97 procent van de Leidse organisaties goed toegerust op naleving privacywetgeving

Leidse bedrijven en organisaties lijken goed toegerust op naleving van de AVG-privacywetgeving. Eerder onderzocht de NOS bedrijven en organisaties in heel Nederland. Daarvan was slechts 24 procent onafhankelijk van Amerikaanse techbedrijven. Onderzoek van TransIP naar in Leiden gevestigde bedrijven laat zien dat 97 procent voor leveranciers in Nederland kiest en daarmee goed is toegerust op naleving van de AVG.

Eerder dit jaar onderzocht de NOS het gebruik van de cloud door Nederlandse overheidsdiensten en grote bedrijven. Uit dat onderzoek kwam onder meer naar voren dat de meeste organisaties hun e-mail onderbrengen bij Amerikaanse techbedrijven. Bij 76% van de onderzochte instellingen bleek de e-mail in beheer bij Microsoft of Google; twee bedrijven uit de VS.

Digitale privacywetgeving in Nederland

Europa beschermt de digitale privacy met de GDPR (General Data Protection Regulation). In Nederland is deze verordening verankert in de wet via de AVG (Algemene Verordening Gegevensbescherming). Kort samengevat maakt deze wet organisaties die persoonsgegevens verzamelen en gebruiken verantwoordelijk voor de veiligheid, juistheid en wetmatigheid van de verwerkte data. Mensen wiens gegevens verwerkt worden, krijgen binnen de AVG meer rechten.

De CLOUD Act en de GDPR

In de VS gevestigde (tech-)bedrijven die in Europa actief zijn, moeten binnen de EU voldoen aan de GDPR. Dit blijkt in de praktijk lastig te garanderen omdat de GDPR botst met de CLOUD Act die in de VS geldt. Deze wet verplicht bedrijven met vestigingen in de VS om op verzoek data met overheden (in de VS) te delen; zelfs als die data buiten de grenzen van de VS opgeslagen zijn. Het kan daarom gebeuren dat een bedrijf moet kiezen tussen voldoen aan de CLOUD Act of aan de GDPR.

Voldoen aan de AVG is een uitdaging

Het spreekt voor zich dat ieder bedrijf in Nederland zich aan de Nederlandse wetgeving moet houden. De AVG geeft bedrijven en organisaties die persoonsgegevens verwerken een verantwoordingsplicht. Om daaraan te voldoen moeten ze controle houden over de toegang tot data die verwerkt worden. Dat geldt ook voor data die worden opgeslagen in de cloud.

Een grijs gebied voor de AVG

Vaak wordt gedacht dat het relatief eenvoudig is om te voldoen aan de AVG: zo lang de data worden opgeslagen binnen de EU, gelden de regels van de EU en zou er sprake van compliancy zijn. De CLOUD Act gooit roet in het eten. Deze wet verplicht bedrijven die in de VS vestigingen hebben om data te delen met de Amerikaanse overheid; zelfs als die data binnen de EU-grenzen staan. Dat maakt het gebruik van clouddiensten van Amerikaanse techbedrijven een grijs gebied voor de AVG.

AVG-waarschuwing Nationaal Cyber Security Centrum

In 2022 waarschuwde het Nationaal Cyber Security Centrum al voor de tegenstrijdigheid tussen de GDPR en de CLOUD Act. Zij wijzen erop dat grote techbedrijven bij privacyconflicten moeten kiezen tussen ingaan tegen de EU of tegen de VS. Dat brengt naleving van de AVG in gevaar.

Clingendael bezorgd over digitale economische veiligheid

Instituut Clingendael voegde daar in maart 2024 een waarschuwing aan toe: de digitale economische veiligheid in Nederland (en de EU) is kwetsbaar voor geopolitieke schommelingen. Eén van de redenen daarvoor is overmatige afhankelijkheid van techbedrijven uit de VS. Als die om welke reden dan ook de diensten onbereikbaar maken, zijn de problemen niet te overzien.

Hoe afhankelijk zijn Nederlandse organisaties van de cloud?

Reden voor de NOS om te onderzoeken hoeveel organisaties afhankelijk zijn van grote cloudproviders. Hosting van e-mail in de cloud is populair. Organisaties en bedrijven kunnen tegen lagere kosten gebruik maken van betere diensten met een hogere beveiligingsgraad. Om beeld van de afhankelijkheid van techbedrijven te krijgen, keek de NOS daarom naar gebruik van e-mail via de cloud.

