Een onschuldige wolk

"Mijn machine maakt mogelijk wat nu nog niet kan", schreef Karel van het Reve in 1983, aan de vooravond van de digitale revolutie. Hoe staan we er anno 2011 voor? De Groningse filosoof Boudewijn de Bruin signaleert dat we onze persoonlijke gegevens massaal toevertrouwen aan een wolk. "Je kunt ook te goed van vertrouwen zijn."

Gmail, Photoshop Express, Dropbox, Salesforce - bedrijven en consumenten omarmen online software om e-mail te lezen en te versturen, foto's te bewerken en op te slaan, verschillende computers te synchroniseren en reservekopieën van bestanden te maken. Of ze doen er hun verkoop mee, de marketing of het personeelsbeleid van hun ondermening.

Software, geheugen, rekenkracht - het zit niet langer meer op je eigen computer. Het bevindt zich nu in de cloud, het buzzword dat hiervoor bedacht is. Opslag en verwerking van data worden online aangeboden en uitgevoerd op talloze geschakelde computers in grote datacentra. Een computer met internetverbinding is het enige wat we nog nodig hebben.

Maar wat moeten onze foto's, bankafschriften, creditcardgegevens, klantenbestanden en sollicitatiebrieven op het internet? Wat is er zo goed aan de cloud - de mysterieuze internetwolk die overal bereikbaar is, maar geen vaste verblijfplaats lijkt te hebben? Wat zijn de risico's? Over deze vragen organiseerde de Faculteit der Wijsbegeerte van de Universiteit van Cambridge onlangs een conferentie. Pikant detail: de onderzoeksafdeling van Microsoft in Cambridge trad op als sponsor.

Een informaticus vertelde daar met veel technisch jargon hoe cloud computing eigenlijk werkt. We gaan, kortgezegd, terug naar de begintijd van de computer. Verzekeringsmaatschappijen kochten toen bij een bedrijf rekentijd in om berekeningen uit te laten voeren op enorme computers, de bekende main frames. Die computers waren zo groot dat Thomas Watons, de directeur van het computerbedrijf IBM, in 1947 stelde dat er op de wereld voor hooguit vijf computers plaats was.

Dat is voltooid verleden tijd. Vanaf de jaren zeventig van de vorige eeuw veranderde er veel. De personal computer nam het van de main frame over. Die pc bracht vrijheid, maar zadelde de gebruiker ook met de verantwoordelijkheid op om zelf software te kopen en te installeren.

In Cambrigde legde de Britse informaticus uit wat techneuten daarop gevonden hebben: cloud computing. Dat vervangt de software in je pc door een service die je niet op je computer hoeft te installeren, maar die je via het internet gebruikt. Je koopt dus rekentijd en geheugen in. Net als vroeger. Software wordt zoiets als water, gas en elektriciteit: een vorm van dienstverlening in plaats van een product dat je in een winkel koopt. En ongemerkt maken velen gebruik van zulke diensten.

Neem Photoshop, een populair programma om foto's mee te bewerken. Nadelen zitten er wel aan: Photoshop is vrij duur en het programma loopt alleen lekker op snelle computers. Het alternatief in de cloud heet Photoshop Express. Daar kun je je foto's online mee bewerken. Het enige wat je nodig hebt is een internetverbinding, en een account bij Photoshop om je foto's 'in de cloud' op te slaan en te bewerken. Dan kun je er vanaf elke computer, smartphone of iPad weer bij om de foto's te bekijken en verder te bewerken. Software heb je niet meer nodig, want je gebruikt de rekenkracht van een server ergens ver weg. En zo zijn er ook online programma's om je financiële administratie doen, computerspelletjes te spelen of grote databases met klantgegevens te analyseren.

Maar waar bewerkt Photoshop Express die foto nou precies? En waar liggen mijn vakantiekiekjes opgeslagen?

De term 'cloud', de internetwolk, is een truc van gisse reclamejongens om de gebruiker een goed gevoel te geven. Want wat is er nu ongrijpbaarder en onschuldiger dan een wolk?

