelfde standaarden. In de DAP worden verder de maatregelen beschreven die getroffen zijn voor de bescherming van gegevens in hun Cloud, en het recht van klanten om de dienstverlening van Oracle te auditen. In het bijzonder wil ik punt 4 van de DAP er even uitlichten:

During the Services Period of any order for Cloud Services, Customer may provide instructions to Oracle in addition to those specified in the Agreement with regard to processing of Personal Data. Oracle will comply with all such instructions without additional charge to the extent necessary for Oracle to comply with laws applicable to Oracle as a data processor in the performance of the Cloud Services

De aandachtspunten:

  • Oracle beschrijft wat zij van hun klanten verwachten (zoals de instructies in de hierboven genoemde quote), neem hiervan akte;
  • Oracle beschrijft een notificatie periode van 72 uur in het geval van incidenten, hier zal specifiek op ingegaan moeten worden bij het maken van afspraken omdat dat niet voldoet voor de Meldplicht Datalekken (die beschrijft ook een periode van 72 uur, maar u heeft zelf ook tijd nodig om te reageren op eventuele meldingen vanuit Oracle);
  • Omdat ook de Amerikaanse wetgeving van toepassing is dient u de geboden technische maatregelen te gebruiken; dat wil zeggen persoonsgegevens versleuteld verzenden en opslaan en de encryptiesleutels buiten de Cloud bewaren. Overigens is encryptie sowieso een moeilijk te negeren maatregel, ook los van wetgeving en Cloud-gebruik.

Conclusie

Het is duidelijk dat de wetgeving op dit moment achterloopt op de markt. Maar het feit dat organisaties heel bewust moeten omgaan met de informatie die ze hebben is wel duidelijk, zeker in afwachting van de definitieve versie van de nieuwe Europese regels en de jurisprudentie die daarop volgt. Oracle heeft in ieder geval goede stappen gezet door het aanpassen van de overeenkomsten, het verzorgen van opslag binnen EU grenzen, en technische oplossingen die kunnen worden ingezet voor bescherming van privacy. Op dit moment is het aan u (en uw juristen) om te bepalen welke waarborgen uw organisatie nodig heeft, en welke actie er aan uw kant nog nodig is. De Oracle Cloud biedt voldoende handvatten om veilig en juridisch juist gebruik van data in de Oracle Cloud mogelijk te maken.