Wellicht dat vragen hoe ze denken data terug te kunnen vinden (WOB, iemand?) ook nadat er mensen vertrokken zijn, of als de opslagleverancier failliet gaat of ineens geld wil voor je data, en hoe ze dat met lange-termijn archivering willen doen, al voldoende is om te concluderen dat al die oh-zo-handige consumentendiensten voor een overheid toch wel een klein beetje ongeorganiseerd zijn. En dus onbeheersbaar.

Lijkt me ook tijd om met de juridische afdeling te gaan kleppen; die kunnen eventueel Arnout voor je inhuren.

Maar bedenk ook dat simpelweg verbieden niet gaat helpen. Er moet wel een werkbaar alternatief zijn dat aan de eisen voldoet. Anders wordt het vingerzwaaien (terecht, er moet werk verzet worden) genegeerd.

(Kickbacks naar het gebruikelijke adres, graag.)

Ben je al bekend met het fenomeen Arnoud Engelfriet?
https://www.security.nl/artikel/46698/1/Juridische_vraag%3A_mag_je_het_Burgerservicenummer_kopi%C3%ABren.html

Hoewel het algemene nut wellicht ontbreekt, en er daardoor waarschijnlijk geen hele publicatie door Arnoud uit voort komt, is hij wel de allereerste die ik een mailtje zou sturen via juridischevraag@security.nl

Het is niet bedoeld als spam, maar: http://www.iusmentis.com/boek/ lijkt me ook wel een mooi beginpunt.

Ik werk bij een ministerie en kan bevestigen dat het op dit moment niet mag. Vanuit het rijk is besloten om alle 'cloud' zaken vooralsnog links te laten liggen en te werken via de Rijksmiddelen.

Oké, dus ik begrijp dat het sowieso niet is toegestaan om überhaupt zaken als Yammer voor de interne organisatie te gebruiken. Er is een ambtenaar die bijvoorbeeld documententatie over het applicatielandschap op Yammer heeft gezet. Hij is daarmee dus in overtreding? Er zijn voor mij nog te veel onduidelijkheden.

De volgende bronnen heb ik verzameld.

http://www.cbpweb.nl/Pages/med_20120910-zienswijze-cbp-cloudcomputing.aspx
http://webwereld.nl/cloud/44375-data-mag-niet-zomaar-het-land-uit
https://hostingrecht.nl/overheid-en-toezicht/waarom-is-de-patriot-act-nou-eigenlijk-een-probleem-voor-cloudgebruikers/
https://ictrecht.nl/ictrecht/overzicht-bewaarplicht-wie-wel-en-wie-niet/
http://www.cloudvps.nl/blog/nationale-clouds-geen-antwoord-op-datagraaien-us
http://www.amsterdam.nl/gemeente/bedrijfsvoering/stijlweb/middelen/digitale-middelen/social_media/

Natuurlijk houd ik de actuele media in de gaten.

Bij een ministerie ben je dan zeer zeker in overtreding. Ik moet je eerlijk toegeven dat de documentatie aan mijn kant ook schaars is, ik haal het uit MT overleg en dergelijken. Recentelijk was het ISO27001 nog een probleem juist om dat de documentatie aan alle kanten te kort schoot.

Zover ik weet; Het rijk, en alle onderliggende semi-overheidsorganen, hebben besloten geen cloud diensten van derden te gebruiken tot nadere orde. Dit had iets te maken met een soort 'private cloud' waarmee de overheid bezig is - maar hier heb ik niets meer over gehoord, dit loopt nog. Partijen als Google, Amazone, Apple, etc. mogen (althans bij ons) niet gebruikt worden en zijn ook afgesloten.

Simpele tip: Zet een wiki op, ergens op een interne machine. Desnoods op een werkstation (maar liefst wel met een dnsnaam als wiki.lan oid zodat je 'm makkelijk naar een echte server verplaatsen kan--je kan eventueel zelfs beginnen met een servertje in een virtualbox te stoppen, zoveel resources vreet een simpel wikiwebservertje niet). Daar kun je verbazend makkelijk allerlei interne dingen op kwijt, en juist omdat het zo'n simpel idee is, is het makkelijk aan te leren en een simpele implementatie is niet ingewikkeld om te onderhouden.

Ligt een beetje aan je omgeving welke je kiest. Kijk bij http://wikimatrix.org voor meer keuze dan je lief is. Tot nu toe een paar keer dokuwiki gebruikt, beviel best aardig. Met de juiste inslag en een beetje promotie kun je vrij makkelijk de rest meekrijgen voor het publiceren van allerhande handigheden binnen de afdeling. Zorg in ieder geval dat jouw keuze CREOLE ondersteunt, dat kan een boel gedonder schelen.