Veel informatici vinden 'cloud computing' om een andere reden een ongelukkige term: de vlag dekt de lading niet. Ze hebben het liever over software as a service, on-demand computing of internet as a platform. Een dienst, die via het internet op afroep beschikbaar is.

De cloud is wel degelijk ergens gevestigd; de opslag en verwerking van gegevens vinden plaats in grote datacentra die overal op de wereld gebouwd zijn. Een centrum bestaat uit enorme hallen, elk zo groot als een voetbalveld, waar computers met elkaar verbonden zijn. Denk bij zo'n computer aan de systeemkast van je pc - een hal met rijen opeengestapelde systeemkasten dus. Als ik een foto op de website van Photoshop Express bewerk, wordt hij in zo'n datacentrum opgeslagen. Dan staat hij op de harde schijf van een computer in Oregon, of in North Carolina, of waar verder de datacentra staan - dat kan ook elders in de wereld zijn.

Bij een storing in zo'n centrum raak je als consument niet je foto kwijt. Je kunt er zelfs gewoon bij. Je foto is namelijk voor de zekerheid op een heleboel verschillende plaatsen opgeslagen. Als er een storing in Oregon is, of als het daar toevallig even spitsuur is, dan kan ik toch nog bij mijn data omdat ze ook in North Carolina staan.

Iets opslaan in de cloud betekent dus opslaan op verschillende plekken tegelijk, verspreid over grote delen van de wereld.

De Nederlandse tak van Microsoft is er laaiend enthousiast over - cloud computing heeft de toekomst en wie er anders over denkt is 'helemaal gek', zoals een manager onlangs zei.

Dus verwachtte ik dat de sponsors van de conferentie, de Britse onderzoekers van Microsoft, de grootste pleitbezorgers van deze nieuwe technologie zouden zijn. Maar juist zij schetsten de problemen, de risico's, de gevaren.

Stel, je gebruikt Dropbox.com. Dat is een website waar je een reservekopie ('back-up') van je computerbestanden kunt opslaan en bewerken. Als je op verschillende plekken werkt is het heel handig, want je hebt altijd de meest actuele versie van je bestand bij de hand. Zodra je je pc of laptop aanzet wordt alles automatisch naar de laatste stand van je Dropbox account bijgewerkt.

Maar die bestanden staan dan wel op computers in datacentra in de VS - en vallen dus onder de wetten en regels van dat land. Als de Amerikaanse overheid geïnteresseerd is in mijn bestanden, hoeft zij niet bij mij persoonlijk aan te kloppen. Toen die bestanden op de harde schijf van mijn eigen pc in Groningen stonden, hadden de VS er niets over te vertellen. Maar nu ze door een Amerikaans bedrijf zijn ondergebracht in centra op Amerikaanse bodem, kan die overheid buiten mij om simpel toegang krijgen tot mijn data.

De vraag is of dat erg is - of alleen maar bangmakerij van de Britse Microsoft-specialisten. Zeker is dat de ict-industrie van geen ophouden weet. Daar waren alle conferentiedeelnemers in Cambridge wel van overtuigd - al was het maar doordat zelfs de meest kritische onder hen zelf gebruik maken van cloud computing.

Maar dat je zelf Dropbox, of Google Docs gebruikt om zowel thuis als op je werk de recentste versie van je documenten tot je beschikking te hebben, betekent nog niet dat je dat iedereen zou moeten toestaan.

Een hoogleraar kernfysica die militair gevoelige data over een Nederlandse kernreactor in de cloud opslaat, daar moet je toch niet aan denken?

Wat zijn nu echt de risico's van cloud computing, vroeg ik de Britse filosofe Onora O'Neill (voluit: baronesse O'Neill of Bengarve) en onafhankelijk lid van het Britse Hogerhuis. Volgens haar schort het burgers aan essentiële informatie over cloud computing. Je persoonlijke data (teksten, wachtwoorden, foto's, bankafschriften, surfgegevens en wat niet al) worden namelijk niet alleen veilig opgeslagen, maar ook doorzocht en geanalyseerd. Er wordt, aldus O'Neill, data mining gepleegd. Helaas, consumenten weten dat niet.

