Van een verbod op TikTok naar de noodzakelijke cloudstrategie in het juridische domein

Onlangs bepleitte de ChristenUnie een verbod op de filmpjes-app TikTok. Aanleiding is het risico dat de Chinese overheid toegang krijgt tot gegevens van miljoenen Nederlandse gebruikers, waaronder kinderen. Terecht kijkt men kritisch naar TikTok. Maar de zorgen lijken ook wat arbitrair. Weinig tot geen aandacht is er namelijk voor het risico dat gegevens opgeslagen via clouddiensten in buitenlandse, waaronder Chinese, handen komen.

Een recent rapport in opdracht van het Nationaal Cyber Security Centrum maakte wederom duidelijk dat door de extraterritoriale werking van op clouddiensten toepasselijke regelgeving (de Amerikaanse Cloud-Act 2018, maar ook Chinese regelgeving), buitenlandse overheden bevoegd zijn Nederlandse data in te zien.1 Kortom, TikTok staat op de radar, maar we lopen voorbij aan vergelijkbare risico’s voor gegevens in de cloud.

Ook organisaties in het juridische domein – OM, politie, rechtspraak, advocatenkantoren en toezichthouders – benutten clouddiensten. Ten opzichte van opslag op eigen computers en servers biedt dit type dienst het voordeel van veel capaciteit en functionaliteit tegen relatief weinig kosten. Tegelijkertijd neemt de druk op niet alleen privacy, maar ook transparantie, autonomie en controle toe. Bovendien groeit – ook in het juridische domein – de afhankelijkheid van een relatief beperkt aantal, veelal Amerikaanse leveranciers. Juist omdat opslag via clouddiensten wezenlijk verschilt van de klassieke vormen van ‘opbergen en bewaren’ is een strategisch gemotiveerde keuze belangrijk. Waarin zit dit verschil zoal?

Ten eerste raken opgeslagen gegevens en documenten letterlijk en figuurlijk uit beeld en buiten de eigen controle. Zeker: er zijn clouddiensten die gebruik maken van een vaste locatie (datacenter) ergens in Nederland. Maar steeds vaker gaat het om diensten die vanuit het buitenland worden geleverd, waarbij de afnemer niet weet waar precies de data zich bevinden. Bovendien beseffen veel afnemers onvoldoende dat het een zeer onoverzichtelijke faciliteit betreft. ‘DE cloud’ is een technisch concept waarbij de specifieke clouddienst in de praktijk een complexe bundeling is van diverse afzonderlijke microdiensten. Het is als een gerecht samengesteld uit talloze ingrediënten. Maar evenals bij een heerlijk maar complex gerecht is vrijwel niet meer te achterhalen welke ingrediënten nu precies in welke mate verantwoordelijk zijn voor smaak en substantie. En wat voor een bijzonder gerecht geldt, geldt ook voor het complexe ecosysteem van een clouddienst: als één van de ingrediënten ontbreekt mist er iets. Maar wat? Dat brengt een specifieke kwetsbaarheid met zich mee: bij een uitval van willekeurig welke onderliggende microdienst ligt de volledige functionaliteit plat.

Ten tweede: voor velen staat ‘de cloud’ gelijk aan ‘opslag’. Maar het gaat om veel meer. Leveranciers oefenen via clouddiensten sluipenderwijs ook invloed uit op werkprocessen en zelfs de inhoud van activiteiten. Vooral internationale spelers koppelen clouddiensten aan additionele dienstverlening gebaseerd op slimme zoeksystemen. Dat biedt nieuwe inzichten die aan de klant worden aangeboden. Deze inzichten beïnvloeden vervolgens tal van keuzes en werkprocessen. Illustratief is een bericht van vorige maand in het tijdschrift Mr., over de aanschaf door een groot internationaal advocatenkantoor van een cloud-gebaseerde toepassing. Deze “vergemakkelijkt het beheer van grote hoeveelheden gegevens en identificeert snel de belangrijkste kwesties tijdens geschillen en onderzoeken.” Illustratief voor de groeiende inhoudelijke sturing is ook een rapport over het gebruik door de Nederlandse universiteiten, en dus juridische faculteiten, van onder meer clouddiensten. “De groeiende afhankelijkheid van dominante marktpartijen met diensten die diep ingrijpen in het onderwijsproces, de inhoud van het onderwijs en de deelnemers eraan is problematisch.”2