Werkwijze NOS

Om te bepalen of (en zo ja van welke) dienst een organisatie gebruikt voor mail, keek de NOS naar MX-records. Deze MX-records zijn onderdeel van het DNS (Domain Name System). Het DNS is te zien als het telefoonboek van internet. Hierin staat welk nummer achter een webadres schuil gaat. Het DNS gebruikt MX-records om aan te geven naar welk nummer (IP-adres) e-mails verstuurd moeten worden.

76 procent van de Nederlandse organisaties afhankelijk van Amerikaanse clouddiensten

De NOS bekeek de MX-records van 21.670 Nederlandse overheidsinstellingen en zelfstandige bestuursorganen, 3.800 grote bedrijven en 110 bedrijven die onder vitale infrastructuur vallen. Zij kwamen tot de conclusie dat 66 procent van de onderzochte instellingen en bedrijven de mail onderbrengt bij Microsoft en 10 procent bij Google; samen 76 procent. Tegenover 17 procent met een Nederlandse dienst en 7 procent die de mail zelf host. Deze cijfers zijn indicatief. Een dienst van derden zou eventueel ook een verwijzing naar een spamfilter, Content Delivery Network (CDN) of load-balancer kunnen zijn.

Hoe gaan Leidse organisaties om met hosting?

In opdracht van TransIP is gekeken hoe grote Nederlandse organisaties en bedrijven die in Leiden gevestigd zijn omgaan met hosting. Hierbij is gekozen voor 30 bedrijven uit verschillende branches. Het betreft de hosting en registratie van de volgende organisaties:

·       Gemeente Leiden

·       LUMC

·       Eurotransplant

·       Universiteit Leiden

·       Zorg & Zekerheid

·       Leids Dagblad

·       BCPlus

·       Naturalis

·       Rijksmuseum van Oudheden

·       Wereldmuseum Leiden

·       Rijksmuseum Boerhave

·       Corpus

·       Loetje

·       Shabu Shabu

·       La Cubanita

·       ‘t Zusje

·       Golden Tulip

·       Bastion Hotels

·       Van der Valk Leiden

·       City Hotel Nieuw Minerva

Alle onderzochte Leidse organisaties hosten binnen de EU, slechts 1 buiten Nederland

28 van de 30 organisaties die wij onderzochten heeft de hosting geregeld met een Nederlandse partij. 1 organisatie (het LUMC) valt op omdat het alle hosting zelf op eigen locatie regelt. Een ander Leids bedrijf valt op omdat het met de trend breekt. City Hotel Nieuw Minerva regelt de hosting en registratie namelijk bij een partij in het buitenland. Heel ver weg is dat niet: zij gebruiken diensten in België. Beide organisaties gingen niet in op een verzoek om toelichting voor deze keuzes.

Twee opties om volledig aan de AVG te voldoen

Door de hosting en registratie onder te brengen bij een Nederlandse host, voldoen bedrijven in theorie aan de AVG. Mede door de CLOUD Act is het lastiger om met volledige zekerheid AVG-compliant te zijn. Als de partij waarmee wordt samengewerkt ook in de VS actief is, is naleving van de AVG volgens het NCSC namelijk niet te garanderen. Waar nodig, zijn er twee opties om volledig binnen de AVG te werken.

1.       Servers helemaal in eigen beheer nemen

2.       Een 100 procent Nederlandse cloudomgeving afnemen

Servers helemaal in eigen beheer nemen

Zoals het LUMC kunnen bedrijven hun servers volledig op locatie in eigen beheer nemen. Dit heeft als nadeel dat het relatief kostbaar is en om gespecialiseerde en ervaren mensen vraagt. Als alternatief is het mogelijk om een eigen server in Nederland als dienst af te nemen bij een volledig Nederlandse host.

Een 100 procent Nederlandse cloudomgeving afnemen

Een andere optie is een cloudomgeving afnemen die fysiek volledig in Nederland staat en in beheer is van een Nederlands bedrijf. Bedrijven kunnen dit als dienst afnemen door gebruik te maken van een host die OpenStack technologie inzet. Hiermee is relatief eenvoudig een eigen cloudomgeving op te bouwen die volledig AVG-proof is.

Leiden doet het goed

De onderzochte Leidse organisaties voldoen allemaal aan de eis dat hun data binnen Europa worden bewaard. Leiden doet het wat dat betreft goed. Om volledig aan de AVG te voldoen blijft het de vraag welke data opgeslagen zijn en bij wie ze staan. Daar is meer onderzoek voor nodig.