Mail in de VS en je bestanden hier? Het werkt niet
Zoals ik gisteren schreef, onze maatschappij en overheden draaien in steeds grotere mate op Amerikaanse clouds, en we maken ons hier nu terecht zorgen over. Want het is toch niet leuk dat de Amerikanen mee kunnen lezen in onze (overheids)gegevens, of zonder pardon de steker eruit kunnen trekken.
We zouden dit graag snel op willen lossen, maar er zijn geen makkelijke en goedkope keuzes. Inmiddels heeft (volgens geruchten) bijna de hele centrale rijksoverheid besloten om de email toch nog op eigen servers te houden, wat echt heel goed nieuws is.
Dit was een jaar geleden nog bijna ondenkbaar, toen reed de trein in volle vaart naar 100% van alle e-mail op Amerikaanse servers.
De ministeries mogen dan grotendeels besloten hebben de mailservers in eigen beheer te houden (wat echt geweldig is), maar diverse uitvoeringsorganen twijfelen nog. En juist die diensten, organen en agentschappen beschikken over onze meest intieme gegevens. Dingen die je niet noodzakelijk met Amerikanen wil delen.
Als voorbeeld, een gemeente heeft deze week op een haar na de gegevens van ondertekenaars van een pro-Gaza petitie opgeslagen op de Amerikaanse servers van hun MS 365 abonnement. Het ging net goed lijkt het, maar ik kan die ondertekenaars desondanks van harte aanraden om nooit meer naar Amerika te gaan. 100,0% van de Nederlandse gemeentes slaat z’n mail en documenten op bij Microsoft, dus dit is een actueel probleem.
Naar verluidt wordt zelfs overwogen om de basisregistratie personen (“het bevolkingsregister”) bij gemeenten open te stellen voor migratie naar Amerikaanse clouds. Wel met voorwaarde dat we nog een eigen kopietje bewaren. Dat dan wel.
Een compromis
Veel organisaties overwegen nu om hun gevoelige data, zoals gezondheidsdossiers, details van uitkeringen, strafbladen, belastinggegevens etc, wel op eigen servers op te slaan. Maar, het plan is dan om tegelijkertijd de email en Office-toepassingen op de Microsoft 365 cloud te zetten (“MS 365”).
Als je je medewerkers verbiedt (intern!) over klanten of burgers te communiceren per mail, en er overigens ook geen documenten over te schrijven, dan zou dit kunnen werken om onze (bijzondere) persoonsgegevens binnen Nederland te houden.
Maar zeg nou zelf, dat kan helemaal niet. Leuk dat er allemaal bestanden op een eigen Nederlandse server staan. Maar hoe gaat je organisatie OOIT werken als je die bestanden vervolgens geheim moet houden voor je email-omgeving en de documenten die je typt?
Hoe kan je werken als je het in de mail nooit mag hebben over je burgers of dossiers?
Het klinkt zo aantrekkelijk om te zeggen dat onze bestanden hier staan (veilig π³π±/πͺπΊ) en onze email en tekstverwerking daar (onveilig πΊπΈ). Maar deze werelden zijn niet te scheiden.
Ik zou ook heel graag willen dat het anders was, maar het is geen werkbaar compromis. Medewerkers moeten intern kunnen communiceren over burgers en gevoelige dossiers. Ze moeten er documenten over kunnen maken.
Dat de dossiers apart opgeslagen worden op een eigen server helpt niets als je vervolgens, door de praktijk gedwongen, toch die dossiers gaat bespreken of zelfs delen en bewerken op de Amerikaanse server.
Volg de weg van honderdduizenden werkplekken
Inmiddels is het plan om (naar mijn telling) voor meer dan 200.000 werkplekken binnen de overheid de email en documenten op servers in eigen beheer te houden, ook na de 14 oktober deadline hiervoor.
Dat betekent dus dat het kan. En dat betekent ook dat organisaties die nog twijfelen niet kunnen beweren dat het onhaalbaar is om dit nog te doen.
We zijn hier dol op compromissen. Maar het zal blijken dat het niet geloofwaardig is om te hopen dat onze vertrouwelijke documenten de vertrouwelijke server nooit verlaten. Mensen moeten namelijk hun werk kunnen doen. En vertrouwelijke data gaan dan bedoeld of onbedoeld eindigen op buitenlandse servers.
Dus voor de mensen die erover gaan, denk goed na voor je kiest voor voorzienbare problemen en schandalen in de toekomst. En consulteer de andere departementen die helder besloten hebben alle mail en documenten op eigen servers te houden.
Want het kost enige moeite, maar het kan wel.