All posts tagged PRISM

Ja, Microsofts SharePoint Online opslag in de cloud in Dublin is wellicht technisch en procedureel safe; safer, professioneler en straffer genormeerd en gecertificeerd dan veel lokale hosting partijen kunnen bieden. En nee, deze opslag kan niet uitsluiten dat Amerikaanse justitie er op basis van de Patriot Act een beroep op zal doen.

Dit is het tweede deel van mijn blogs over SharePoint en cloudopslag. Ik had daarover een prettig gesprek met Hans Bos, National Technology Officer (NTO) bij Microsoft Nederland. “Bij ons weet je altijd waar je data staan” en “Staatsgeheimen bewaar je niet in de cloud”.  Twee uitspraken van Hans, die, verwijzend naar de normen en beloftes van Microsofts Office 365 trust Center graag transparantie en nuchterheid wil overbrengen waar het cloudopslag door Microsoft aangaat. Dat is fijn, daarom maar meteen met de deur in huis: mijn klanten – en ik zelf soms ook niet – zien door alle berichtgeving over geheime diensten, Amerikaanse justitie en hun al dan niet vermeende samenwerking met grote op internet opererende bedrijven als Microsoft, Google, Yahoo door de bomen het bos niet. De Patriot Act hype was net een beetje weggeëbd (maar niet vergeten), toen Snowden een wel heel grote kei in de vijver wierp.

De publicaties in The Guardian over de Snowden-onthullingen wekken de indruk dat o.a. Microsoft met die diensten samenwerkt zodat deze diensten zich toegang kunnen verschaffen tot ons handelen via internet.  Hans wil voorop stellen dat de hele discussie over de reikwijdte van nationale veiligheidsdiensten wat hem en Microsoft betreft ‘politiek en maatschappelijk’ is. Microsoft heeft daar geen rol in of uitspraak over, aldus Hans.  Wel wil Hans zo veel mogelijk transparantie nastreven waar het de internationale werking van justitiële verzoeken aangaat. Dit is een door wetten en overeenkomsten gereguleerd proces.

Dus ja, de VS kan op basis va de Patriot Act aan bedrijven met belangen in de Verenigde Staten data opvragen. Dit geldt onverkort voor de Dublinvestiging van het Microsoft datacenter.

Wanneer rechtshulpverzoeken conform mutual assistance overeenkomsten tussen overheden worden gedaan is er wel sprake van een lokale toetsing. En ook Nederlandse justitie laat zich niet onbetuigd in het zelf indienen van rechtshulp verzoeken.

Hans benadrukt dat dergelijke verzoeken geen blanco volmacht betekenen voor de Verenigde Staten of andere landen maar stuk voor stuk getoetst worden. Hij vindt dat een potentiële klant van een cloud service provider altijd moet vragen naar een beleid hoe die provider handelt bij dergelijke rechtshulpverzoeken.

Hoewel Microsofts Office 365 Trust Center onder ronkende koppen (‘Your privacy matters’, ‘Leadership in transparancy’) overtuigend de technische en procedurele veiligheid van zijn cloudopslag beschrijft, is helderheid over juist deze juridische vraagstukken – die Nederlandse potentiële klanten nu vaak nog weerhoudt van recordmanagement in Office 365 –  zo gewenst. Overigens geeft de publicatie – reeds vóór de Snowden-affaire – van zgn. ‘transparancy reports’ wel inzicht in de afhandeling van justitiële verzoeken door Microsoft. Daarbij werd wereldwijd in 2.2% van de 75.378 verzoeken daadwerkelijk inzicht in content verschaft.

Hans stelt dat er zoveel data en documenten in Nederlandse bedrijven en (overheids-)organisaties aanwezig is die niet aan absolute eisen van privacy of (staats-)veiligheid hoeft te voldoen, dat de discussie over de mogelijkheid of de kans van een ingewilligd informatieverzoek door een Amerikaanse overheidsinstantie  niet het juiste begin van een afweging voor cloud computing is.

In plaats daarvan zou de organisatie als eerste zich andere vragen moeten stellen: heeft de organisatie een businesscase voor cloudarchivering uitgevoerd of laten uitvoeren? Beschikt de organisatie over alle informatie om die businesscase te kunnen maken? Heeft de organisatie een informatiebeleid dat helderheid geeft over de waarde en gevoeligheid van alle soorten informatie? Is de huidige opslag van informatie wel zo veilig? Heeft de organisatie zicht op de risico’s die ze loopt, die ze kan en maximaal wil lopen bij de opslag van verschillende soorten informatie? Dus altijd eerst de drieslag businesscase/informatiebeleid/risicomanagement bezien voordat cloudopslag in SharePoint Online categorisch wordt afgewezen.

Ik vind de Snowden-onthullingen in The Guardian schokkend. Of misschien is het schokkender dat we als consumenten allemaal zo aan onze ‘gratis’ internetdiensten verslingerd zijn geraakt, dat we er niet over zouden denken om uit weerzin of protest ons Facebook-, Yahoo- of G-mail-account op te heffen.

De legale internationale rechtshulpverzoeken vormen een transparanter proces. De echte risico’s van recordsmanagement zullen niet zitten in een internationaal informatieverzoek. Die zitten in dagelijkse zorgvuldige vastlegging van informatie en documenten. En daar is voor bedrijven en instellingen, voorlopig, echt meer te winnen dan het buiten de deur houden van justitie of geheime diensten van welk land dan ook.