De tegenwerping is simpel: de consument kan dat wél weten, want wanneer hij software downloadt of zich bij een website als Dropbox registreert, tekent hij altijd een licentieovereenkomst.

Probleem is dat haast niemand zulke overeenkomsten leest. Je vinkt ze zonder na te denken aan. En ook al zou je ze lezen, dan nog zou je er weinig van begrijpen. Die licenties zijn geformuleerd in een taal die er vooral voor bedoeld is om het bedrijf tegen juridische claims te beschermen. Vergelijk het met de klantenkaart van de supermarkt. Daar kun je misschien een aardige korting mee krijgen op je boodschappen. Maar supermarkten doen dat niet uit liefde voor jou. Klantenkaarten bieden supermarkten inzicht in jouw koopgedrag, en dat is waarom ze zulke 'loyaliteitsprogramma's' opzetten. Ze willen die informatie gebruiken voor hun eigen gewin. Dat weten klanten echter vaak niet.

Een veelbesproken voorbeeld was Gmail, het e-mailprogramma van producent Google. In Nederland is Gmail met een miljoen gebruikers een relatief kleine concurrent van Hotmail (Microsoft), dat acht miljoen gebruikers heeft. Maar internationaal is Gmail een gigant. Als je een mailtje stuurt van of naar een Gmailadres - of naar een Hotmail-account - dan wordt de inhoud opgeslagen in de cloud. En in dit geval weten we heel precies welk deel daarvan: de datacentra van Google of Microsoft.

Die mailtjes blijken doorgeplozen te worden op bepaalde termen die Gmail in staat stellen om gebruikers gericht met reclameboodschappen te confronteren. Naast een e-mailtje van een vriendin over een kapotte auto kan zomaar een advertentie verschijnen van een autodealer. Die heeft Gmail voor deze service betaald. Niemand kijkt er nog van op.

The Guardian meldde onlangs dat een Gmail-gebruiker aan vrienden had geschreven dat hij op zoek was naar een elektronische spiegelreflexcamera van merk X. Prompt verschenen er aanbiedingen op zijn beeldscherm met aanbiedingen van precies die camera. Hij kocht hem. Dacht hij. Maar hij kreeg niets. De advertentie was afkomstig van een oplichter.

Dat is de schaduwkant van data mining waar O'Neill op doelt. De inhoud van alle mailtjes die je verstuurt, wordt doorzocht, en dat kan verkeerd uitpakken voor de consument. Data mining gebeurt voor niet alleen commerciële doeleinden, maar - soms - ook door oplichters.

De gevaren liggen ook elders. Vier Britse kranten gebruiken Gmail voor hun e-mailcorrespondentie. Wanneer je een mailtje naar een journalist van zo'n krant stuurt, wordt het dus opgeslagen op de servers van Google, in de VS. Dat heeft ernstige consequenties voor de bescherming van journalistieke bronnen.

Ook Nederlandse journalisten maken gebruik van Gmail - soms om vertrouwelijke of brisante informatie buiten de gewantrouwde kanalen van het eigen medium om veilig onder te brengen.

Dat is een schijnveiligheid. Doordat de in de VS opgeslagen berichten onder de jurisdictie van de VS vallen, zijn die mailtjes gemakkelijk toegankelijk voor Amerikaanse inlichtingendiensten. Dat is een reëel gevaar. Er zijn aanwijzingen dat deze diensten alle Gmail-correspondentie al onderzoeken. En dat de Amerikaanse overheid wat in de melk te brokkelen had, bleek zeker toen ze het bedrijf Amazon onder druk zette om WikiLeaks (dat gevoelige correspondentie van Amerikaanse diplomaten blootlegde) van zijn servers te verwijderen. Amazon liet de oren naar de overheid hangen, niet naar de klant. WikiLeaks moest het veld ruimen.

