In de gaten houden waar gegevens over het internet reizen, is relevant voor elk bedrijf dat erom geeft welk land toegang heeft tot zijn privé-informatie. Waar gegevens zich precies verplaatsen en worden opgeslagen, hangt samen met het concept van gegevenssoevereiniteit, het idee dat gegevens worden beheerst door de wetten van het land waar ze zich bevinden.
Als gegevens in Canada blijven, zijn de lokale privacywetten van toepassing op persoonlijke informatie. Maar die controle kan verloren gaan zodra gegevens buiten de grens glippen.
[ Lisez la version française: « Ce que tout DSI canadien devrait savoir sur la souveraineté des données » ]
Datasoevereiniteit komt steeds vaker op de agenda van CIO’s en CISO’s over de hele wereld, aangezien cloudservices met losse geografische grenzen steeds vaker voorkomen. Veel landen, vooral in Europa, hebben strengere regels ingevoerd om de gegevens van hun burgers te beschermen.
Canada is geen uitzondering. Dit is wat elke Canadese CIO en CISO moet weten over gegevenssoevereiniteit.
Gegevenssoevereiniteit in Canada: federale of provinciale jurisdictiekwesties
Hoe gegevens in Canada worden behandeld, hangt af van het type organisatie en de provincie waar deze zich bevindt. De wetten zijn gericht op persoonlijke informatie van burgers of consumenten.
Er zijn twee reeksen federale wetten van toepassing op gegevens: de privacywet voor federale instellingen en de wet op de bescherming van persoonlijke informatie en elektronische documenten (PIPEDA) voor organisaties in de particuliere sector.
Er is geen regel die bepaalt dat de federale overheid haar gevoelige gegevens in Canada moet bewaren, maar de richtlijn inzake digitale diensten die in 2020 is bijgewerkt, zegt dat het houden van computerfaciliteiten binnen de grenzen als de eerste keuze moet worden beschouwd.
Ottawa erkent dat zelfs als gegevens zich in Canada bevinden, ze, als ze eenmaal in de cloud staan, onderhevig kunnen zijn aan de wetten van het thuisland van de cloudserviceprovider. Het stelt dat de technische voordelen opwegen tegen de risico’s, ook al betekent dit dat de overheid nooit volledige soevereiniteit over haar gegevens kan hebben. De Canadese regering doet bijvoorbeeld zaken met zowel Amazon’s AWS als Microsoft Azure. Beide hosten gegevens in Canada, maar zijn gevestigd in de VS, waar ze onderworpen zijn aan de Amerikaanse Foreign Intelligence Service Act.
Maar sommige provincies hebben strengere regels. Québec heeft in november 2021 wetgeving aangenomen die organisaties verplicht een privacybeoordeling uit te voeren als ze van plan zijn gegevens buiten Québec te verzenden, en British Columbia vereist dat overheidsinstanties persoonlijke informatie binnen Canada opslaan. Dat gezegd hebbende, overweegt British Columbia de regels voor gegevenssoevereiniteit te versoepelen om het gebruik van digitale diensten gemakkelijker te maken.
Een Canadese AVG? Nieuwe regels kunnen om de hoek zijn
Sinds de EU de AVG (Algemene Verordening Gegevensbescherming) heeft ingevoerd, is er gespeculeerd dat soortgelijke regels naar Canada zouden kunnen komen. De AVG bepaalt dat elk bedrijf waar ook ter wereld dat persoonlijke informatie van EU-ingezetenen bezit, strikte controles moet toepassen op het gebruik van die gegevens en die inwoners enige autoriteit moet geven over dat gebruik. De AVG zegt ook dat bedrijven of overheidsinstanties de gegevens van EU-ingezetenen niet buiten hun eigen rechtsgebied mogen verplaatsen, tenzij ze op dezelfde manier worden beschermd door privacywetten, waar ze zich ook verplaatsen.
