De AVG zorgde de afgelopen jaren al voor genoeg hoofdbrekens, maar sinds 2018 kwam daar een complicatie bij: toen werd de Amerikaanse CLOUD Act aangenomen. Deze wet geeft Amerikaanse opsporings- en veiligheidsdiensten het recht om gegevens op te vragen bij Amerikaanse aanbieders van digitale diensten. Dat kan zelfs wanneer die data fysiek buiten de VS staan opgeslagen. Deze wet botst uiteraard met de AVG, die juist was bedacht om de privacy van Europese burgers in het digitale tijdperk te beschermen.
Lange tijd bleef de CLOUD ACT een beetje onderbelicht, maar door de recente onrust in de internationale betrekkingen vragen steeds meer directies zich af: hoe houd je controle over je data, hoe beperk je risico’s en hoe zorg je dat je wél compliant blijft zonder je cloudstrategie te vertragen?
Waar staan je data eigenlijk?
Bij CTNET zien we drie veelvoorkomende situaties als het gaat om waar jouw data staan en hoe deze worden beveiligd.
1. Data in ons eigen datacentrum
Sommige organisaties kiezen bewust voor maximale controle binnen Nederland. In ons eigen datacentrum staat jouw data onder Nederlandse wet- en regelgeving, zonder afhankelijkheid van buitenlandse partijen. Wij zorgen voor fysieke beveiliging, 24/7 monitoring, versleutelde verbindingen en een infrastructuur die continu wordt geüpdatet tegen de nieuwste dreigingen.
2. Data in je eigen omgeving (on-premise)
Gebruik je liever je eigen servers of een lokale omgeving, omdat de gegevens gevoelig zijn en je alles in eigen hand wilt houden? Geen probleem. We helpen je om die omgeving veilig en stabiel te houden. Denk aan goede firewall-configuraties, patchmanagement, werkplekbeveiliging (zoals MFA en disk-encryptie) en structurele monitoring. Zo blijft jouw infrastructuur veilig, zonder dat je er zelf dagelijks naar om hoeft om te kijken.
3. Data in de Microsoft-cloud
De laatste tijd is er soms wat ‘cloudwatervrees’ als het gaat om het kiezen voor de Microsoft-cloud. De vraag is echter: gooi je zo het kind niet met het badwater weg? Want met Microsoft 365 en Azure heb je de beschikking over de beste beveiligingstools in de markt.
Bovendien wordt die ‘CLOUD Act’-soep niet zo heet gegeten als die wordt opgediend. De Amerikaanse overheid vraagt de gegevens van Europeanen niet zonder reden op. Er moet sprake zijn van een verdenking van een ernstig misdrijf, zoals terrorisme of grootschalige drugshandel. Er is ook geen enkel geval bekend van misbruik van deze wet, die alweer zeven jaar bestaat.
Ook de nuancering van National Technology Officer Rob Elsinga van Microsoft Nederland is lezenswaardig:
“Uit een onderzoek dat in opdracht van het Nationaal Cyber Security Centrum (NCSC) is uitgevoerd, blijkt dat hoewel theoretisch mogelijk, de kans dat de Amerikaanse overheid via de CLOUD Act toegang krijgt tot Europese gegevens in de praktijk zeer klein is. Bovendien beschikt Microsoft over een sterke juridische staat van dienst in het verdedigen van klantgegevens tegen ongewenste toegang, inclusief meerdere rechtszaken tegen de Amerikaanse overheid waarin we met succes privacyrechten verdedigden, ook voor Europese klanten.”
Van één ding kun je zeker zijn: of je nu werkt in een volledig Europese cloudomgeving of kiest voor een Amerikaanse aanbieder, wij zorgen dat je data veilig blijven. We richten je omgeving zo in dat risico’s worden beperkt, toegang strak geregeld is en alle technische maatregelen standaard op orde zijn. Zo weet je dat je altijd voldoet aan de AVG en dat je bescherming niet afhankelijk is van waar de server precies staat, maar van hoe goed je beveiliging is geregeld.
Twijfel je of jouw organisatie voldoet aan de AVG? Of weet je niet goed waar je moet beginnen met beheersmaatregelen? Plan dan een vrijblijvend gesprek met ons in. We kijken mee, brengen de risico’s in kaart en helpen je stap voor stap naar een veilige en compliant organisatie.