Toch is stoppen met de cloud geen optie, zeker voor de gewone consument niet. Want die ziet vooral voordelen: geen installatie van software op je pc, nooit meer software configureren, updates of upgrades downloaden, compatibiliteit is geen probleem meer, de kosten zijn laag en van storingen door overbelasting ben je vrijwel verlost.

Daarvoor leggen we wel ons hele hebben en houden in handen van derden. Maar ach, wie wil er nou kwaad doen met mijn gegevens?

Dat is een kwestie van vertrouwen. Daar ging het vaak over op de conferentie. We weten niet precies wat bedrijven als Amazon, Google of Microsoft met onze gegevens doen. Daarom kunnen we die bedrijven niet zomaar vertrouwen.

'Vertrouwen' is misschien wel een erg groot woord hier. Het gaat er vooral om dat je bepaalde dingen over het bedrijf weet. Als je weet dat iemand secuur met gereedschap omgaat, dan leen je hem je vlakschuurmachine sneller uit dan als je weet dat het een sloddervos is. Dat betekent echter nog niet meteen dat je die persoon door en door vertrouwt. Misschien zou je hem nooit geld uitlenen, omdat je weet dat hij zijn schulden niet altijd op tijd aflost.

Om te weten hoe iemand met geld of gereedschap omgaat, moet je hem wel tot op een bepaalde hoogte kennen. Dat is ook een voorwaarde voor cloud computing - de industrie die dat aan de man brengt, dient transparanter te zijn over de voor- en nadelen ervan.

Volgens filosofe Onora O'Neill is transparantie beter dan niets. Maar te veel nadruk op transparantie leidt tot wat zij 'quasi-communicatie' noemt, communicatie die maar weinig mensen begrijpen, en die ook niet als doel heeft begrepen te worden. Zoals de licentieovereenkomsten die we zonder ze te snappen accepteren.

Een simpele manier om beter te communiceren is FAQ, een lijst frequently asked questions, met antwoorden op vragen die gebruikers vaak stellen (of zouden moeten stellen) als zij van online diensten gebruik gaan maken.

Zo'n lijst kunnen bedrijven op hun sites publiceren, maar scepsis is op zijn plaats, want de Googles en Microsofts van deze wereld zullen zichzelf nooit in een kwaad daglicht stellen en schrijven dat ze jouw gegevens gebruiken om inzicht in je koopgedrag te krijgen.

Transparantie en goede communicatie zijn belangrijk, maar kritisch onderzoek naar de voors en tegens van nieuwe technologie blijft noodzakelijk. Daarbij is een rol weggelegd voor consumentenbonden, expert websites, kranten en andere media. Die media laten het er nu nog bij zitten. Alleen de financiële media maken zich druk over cloud computing - en niet uit bezorgdheid, maar omdat ze in de gaten hebben welke mogelijkheden het voor ondernemers biedt.

Het ontging alle media (behalve Computable, een vakblad voor ict'ers): op 20 april stuurde minister Donner van Binnenlandse Zaken een brief naar de Tweede kamer over 'Cloud Strategie'. Hij schrijft dat hij voor de veiligheid van informatie die buiten de landsgrenzen ligt opgeslagen, niet kan instaan. Verder wil hij voorkomen dat ons land afhankelijk wordt van andere landen. Daarom kiest Donner vooralsnog tegen de 'open cloud' en voor wat hij de 'gesloten Rijkscloud' noemt. Een zeer on-Donneriaanse term trouwens.

Overheden kunnen hun voordeel doen met cloud computing, bleek tijdens de conferentie in Engeland. Besparen op software, installatie en onderhoud, en het oplossen van computerstoringen. Soms zijn de risico's ook best aanvaardbaar. Als ik online kan melden dat mijn gft-container kapot is of dat graffiti een tunneltje in mijn buurt ontsiert, dan is dat alleen maar handig. Dan maakt het weinig uit of die gegevens in de Verenigde Staten of China staan, of in Nederland. En misschien geldt dat ook wel als het over paspoorten, rijbewijzen en sommige belastingen gaat.