Deze zomer heeft mijn klant een SharePoint 2010 omgeving in productie genomen, inclusief intranet, inclusief zaaksysteem, inclusief document-management en records management, inclusief externe koppelingen, inclusief werkstromen. Vanaf de “Go” na de succesvolle proof of concept hebben we SharePoint binnen vier maanden in productie gebracht. Factoren voor succes: het vertrouwen van het management, een toegewijde en enthousiaste samenwerking tussen ICT en business, een heel harde deadline en de modules voor intranet, zaakgericht werken en digitaal archief van ETTU’s e-Connect suite.

Mijn opdrachtgever had bewust gekozen voor  een on premise installatie van SharePoint. Vertrouwelijke data en documenten liever niet in de cloud. De ophef over de bevoegdheden die de Amerikaanse Patriot Act geeft aan justitie in de VS om zich toegang te verschaffen tot cloudopslag is weliswaar geluwd maar zeker niet vergeten. Ook het groene licht van De Nederlandsche Bank aan financiële instellingen, einde 2012, om van Microsofts Office 365 gebruik te kunnen maken heeft dat wantrouwen niet geheel kunnen wegnemen. Hoewel leveranciers de overeenstemming tussen DNB en Microsoft over het ‘right to examine’ van DNB enthousiast verkochten als dat ‘DNB Office 365 goedkeurt’ heeft DNB zelf een zeer genuanceerd standpunt over cloud-computing.

Nederlandse onderzoekers schreven  in een degelijke studie over clouddiensten en de Patriot Act  vorig jaar nog dat het niet alleen gaat

“om de Patriot Act uit 2001, maar om een complex en dynamisch geheel aan bevoegdheden van de Amerikaanse overheid op het gebied van opsporing en nationale veiligheid. Buiten het schetsen van het wettelijk kader, is er gezien het karakter van het handelen van deze diensten in de praktijk geen zicht te krijgen op de werkelijke bevragingen van gegevens vanuit de VS.”

Nu, daar zijn we sinds NSA klokkenluider Snowden zijn onthullingen over PRISM in The Guardian liet publiceren wel iets wijzer geworden. Deze zomer buitelden de onthullingen over elkaar heen en ook Microsoft bleef niet verschoond van aandacht, zoals hier en hier… In de slipstream van al deze onthullingen kwam ook nog het bericht voorbij dat er een relatie zou zijn tussen het lekken van de informatie en het gebruik van SharePoint binnen de NSA. Dat bleek heel wat genuanceerder te liggen (hij had de informatie niet onttrokken aan SharePoint), maar natuurlijk bood de suggestie gelegenheid voor een rondje SharePoint-bashing.

SharePoint is een aantrekkelijk product, omdat de combinatie van functionaliteiten, de flexibiliteit, het gebruikersgemak en de beschikbaarheid van aanvullende producten de combinatie van digitaal werken èn digitaal archiveren zo goed ondersteunen. Ook met de wensen en beperkingen die ik voor recordsmanagement in de 2010 en 2013 versie eerder heb beschreven, vind ik het gebruikersgemak en de flexibliteit in inrichting en weergave nog altijd een grotere ‘opbrengst’ in records mogelijk maken dan een dedicated recordmanagement systeem kan bieden.

Microsofts cloudstrategie voor SharePoint en Office, zoals gepresenteerd op de laatste SharePoint Conference, beoogt kern en focus van zijn aanbod te verplaatsen van on premise naar de cloud. Als start is SharePoint Online in Office 365 nu in functionaliteiten gelijkwaardig aan SharePoint 2013. Geen functionele belemmeringen dus meer voor recordsmanagement in de SharePoint cloud!

Maar wat gaan (potentiële) SharePoint consumenten doen? Gaan ze mee naar de cloud, kiezen ze (voorlopig) voor on premise, of voor een hybride constructie? De succesvolle en vlotte implementatie uit de inleiding was alleen mogelijk on premise: die SharePoint-producten waren (en zijn) niet voor SharePoint Online beschikbaar.

Waren hybride constructies van SharePoint Online (bv voor samenwerking) en on premise (bv voor recordsmanagement) eerder problematisch door falende compatibiliteit, inmiddels zijn daar tussen SharePoint Online (2013) en SharePoint 2013 issues, zoals met search,  opgelost. Hybride oplossingen in SharePoint blijven, door hun complexiteit, wel een deskundige afweging vragen.

En naar de cloud? Kostenbesparing en flexibiliteit zijn de belangrijkste drijfveren om een migratie naar de cloud te rechtvaardigen. In de afwegingen rond veiligheid van de opslag worden ook terecht altijd de (bedrijfs-)juristen betrokken. Wat de afweging compliceert is ook de definitie van ‘cloud’,  waarbij vormen van ‘private cloud’ voor juristen vaak beter te verteren zijn.

Wat zeggen recordsmanagement deskundigen over recordsmanagement in de cloud? Een van mijn favoriete bloggers in het vakgebied, Ron Miller, stelt overigens dat we de veiligheid en beschikbaarheid van on premise installaties overdrijven.  Andersom vraag ik me ook af of de – al dan niet vermeende –  onveiligheid van de cloud niet te veel waarde wordt toegekend. Organisaties en bedrijven springen vaak nog slordig om met de zorgvuldige vastlegging van hun records, de beveiliging van hun informatie en (online) toegang tot hun systemen. De (financiële, politieke, imago-) risico’s van ongewenste Amerikaanse toegang tot Nederlandse data en documenten zijn kleiner dan de dagelijkse risico’s van gebrekkig recordsmanagement en gebrekkige beveiliging.

Binnenkort méér over SharePoint, recordsmanagement en cloud!