Canada heeft in 2021 wetgeving ingevoerd die de regels voor gegevensprivacy zou bijwerken om meer op de AVG te lijken, maar het wetsvoorstel is nooit aangenomen. Politici zullen er naar verwachting in 2022 nog een keer mee aan de slag gaan. Hoe dan ook, CIO’s en CISO’s zouden er verstandig aan doen om naar Europa of de nieuw geslagen Bill 64 van Québec te kijken om te zien wat voor soort vereisten er in de toekomst zouden kunnen zijn.
Bedrijven moeten hun huiswerk doen onder PIPEDA
Voorlopig moeten Canadese CIO’s en CISO’s binnen de bestaande kaders werken.
Er is niets expliciets over gegevenssoevereiniteit in PIPEDA, de wet die bepaalt hoe particuliere organisaties omgaan met consumenteninformatie. Maar PIPEDA legt de verantwoordelijkheid bij bedrijven om alle persoonlijke informatie, ongeacht hoe deze is opgeslagen, te beschermen tegen “verlies, diefstal of ongeoorloofde toegang, openbaarmaking, kopiëren, gebruik of wijziging”.
Dat is een enorme onderneming. Cloudleveranciers, met name de gigantische hyperscalers AWS, Microsoft en Google die hun eigen centra hebben gebouwd in Canadese steden, doen veel werk om de veiligheid van hun activiteiten te waarborgen. Maar CIO’s en CISO’s moeten ook de juiste vragen stellen, zegt Megha Kumar, IDC’s research vice president voor software en clouddiensten. “Als organisatie moet je je due diligence doen. De verantwoordelijkheid ligt niet bij cloudproviders, maar bij jou”, zei ze.
Kumar raadt aan om met de cloudprovider samen te werken om vragen te beantwoorden zoals hoe gegevens in rust en in beweging worden behandeld, hoe deze worden geclassificeerd en welke gegevenssets in de eerste plaats naar de cloud moeten worden verplaatst.
Het nemen van deze extra stappen kan helpen bij het opbouwen van vertrouwen bij klanten. “Het laat zien dat je een organisatie bent die de zaken van de klant serieus neemt, de informatie van de klant serieus,” zei ze.
Vergeet data in beweging niet
Het is gemakkelijker om over gegevenssoevereiniteit na te denken als de informatie niet beweegt. Immers, als gegevens zich in een enorm computercentrum in Canadese handen in Toronto bevinden, is het duidelijk dat de Canadese privacywetten van toepassing zijn. Maar het wordt ingewikkelder wanneer die gegevens van punt A naar punt B moeten gaan.
Het pad van Toronto naar Montréal kan bijvoorbeeld door de Verenigde Staten lopen, afhankelijk van hoe een netwerk is geconfigureerd. Er is niet veel zicht op welke glasvezelkabel de gegevens van een bedrijf op een bepaald moment kunnen reizen, zei Jacques Latour, chief technology and security officer bij de Canadian Internet Registry Authority (CIRA). Zelfs als de informatie vanuit Canada naar Canada wordt verzonden, kan het ten zuiden van de grens stromen. CIO’s en CISO’s moeten begrijpen dat wanneer ze geen controle hebben over het verkeer, ze overgeleverd zijn aan internetproviders over waar hun gegevens naartoe gaan, zei hij. “Er is geen Google Maps voor internet om te begrijpen waar het verkeer stroomt.” En zodra gegevens Canada verlaten, kunnen ze worden vastgelegd, zelfs als ze versleuteld zijn, zei Latour.
Om deze zorgen weg te nemen, heeft CIRA de ontwikkeling van meer dan 10 internetuitwisselingspunten in Canada ondersteund, zodat netwerken lokaal verkeer kunnen uitwisselen. Het bouwt ook een tool die het verkeer op verschillende paden tussen netwerken in Canada meet en toont.
Net zoals wegverkeer belangrijk is voor vrachtwagenbedrijven, zou datareizen belangrijk moeten zijn voor elk bedrijf dat internettransit koopt om diensten aan klanten aan te bieden, zei Latour. Het kan hen helpen bepalen hoe ze hun gegevens veilig kunnen houden door te beslissen welke informatie ze wanneer moeten verzenden.