Maar de overheid beschikt ook over data waar ze omzichtiger mee moet omspringen, zoals militaire en bedrijfsstrategische gegevens. Ze kan buitenlandse overheden beter niet niet in de verleiding brengen om hun eigen bedrijven toegang te geven tot marktgevoelige informatie over Nederlandse bedrijven. Wanneer die informatie in de cloud terechtkomt, kun je dat niet uitsluiten.

En dat is niet het enige probleem. Ook veel 'onschuldige' informatie kunnen we beter hier houden. Een Britse jurist gaf een voorbeeld dat hij ook uit Nederland had kunnen halen. Bij het Kadaster koop je online voor nog geen 25 euro een elektronisch dossier waarin staat wie voor hoeveel geld een huis gekocht heeft, en hoe hoog de hypotheek is. Dit 'woningrapport' meldt tevens geboorteplaats, geboortedatum en burgerlijke staat van de eigenaar. Meestal staat er dan ook nog een foto bij waarop, met enig geluk, een bewoner herkenbaar is.

Stel dat die dossiers allemaal op een server staan in een land dat nu nog ons vertrouwen heeft. Maar het loopt anders. De servers aldaar worden minder goed beschermd. Onze gegevens komen in handen van criminelen, en worden verkocht aan allerlei geïnteresseerde partijen. Dan hebben die dus in één klap inzicht in privégegevens van een grote groep Nederlandse burgers.

Een beetje computernerd weet binnen een paar tellen waar de duurste huizen in Nederland staan en wie die huizen bewonen. Je hoeft echt niet paranoïde te zijn om daar een akelig maar realistisch scenario bij te verzinnen.

Natuurlijk, die gegevens zijn nu ook al verkrijgbaar. Maar dat is meteen de grootste valkuil. De jurist uit Cambridge legde uit dat wij een heel ouderwets model hanteren wanneer we nadenken over het beschikbaar stellen van informatie. Het Kadaster stelde vroeger ook woningrapporten beschikbaar. Maar die moest je schriftelijk aanvragen of persoonlijk afhalen. Met de komst van het internet ontstond de mogelijkheid al die zaken op een server te zetten, en dat deed men dus. Want burgers hadden vroeger al recht op die informatie, dus waarom niet onder het 'internet regime'? Maar een kwaadwillende die vroeger van een hele wijk de woningrapporten opvroeg, wekte meteen argwaan bij de dienstdoende ambtenaar. In het nieuwe regime is er niemand meer die zo'n verzoek nog hoeft te beoordelen.

Inderdaad: in beide regimes is die informatie beschikbaar. Maar vroeger kostte het veel meer moeite om haar te bemachtigen. En dat schrikte misbruik af. Daarom mag de overheid best wat terughoudender zijn in het beschikbaar stellen van persoonlijke gegevens, helemaal wanneer die in de cloud dreigen te belanden.

Vroeger sloeg de overheid gegevens op in archieven in gemeentehuis of ministerie; de politie garandeerde de veiligheid. Maar wanneer die gegevens staan op de servers van Amazon, Google of andere leveranciers van cloud computing, dan is de beveiliging uitbesteed aan een private onderneming. De Amazonmedewerkers moeten er nu voor zorgen dat zij hun datacentra goed beveiligen.

Zo bezien nam minister Donner vorige maand dus een goed besluit door cloud computing nog niet toe te staan binnen de overheid.

Als ik de experts uit Cambridge mag geloven, had hij voor sommige toepassingen cloud computing best kunnen toestaan. Daar zijn de risico's aanvaardbaar.

Andere risico's zijn dat niet. Ik mis in de brief van Donner een duidelijk standpunt over de vraag of er geen gegevens zijn die we - als overheid en als burger - nooit in de cloud zouden moeten zetten. Ik denk het wel. Je kunt ook te goed van vertrouwen zijn.

Boudewijn de Bruin is als hoogleraar financiële ethiek verbonden aan de Rijksuniversiteit Groningen.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden