We hebben genoeg redenen om in de Cloud te werken (en nee, COVID-19 is er niet een van!):
- Het is goedkoper dan in-house servers
- Het is makkelijker om al je werk op één plek te hebben
- Het maakt samenwerken makkelijker omdat iedereen overal toegang toe heeft
En zo gaat de lijst maar door. Daarom kwam de Schrems II uitspraak van het Hof van Justitie van de Europese Unie als een onaangename verrassing voor veel bedrijven die in de Cloud werken. We horen je hersens al kraken: wat is in vredesnaam Schrems II? Wat heeft dat te maken met de Amerikaanse Cloud ACT? Lees rustig verder en we leggen het je stap voor stap uit!
Wat is Schrems II?
Schrems II is een baanbrekend privacyvonnis dat plaatsvond in de zomer van 2020, hierin werd de Privacy Shield-handelsovereenkomst tussen de EU en de VS namelijk ongeldig verklaard. Simpel gezegd betekent het dat het nu praktisch illegaal is om privacygevoelige informatie naar de VS te versturen, tenzij deze voldoet aan een beschermingsniveau die gelijkwaardig is aan de GDPR.
Hoe is Schrems II tot stand gekomen? Nou, wanneer je de link legt tussen digitalisatie en privacy kom je al snel uit bij Facebook... en dat is hoe “Schrems I” begon. Een Oostenrijkse advocaat, Maximilian Schrems, was op zijn zachtst gezegd niet blij met de gegevensverzameling door Facebook. Hij diende een klacht in en ging vervolgens hogerop in de rechtzaak “Schrems I”, waardoor de EU-VS ‘Privacy Shield’ opgezet is. Deze overeenkomst is echter van de baan geschoven met “Schrems II”.
Wat is de Cloud Act?
Oké en hoe verhoudt dit zich tot de Cloud Act? Op het moment dat meneer Schrems een klacht indiende tegen Facebook, was hij met name bezorgd over diens vermeende betrokkenheid bij het controversiële PRISM-programma van de Verenigde Staten. (PRISM geeft de Amerikaanse staat toegang tot de gegevens van een reeks grote Amerikaanse internetbedrijven.)
Als we het over de Cloud Act hebben, dan geeft deze wet de Amerikaanse autoriteiten het recht om data op te vragen bij Amerikaanse bedrijven. De Cloud Act staat haaks op de GDPR. Dit heeft het debat over Amerikaanse Cloud providers alleen maar aangewakkerd.
De Cloud Act geldt namelijk voor alle Amerikaanse bedrijven en de buitenlandse klanten die hun data bij hen opslaan. Als je dus een Cloud provider zoals Microsoft, Google of Amazon gebruikt, moeten zij zich houden aan de Cloud Act, zelfs als hun servers in Europa zijn opgeslagen. Bizar, toch? Wacht nog heel even met het tekenen van de volgende petitie: Amerikaanse Cloud providers zijn niet automatisch onveilig. Het gaat puur om hoe jij jouw data opslaat.
Welke gevolgen hebben Schrems II en de Cloud Act voor mensen in de EU?
Nou, ten eerste wordt het je wel heel moeilijk gemaakt om privacygevoelige informatie over de oceaan te sturen. Is het eigenlijk wel mogelijk om GDPR-compliant te zijn in de Cloud? Je kunt de GDPR niet negeren en dat betekent dat je geen gegevens naar een land buiten de EU kunt verzenden zonder een hoge mate van bescherming.
Dat brengt ons in een lastig pakket. We kunnen de Cloud Act moeilijk negeren, we willen graag de Cloud blijven gebruiken (het is makkelijker! En goedkoper!) en we willen óók voldoen aan de GDPR.
Hoe? Dat is afhankelijk van jouw encryptie én waar jij jouw encryptiesleutels opslaat. Lees snel verder!
Hoe zit het nou met de Cloud en GDPR? Luister naar GDPR- en databeveiligingsexpert Alexander Hanff in onze webinar.
