Steeds meer landen hebben een privacywetgeving voor zowel persoonlijke data als bedrijfsdata in het leven geroepen. Dit maakt het noodzakelijk om als organisatie regelmatig uw operatie en beleid op het gebied van data te evalueren en zo nodig bij te stellen.
De in 2018 door de Europese Unie ingestelde General Data Protection Regulation (GDPR) wordt gezien als de meest ingrijpende regelgeving op het gebied van dataprivacy en heeft meer dan honderd landen geïnspireerd (de teller stond op 145 in September 2021)1 tot soortgelijke wetten. Nieuwe wetgeving rond datasoevereiniteit zou zelfs nog meer impact kunnen hebben op uw bedrijfsvoering, vooral als er geen effectieve datamanagement-strategieën en -tactieken zijn geïmplementeerd.
Datasoevereiniteit is het juridisch concept dat data is onderworpen aan de soevereine wetgeving waarbinnen de data wordt verzameld en bewaard. Stelt u zich bijvoorbeeld voor, dat u een paar hardloopschoenen koopt van een online winkel uit Nederland genaamd Rotterdam Runners. Het verzamelen, bezitten en gebruiken van de data die door de online aankoop is gegenereerd valt onder zowel Nederlandse- als EU-regelgeving voor datasoevereiniteit. Deze regels beschermen privacy door toegang van ongeautoriseerde entiteiten tot de data te voorkomen.
Laten we vervolgens aannemen dat Rotterdam Runners een online webshop heeft op een Public Cloud-infrastructuur, waarbij ze – net als bijna twee derde van alle Europese Public Cloud-gebruikers – een Public Cloud gebruiken van een bedrijf uit de VS. Data- en communicatiebedrijven uit de VS vallen onder de U.S. CLOUD Act uit 2018, die bepaalt dat bedrijven op gerechtelijk bevel opgeslagen data moeten kunnen aanleveren van hun klanten of abonnees, vanuit iedere server die zij bezitten of beheren – ongeacht de fysieke locatie van deze server.2 Dus zelfs als de server van de Amerikaanse Public Cloud-provider waarop de website van Rotterdam Runners wordt gehost in Amsterdam staat, voldoet deze niet langer aan de datasoevereiniteitsregels van de EU, vanwege deze U.S. CLOUD Act.
Public Cloud en datasoevereiniteitsregels lijken dus op gespannen voet te staan. Toch is het niet noodzakelijk voor bedrijven als Rotterdam Runners om drastisch te besluiten geen gebruik meer te maken van Public Cloud-diensten.
Niet alle data is gelijk en sommige data valt niet onder privacywetgeving. Om die reden is het een goed om data te classificeren en zo te kunnen zien welke data welk beschermingsniveau nodig heeft. Volgens de richtlijnen van de Carnegie Mellon University kan data worden ingedeeld in drie categorieën3:
Op basis van deze drie datacategorieën lijkt de Public Cloud ideaal voor publieke data, zoals het openbare deel van de Rotterdam Runners website of de voorraadgegevens. Alleen de opslag van vertrouwelijke data in de Public Cloud, zoals uw adres- en betalingsgegevens, veroorzaakt problemen voor Rotterdam Runners op het gebied van datasoevereiniteit en privacy.
Hoe kunnen organisaties als Rotterdam Runners en de uwe vertrouwelijke data verzamelen en gebruiken, terwijl ze blijven voldoen aan lokale datasoevereiniteitsregels? Eén optie is een Private Cloud. Een Private Cloud wordt beheerd door en is eigendom van één enkele organisatie waarbij data wordt opgeslagen op lokale servers. Maar het beheer en het eigendom van verschillende lokale datacenters is kostbaar en complex, vooral voor multinationale organisaties. En kleinere ondernemingen, zoals Rotterdam Runners, hebben vaak geen IT-personeel om hun eigen Private Cloud te onderhouden.
Een andere optie is een soevereine Cloud. Deze kan gezien worden als een semi-private Cloud, die de beste functionaliteit van een Public en Private Cloud combineert. Soevereine Clouds zijn kleinere, multi-tenant omgevingen die worden beheerd door een ervaren, lokale Cloud-provider. Ze voldoen aan lokale dataopslag- en datasoevereiniteitsregels zonder de overhead en complexiteit van het eigendom en het beheer van eigen lokale datacenters.
Omdat alle data – inclusief metadata – lokaal wordt bewaard in een soevereine Cloud, geldt alleen de lokale wetgeving en hebben buitenlandse mogendheden geen toegang. Op deze manier heeft uw organisatie totale controle over uw data. Bovendien maakt een soevereine Cloud datamigratie naar andere landen eenvoudiger, een onderwerp dat later in deze serie wordt behandeld.
Deze reeks bestaat uit vier blog-artikelen: elke week plaatsen we een nieuwe.
Voor organisaties in Nederland biedt Fundaments een soevereine Cloud-omgeving die op Nederlandse grond staat en is ontworpen om te voldoen aan lokale wet- en regelgeving. Fundaments' soevereine Cloud, gebaseerd op het VMware Sovereign Cloud raamwerk, is de soevereine Cloud-oplossing die u helpt alle horden rond Nederlandse en Europese datawetgeving te nemen tijdens uw reis naar de Cloud.