Ten derde: overstappen naar een andere aanbieder blijkt vrijwel onmogelijk. De recente marktstudie clouddiensten van de ACM schetst een verontrustend beeld.3 Het plaatsen van data in de cloud (ingress fees) is gratis. Maar wie de data wil verplaatsen, moet de portemonnee trekken (egress fees). De ACM waarschuwt dat door de huidige prijsstructuur de drempel om data in de cloud te zetten laag is, maar dat het aanzienlijke investeringen kan vergen om data uit de cloud te halen. “Uit gesprekken die de ACM heeft gevoerd blijkt dat er soms, mede vanwege de egress fees, investeringen van miljoenen euro’s nodig zijn om over te stappen. Deze investering is soms gelijk aan de initiële investering die gedaan is om gebruik te maken van clouddiensten.”

Organisaties in het juridische domein verwerken talloze gegevens van personen in kwetsbare posities (informatie over verdachten en getuigen, over bedrijfsgevoelige gegevens, etc.). In het besef dat bij digitalisering de weg van de weerstand geen eenvoudige is, zouden juist deze organisaties daarom twee ambities voorop moeten stellen. De eerste is het formuleren van een cloudstrategie, die meer omvat dan het nu veelal geformuleerde cloudbeleid. Verantwoorde dienstverlening vraagt om de stap naar een meer strategische en extern te verantwoorden afweging die ook de langere termijn consequenties van de keuze voor een specifieke clouddienst meeneemt. Dat betekent een afweging die op meer is gebaseerd dan opportunistische overwegingen ingegeven door prijs, functionaliteit en gebruikersgemak. Ook het blijvend kunnen garanderen van privacy, transparantie, autonomie en eigen controle op gegevens moet in de keuze worden betrokken. Ten tweede, zouden juist partijen in het juridische domein het tot hun taak moeten rekenen een signaal af te geven. En wel door te kiezen voor de veel meer op publieke waarde gerichte Europese aanbieders, zoals het door de EU gesteunde initiatief Nextcloud.4 Zeker, het aanbod hier is vooralsnog niet groot. Maar iemand zal de stap moeten zetten in het faciliteren van afzetmarkt voor clouddiensten die meer oog hebben voor publieke waarden.5 Laat het mede partijen in het juridische domein zijn.

Dit Vooraf wordt gepubliceerd in NJB 2022/2609, afl. 37

Voetnoten

1 https://www.ncsc.nl/actueel/weblog/weblog/2022/de-werking-van-de-cloud-act-bij-dataopslag-in-europa

2 https://www.universiteitenvannederland.nl/files/documenten/Domeinen/Onderwijs/Advies_werkgroep_publieke_waarden_onderwijs.pdf

3 https://www.acm.nl/nl/publicaties/marktstudie-clouddiensten

4 https://nextcloud.com/blog/european-governments-work-with-nextcloud-to-build-digitally-sovereign-office/

5 Zie ook de recente brandbrief aan de Europese Commissie van diverse Europese CIO-platforms: https://www.cio-platform.nl/k/nl/n626/news/view/11938/6598/open-brief-cio-verenigingen-aan-ec-voor-een-digitale-interne-markt-voor-clouddiensten-en-oplossingen-met-een-hoog-niveau-van-zekerheid.html

 

Afbeelding: Pixabay

Over de auteur(s)
Author picture
Corien Prins
Hoogleraar Recht en Informatisering