De locatie van een server en zijn relevantie voor de AVG

Bijzonder Amerikaanse of Chinese internetbedrijven reclameert ermee, servers in Europa te gebruiken voor hun online platforms. Hiermee wordt seriositeit uitgestraald en de angst dat data kunnen worden afgevoerd of door buitenlandse geheime diensten kunnen worden gelezen voorkomen. Wat betekent de locatie van een server technisch gezien voor de toegangs mogelijkheid tot data?

Inleiding

Het informele gegevensbeschermingsverdrag tussen de EU en de VS, genaamd Privacy Shield, what al altijd ongeldig. De EU had hierop het Data Privacy Framework (DPF) in het leven geroepen. Veranderd is niet veel. De rechten van betrokken Europese burgers zijn in de VS nog steeds op een laag en onwaardig niveau. Dit kan alleen al uit het presidentiële besluit van de VS worden gelezen. Bovendien moet erop gewezen worden dat zo'n besluit altijd kan worden ingetrokken, ofwel door de huidige of een toekomstig Amerikaans president.

De Inlichtingendienstproblematiek is maar een onderwerp. Mentaal lijken veel mensen zich beter te voelen als data in de EU wordt opgeslagen of anderszins (tijdelijk) verwerkt worden. Maar deze geesteshouding is ongepast, zoals hieronder in korte termen zal worden uitgelegd.

Wat is een server?

Een server is een Rekenknecht. Hij biedt een dienst of meerdere diensten aan. Bij diensten die op het internet worden gebruikt, is het noodzakelijk dat de dienst-server openbaar bereikbaar is. Dit gebeurt door middel van toewijzing van een openbare netwerkadres. Het netwerkadres in het internetkader wordt ook IP-adres genoemd.

Theoretisch draait de hele software voor een dienst op een gedediceerde server, die bijvoorbeeld fysiek in Keulen staat. Praktisch ziet de situatie vaak anders uit. Hierover later meer.

De locatie van een server

De locatie van een server wordt bepaald door één feit. Dit feit is de huidige fysieke locatie van de server. Het is niet de IP-adres die aan de server is toegewezen. Een en dezelfde IP-adres kan in een seconde aan Server 4711 in Duitsland en in de volgende seconde aan Server 0815 in Texas toegekend zijn. De eigenaar van servers en IP-adressen kan deze toewijzing van openbaar bereikbare netwerkadressen naar servers op elk moment willekeurig wijzigen.

Waar een server staat, kan dus niet van buitenaf worden bepaald. De eigenaar van de server moet het locatiegegeven en verplichte garantie communiceren. Bij Duitse of Europese aanbieders die klein genoeg zijn, is veiligheid vaak ook een bezoek aan het datacentrum mogelijk om de server te bekijken. Een passende beveiliging op software-niveau (misschien ook met een Dongle) zou dan misschien garanderen dat de server op locatie niet door een server elders wordt vervangen, door een back-up en omleiding van het netwerkverkeer te maken.

Bij het proberen om een AI-afbeelding voor dit artikel te maken, kwam er ook nog dit volgende uit:

De prompt voor dit beeld had een Duits thema, aangezien dit mijn nationaliteit is en deze bijdrage in de landstaal geschreven is. Te zien is het ontdoen van een groter land van negatieve aspecten, naar het positieve toe.

De gegevensverwerking op een server

Neem bijvoorbeeld Google Analytics als voorbeeld van een dienst die op een server in Ierland wordt uitgevoerd en aan uw website wordt aangeboden. U voegt een script van Google Analytics toe aan uw website. Nu gebeurt het volgende bij de standaardinstelling van het Google Analytics plugin:

1. Iemand belt uw website op.
2. Zij laden de website van Google Analytics.
3. Dit script bouwt een verbinding op met een Google Analytics-server (die bijvoorbeeld in Ierland staat).
4. De Google Analytics-server in Ierland stuurt de code terug naar uw server waarop uw website (ook een dienst!) draait, zodat uw website gebruikers kan bijhouden (Tracking genoemd).
5. De bezoeker van uw website klikt en scrolt op uw website en voert mogelijk invoer in een formulier.
6. Het programma dat u meer dan 4 keer hebt gedownload, stuurt nu tracking-evenementen naar de server van Google Analytics in Ierland. Hierbij wordt automatisch altijd de IP-adres van de bezoeker van uw website naar de Google-server overgezet. Een afkorting is hier niet mogelijk.
7. De Google-server in Ierland verwerkt deze tracking-gebeurtenissen.

Dat klinkt half en half goed, hoewel hier ook de rechtsgrondslag voor punten 6 en 7 moet worden uitgeklaard. Als rechtsgrondslag resteert alleen nog maar de toestemming (of een contract) over. De verdere motivering en cookie-thema's laten we hierbij even weg om het overzichtelijk te houden. Hierover zijn er talloze artikelen op Dr. GDPR.

Details voor Google Analytics

Zo eenvoudig als hierboven beschreven, is het echter bij Google Analytics en vele andere diensten niet. Voor punt 3 moet namelijk via een routingdienst bepaald worden welke server zich de eer aanreikt om uw website te antwoorden. Omdat de plugin-adres google-analytics.com. luidt, kan deze adres precies zoals een IP-adres op elk willekeurig server wereldwijd (of zelfs in het universum) geleid worden en dat per tijdseenheid telkens weer opnieuw.

Er zijn dus mogelijk nog meer servers bij betrokken, tot de server is gevonden die de Google Analytics diensten voor uw website aanbiedt. Hierbij worden ook persoonsgegevens uitgewisseld (bijv. de IP-adres of browser fingerprint).

In punt 7 van boven verwerkt de dienstserver uw aanvraag. In dit voorbeeld is het het opslaan van een Google Analytics-trackinggebeuren. Google zegt zelf dat alle analysegegevens van Google Analytics altijd in de VS worden verwerkt. Dus zijn er nog meer servers bij betrokken bij de gegevensverwerking voor uw website, die dit keer duidelijk niet in Ierland of Europa staan.

Alle Bilder in diesem Beitrag wurden von einem Computer-Programm erzeugt. Verwendet wurde das selbst entwickelte KI-System von Dr. DSGVO, ähnlich zu Midjourney. Die Bilder dürfen auf Webseiten frei verwendet werden, mit der Bitte, eine Verlinkung auf diesen Blog zu setzen.