1. Versleutelde gegevensbescherming - je beste vriend in veilige communicatie
Maak kennis met je beste vriend in de strijd voor databescherming: Encryptie! Je hebt encryptie nodie bij het verzenden van e-mails op een veilige manier. Encryptie zorgt er namelijk voor dat je informatie niet kan worden gelezen door een externe partij, zoals bijvoorbeeld die gewiekste Amerikaanse autoriteiten waar we het al eerder over hadden. Zeg maar dag tegen de Cloud Act!
Juich alleen nog niet te vroeg: niet alle encryptie is even veilig. Als je je gegevens wilt beschermen tegen de Cloud Act, moeten ze namelijk versleuteld zijn als de informatie wordt opgeslagen en niet alleen wanneer het verstuurd wordt. Dit is ‘encryptie in rust’. Ook hier zijn nog steeds risico's aan verbonden.
Stel, je verstuurt gevoelige info via de e-mail zoals een patiëntendossier, alleen nu breekt iemand in deze berichten in. Wat nu? Als het dossier niet versleuteld is tijdens het versturen, kan dit door iedereen worden ingelezen. Maar Smartlockr, zei je net niet dat encryptie dé oplossing voor al mijn problemen zou zijn? Waarom is encryptie niet voldoende?
Om je informatie effectief te beschermen, moet encryptie gedurende het hele proces worden gebruikt. Dit is end-to-end encryptie, dat gebruiken we bij Smartlockr.
Meer weten over hoe encryptie werkt en de voordelen tussen verschillende soorten encryptie? Lees het hier: https://www.smartlockr.io/nl/encryptie
2. Opslag van encryptiesleutels
Nu we het over end-to-end encryptie hebben gehad, is het tijd om de volgende stap te bespreken: encryptiesleutels. Dit is de sleutel die jouw versleutelde bericht ‘ontsleuteld’. Encryptie vereist twee soorten sleutels: een encryptie sleutel die de informatie onleesbaar maakt en een decryptie sleutel waarmee je het bericht kan lezen. Om je data tegen de Cloud Act te beschermen, moet je goed bijhouden waar jouw encryptiesleutels opgeslagen zijn.
Dus hoe hou je jouw informatie veilig uit de handen van de Amerikaanse autoriteiten? Simpel: bewaar je sleutels apart van je Cloud provider. Dit is zero knowledge en dat gebruiken we bij Smartlockr. Zelfs als jouw informatie zichtbaar wordt voor Amerikaanse autoriteiten, dan hebben ze er nog niks aan. De zender en de ontvanger zijn de enige personen die namelijk toegang hebben tot de encryptiesleutels waardoor de informatie waardeloos is voor externe partijen.
Zet je digitale deur op slot met zero knowledge encryptie. Lees hier meer
Dit is waarom je versleutelde databeveiling nodig hebt voor e-mail
We kunnen het duidelijker maken: e-mail is gewoonweg een van de meest gebruikte manieren om professioneel te communiceren. Wist je dat er 306,4 miljard e-mails per dag worden gestuurd? Dat is inclusief die van jou! Dus je kunt er maar beter zeker van zijn dat ze veilig verstuurd worden voor je eigen gemoedsrust. Ook niet onbelangrijk: in de GDPR is encryptie verplicht.
Door je informatie te versleutelen, volg je niet alleen de wet, maar is je informatie ook beschermd tegen de Cloud Act. Win-win, als je het ons vraagt. Goed nieuws: Smartlockr gebruikt end-to-end encryptie met zero knowledge, waardoor je volledig beschermd bent wanneer je privacygevoelige informatie verstuurd. Van versleutelde emails tot aan de encryptiesleutels, Smartlockr beschermt je van begin tot eind.
Meer weten over de Cloud, de Cloud Act en encryptie? Lees ons e-book ‘Zijn Amerikaanse cloud providers veilig voor jouw data?’ hier.