Apple Storingen

Waar slaat Apple jouw iCloud-bestanden op?

Steeds meer mensen maken gebruik van clouddiensten, maar weet jij waar je gegevens terechtkomen en waar ze worden opgeslagen? Grote bedrijven zoals Apple maken ook gebruik van de externe opslagdiensten van Google en Amazon. Hoe veilig is dat en wat betekent het voor jou?

Je iCloud-gegevens staan overal

De naam ‘cloud’ is gangbaar geworden voor het online opslaan van data. Er wordt daarbij gebruik gemaakt van servers in grote datacenters. Data wordt daarbij redundant opgeslagen, dus als de harde schijf van één server het begeeft zijn de gegevens ook nog op andere servers beschikbaar. Je kan als gebruiker dus niets kwijtraken.

Online opslag kun je voor allerlei doeleinden gebruiken. Bij iCloud gaat het vooral om documenten in iCloud Drive, het synchroniseren van data tussen apparaten en het maken van iCloud-backups.

Locatie van iCloud-servers

Apple heeft meerdere datacenters, verspreid over de wereld. De meeste datacenters zijn in de Verenigde Staten te vinden, twee in Denemarken en drie in Azië. De servers hoeven dus niet altijd in Europa te staan. Sterker nog, ze hoeven niet eens eigendom van Apple te zijn. Apple maakt namelijk ook gebruik van opslag bij derden, zoals Amazon AWS.

Apple was van plan een miljoenen kostend datacenter in Ierland te bouwen, maar dat is afgeketst omdat de vergunningen niet rondkwamen. Wel wordt er nog gebouwd aan datacenters in Denemarken.

DNS server instellen

Het feit dat jij als Europeaan gebruik maakt van iCloud-opslag, wil niet zeggen dat de data ook op Europese servers wordt opgeslagen. Een Amerikaans bedrijf mag data van Europese gebruikers opslaan op servers in de VS, ook als het gaat om ‘personally identifiable information’ (PII). Volgens Europese regels moet het bedrijf dan wel kunnen aantonen dat het de privacy en data van de gebruikers afdoende beschermt. Bij Apple zou dat geen enkel probleem moeten zijn, want in de iOS Security Guide staat:

Each file is broken into chunks and encrypted by iCloud using AES-128 and a key derived from each chunk’s contents that utilizes SHA-256. The keys and the file’s metadata are stored by Apple in the user’s iCloud account. The encrypted chunks of the file are stored, without any user-identifying information, using third-party storage services, such as S3 and Google Cloud Platform.

Apple gebruikt externe opslagdiensten

Apple gebruikt dus niet alleen eigen iCloud-servers, maar maakt ook gebruik van de opslagdiensten van Amazon en Google. Dit is onder andere terug te lezen in de iOS Security Guide. Voorheen maakte Apple ook gebruik van Microsoft Azure. Dat wordt niet meer expliciet genoemd, maar de tekst “such as S3 and Google” houdt de mogelijkheid open dat Apple gebruik maakt van veel meer aanbieders.

Alleen in China heb je iets meer zekerheid waar je data staat, want daar heeft Apple ermee ingestemd om alle data van inwoners op te slaan op servers van een staatsbedrijf, China Telecom. Ook in Rusland wordt data op Russische servers bewaard. Maar dat kun je moeilijk een positieve ontwikkeling noemen. Het heeft eerder te maken met dwingende regels vanuit de overheid dan dat Apple het doet om je data beter te beveiligen.

Jouw data op Google-servers: kan Google jouw data zien?

Hoe zit het nu eigenlijk als Apple jouw data op Google-servers opslaat? Wat betekent het dan voor jouw privacy? Volgens Apple gaat het om ‘chunks’ met versleutelde info die niet terug te voeren zijn op een individuele gebruiker. Omdat het slechts om brokjes informatie gaat, kan Google er niet zoveel mee. Het bedrijf beschikt namelijk niet over de encryptiecodes en kan niet in jouw documenten kijken. Als er een overheidsverzoek binnenkomt om jouw privédata over te dragen aan de autoriteiten, dan kan alleen Apple daaraan meewerken.

Beschermen de EU privacywetten je iCloud-data dan niet?

Sinds mei 2018 is in de EU de GDPR van kracht, waardoor er strengere privacyregels gelden. Je zou misschien verwachten dat GDPR (of de Nederlandse tegenhanger AVG) regelt dat al je data binnen de EU blijft. Maar dat is een misverstand. Hoofdstuk 5 van de GDPR gaat over ‘Transfers of personal data to third countries or international organisations’. In de artikelen 44 tot en met 50 wordt geregeld hoe bedrijven moeten omgaan met transfer van data naar landen buiten de EU. Dat er zeven artikelen nodig zijn om dit te regelen, maakt wel duidelijk dat het niet zo heel eenvoudig ligt. Als de persoonlijke data van EU-burgers niet buiten de EU mogen komen, zou één artikel genoeg zijn. Mocht je tegen vragen hierover aanlopen, dan kun je het beste een juridisch adviseur hierover raadplegen, bijvoorbeeld Charlottes Law in Den Haag. Of lees eens deze blogposting over de mythes en misverstanden rond GDPR.

Het algemene principe in artikel 44 is, dat als er transfer plaatsvindt van persoonlijke EU-data buiten de EU, dat deze data net zo goed beschermd moet zijn als onder de GDPR. Oftewel: het bedrijf dat de data buiten de EU ontvangt moet de principes van GDPR-databescherming of een equivalent volgen. Apple mag de data dus gewoon buiten Europa opslaan, als het maar goed wordt beschermd.

Geen precieze locatie
Je kunt er bij Apple’s iCloud helaas niet precies achter komen op welke server jouw bestanden en data opgeslagen worden. Ook kun je niet aangeven dat jouw data alleen in bepaalde regio’s opgeslagen mogen worden, of dat je alleen gebruik wil maken van Apple’s eigen serverpark. Je hebt hier zelf geen controle over. Data kan dus bij Apple, Amazon, Google en andere aanbieders staan.

Wel garandeert Apple dat alles veilig opgeslagen wordt, door gebruik te maken van encryptie. Daarnaast worden metadata en encryptie-codes alleen op eigen servers van Apple bewaard en niet bij Google. Dit verandert als je vanaf je iPhone gebruik maakt van Google-apps en -diensten, want dan komt allerlei persoonlijke info van je toestel wel bij Google terecht.

Apple datacenter met eigen servers

Investeren in eigen datacenters
Op dit moment beheert Apple een aantal datacenters, verspreid over de hele wereld. Deze zijn blijkbaar niet groot genoeg om alle data van de iCloud-diensten op te slaan. Het aantal datacenters dat Apple zelf wil beheren zal de komende jaren wel gaan groeien, want Apple heeft aangegeven $10 miljard uit te geven aan nieuwe datacenters in de Verenigde Staten. Maar daarmee staan je gegevens nog steeds buiten de EU.

Lees ook over Apple’s privacytools voor Euopese gebruikers en hoe je je data opvraagt bij Apple. Je krijgt echter niet te zien op welke servers die data staat, want dat kan van moment tot moment wisselen.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt maart 2021
Categorie Diensten
Onderwerpen data, datacenter, icloud