Sommigen hebben allerlei uitvoerplugins. Zo'n mechanisme is handig als er later op een ander formaat overgegaan wordt (een heel DMS oid), en dan is uitvoer te regelen, desnoods per custom uitvoerplugin.

Met zoiets achter de hand heb je een veel grotere kans dat je de data binnenshuis houdt. Van alleen magnieten wordt niemand wijzer. Ook al is dat kennelijk het favoriete cadeautje van de ambtenarij aan de burgerij.

Alle software om online samen te werken is er. Wij gebruiken daarvoor de oplossingen van Novell. Ik ben er achter gekomen dat grofweg een helft van de organisatie het wel gebruikt en een helft niet. De helft die het niet gebruikt vindt het te moeilijk of is simpelweg digibeet of een oudere generatie. Wij hebben dus sowieso meerdere uitdagingen op de bedrijfskundige, informatievoorzienende, juridische, organisatorische en personele vlakken. De discussie, die is ontstaan, wordt tot aan de gemeentesecretaris nu gevoerd.

Ik sluit me aan bij AcidBurn......

Het opslaan van persoonsgegevens buiten de EU (servers van bijv. google) wordt gezien als het exporteren van persoonsgegeven en dit is zelfs strafbaar bij mij weten.

Het feit dat er een wildgroei van dergelijke applicaties kan ontstaat (zoals je aangeeft) geeft ook aan dat er zeer waarschijnlijk ook niet aan degelijk IT-management gedaan wordt, anders had die niet mogelijk geweest. Ik zou dus ook een kritisch naar jullie IT kijken ...

Volgensmij was dit een bepaling van de rijksoverheid en dus geldend voor alle ministeries en semi-overheid. Het is echter maar de vraag of dit in de praktijk ook daadwerkelijk zo word uitgevoerd. Ik zie nogal een wildgroei van software pakketjes her en der. Sterker nog, ik kwam laatst een medewerker tegen die gewoon uiterst vertrouwelijke documenten op zijn eigen tablet had staan.......

Ik zal eens kijken of ik intern wat meer informatie kan krijgen daarover..

Deze vond ik vanavond: http://www.zdnet.nl/nieuws/149969/zweedse-overheden-moeten-stoppen-met-google-apps/. Continu zoemen de woorden vertrouwen en autoriteit van de overheid door mijn hoofd. De contracten zijn niet volledig sluitend. Bij wet is er dus niets verboden. De discussie moet dus gaan over de wenselijkheid om van dit soort diensten gebruik te maken.

Dat was de vraagstelling niet. Het haat er om of het mag.

Voor Rijksdiensten geldt:
http://www.visualstart.nl/bir/index.php?i=1
Voldoen hieraan is voldoende voor departementaal vertrouwelijke en WBP risicoklasse 2 gegevens. Voor gegevens geclassificeerd als staatsgeheim en hoger dienen A&K analyses uitgevoerd te worden.

Gemeentes zullen eerder met gevoelige WBP gerelateerde zaken te maken hebben vermoed ik. Denk aan GBA e.d.
Waarschijnlijk dat ook hier risico analyses uitgevoerd dienen te worden of bepaalde gegevens bij een externe dienst onder gebracht mogen worden. Of gewoon afspreken van niet is makkelijker natuurlijk.

Systeemdocumentatie lijkt me een vrij simpel voorbeeld van iets wat je niet online wilt zetten..
Daar heb je geen risico analyse voor nodig.

"Het opslaan van persoonsgegevens buiten de EU (servers van bijv. google) wordt gezien als het exporteren van persoonsgegeven en dit is zelfs strafbaar bij mij weten. "

Dat hangt van de situatie af, bijvoorbeeld of je je aan de International Safe Harbor Privacy Principles houdt, om er voor te zorgen dat je handelt volgens de normen van het Europese Data Protection Directive 95/46/EC. *)

Stellen dat het exporteren van persoonsgegevens hoe dan ook strafbaar is, dat klopt niet.

*) zie ook http://en.wikipedia.org/wiki/Directive_95/46/EC_on_the_protection_of_personal_data

Geen idee of de wikiquote klopt, maar Safe Harbor is absoluut geen garantie dat je persoonsgegevens beschermt zijn conform de WBP / Europese richtlijn. Safe Harbor is een self certification programma door het DEparment of Commerce als marketing truc om te doen voorkomen dat US bedrijven eraan voldoen. Bedrijven sluiten zich aan en verklaren zich er aan te houden.

Nog los van het feit dat recent PRISM toch wel heel duidelijk aantoont wat dat waard is...

Voor de volledigheid: transporteren buiten EU is niet per definitie strafbaar. Je moet aantonen dat je de gepaste technische en organisatorische maatregelen neemt om gegevens te verschermen. Als jij binnen redelijke mate kunt aantonen dat jouw data in de cloud op US servers TOCH veilig is dan mag het. Sluitende overeenkomsten met de betreffende partner die optreedt als verwerker zijn juridisch voldoende, praktisch is een tweede natuurlijk.

Ik weet zeker dat binnen de rijksoverheid deze statement niet correct is maar ik zie graag documentatie die deze uitspraak staaft.

Schele heeft in het kader van de WBP gelijk. Volgens mij zijn er binnen de rijksoverheid geen duidelijker regels opgesteld. In de recent geupdate BIR:2012 (baseline informatiebeveiliging rijksdienst) staan hierover ook geen duidelijke regels. Het kan dat er per departement aanvullend beleid is opgesteld maar afgezien van specifieke eisen bij Defensie en Justitie ben ik die nog niet tegengekomen.

Het blijft dus een afweging die je zelf moet maken. Zoals schele al stelt is de safe harbor regeling een zelf certificatie. Het heeft daarom alleen waarde in juridische zin omdat het je help aan de WBP te voldoen. Ik heb hier in 2011 op een conferentie met de undersecretary of commerce van de US over gesproken en hij gaf "off the record" aan dat het safe harbor programma geen enkele garantie was voor de bescherming van persoonsgegevens.

Of Safe Harbour een garantie is voor een "passend beschermingsniveau" betwijfel ik ook maar binnen de EU is in ieder geval bepaald dat dat wel voldoende is om de gegevens zonder toestemming van de minister van Veiligheid en Justitie bij die bedrijven in de US te mogen plaasen. De lijst met de betreffende bedrijven vindt je hier: http://safeharbor.export.gov/list.aspx. Dropbox, Google, Amazon en Microsoft staan er tussen maar met het recente PRISM nieuws is het de vraag wat dat waard is.
Verder is er een lijst met landen waar ooit al eens een uitspraak is gedaan of er sprake is van een passend beveiligingsniveau.

Deze lijst bevat alle landen waarvoor de Europese Commissie een besluit heeft genomen over het wel of niet passend zijn van het geboden beschermingsniveau in deze landen.

- Andorra
- Argentinië
- Australië
- Canada (Canadian Personal Information Protection and Electronic Documents Act)
- Faroer Eilanden
- Guernsey,
- Isle of Man,
- Israel
- Jersey
- Uruguay
- Verenigde Staten
- - Passenger Name Record
- - -Informatie van vliegtuigpassagiers doorgegeven aan de United States Bureau of Customs and Border Protection
Safe Harbour
- - Let op: een passend beschermingsniveau wordt alleen geboden door de bedrijven en andere organisaties die zich hebben verplicht tot het toepassen van de zogenaamde Safe Harbour regels.
- Zwitserland

Met deze landen mag zonder een vergunning van de minister data uitgewisseld worden.

Als een derde land geen passend beschermingsniveau heeft, zijn er twee mogelijkheden om toch gegevens naar derde landen te mogen doorgeven.

De eerste mogelijkheid is doorgifte op basis van de uitzonderingen die in de wet worden genoemd, bijvoorbeeld ondubbelzinnige toestemming van betrokkenen of doorgifte noodzakelijk in het kader van een overeenkomst. Deze uitzonderingen dienen restrictief geïnterpreteerd te worden.

Doorgifte op basis van vergunning
De tweede mogelijkheid is doorgifte op basis van een vergunning van de minister van Veiligheid en Justitie. Aan een dergelijke vergunning worden nadere voorwaarden verbonden die als waarborg voor de bescherming van persoonsgegevens dienen. Een vorm van deze waarborg is het gebruik van modelcontracten die goedgekeurd zijn door de EC.

Bronnen:

Regelgeving CPB aangaande doorgifte derde landen inzake gegevensverwerkingen: http://www.cbpweb.nl/pages/inf_va_doorgifte.aspx

Lijst van landen met een passend beschermingsniveau:
http://www.cbpweb.nl/Pages/int_lijst.aspx

Google naar ISO27001

mvgr,

J.

"Google naar ISO27001 "

ISO27001 zegt helemaal niets over de vraag waar een Nederlandse overheidsinstantie gegevens mag opslaan, ik zie de relevantie van je reactie niet in deze discussie.

Geeft de combinatie van Archiefwet, -besluit & -reglement niet ook wat houvast?

Je hebt het correct, de Rijksoverheid mag geen data opslaan buiten de EU. En idd dit geld voor de gehele Rijksoverheid.
Wij moesten altijd een verklaring uitgeveren, dat wij geen enkele data omtrent de Rijksoverheid op servers opslaan die buiten de EU staan.

@To & Zandubar Vraag maar naar de SURC overeenkomst. Hier staat overigens wel meer in omtrent veiligheid, die vaak alleen een papiere tijger is.