.png)
_p.png){kind=small}
Als je de informatiebeveiliging van je organisatie goed wilt regelen, dan is het nuttig om een goede online back-up te maken zodat de belangrijkste data altijd beschikbaar blijft. Zo heb je altijd toegang tot essentiële bedrijfsinformatie, ook wanneer er een hackaanval of andere vorm van cybercrime heeft plaatsgevonden. Veel organisaties maken daarom gebruik van clouddiensten, of denken daar in toenemende mate over na. De cloud is een datacenter, oftewel een platform dat computerkracht en diensten levert over het internet. Als je een internet connectie hebt kun je in principe inloggen en gebruik maken van de cloud.
Gebruik maken van de cloud biedt veel mogelijkheden, maar in de praktijk blijkt ook dat hier risico’s aan kunnen kleven. Dit is het geval wanneer clouddiensten niet veilig ingekocht zijn. Aangezien dit regelmatig gebeurt, heeft het National Cyber Security Centrum (NCSC) een advies uitgebracht in de vorm van een factsheet met vijf adviezen voor het veilig inkopen van clouddiensten.[1] Maar wat is de cloud ook alweer precies? En hoe wordt privacy in de cloud gewaarborgd? In deze blog ga ik hierop in.
Even terug
Alhoewel het concept van de cloud niet nieuw is, wil ik toch even terugblikken op wat de dienst nu precies inhoudt. De cloud is geen tastbaar iets, maar een enorm netwerk dat bestaat uit externe servers van over de hele wereld. Deze servers zijn aan elkaar gekoppeld en werken als één systeem. De servers beheren gegevens en slaan deze op. Verder voeren ze toepassingen uit en leveren services en/of content. Denk hierbij aan het streamen van een video, webmail, sociale media of kantoorsoftware. In plaats van dat je de data van een lokale computer haalt, open je de gegevens en bestanden online vanaf een willekeurig apparaat met een internetverbinding. Op deze manier zorgt de cloud ervoor dat informatie altijd en overal toegankelijk is.
Soorten clouddiensten
Je hebt verschillende soorten clouddiensten. Ten eerste heb je Software as a Service (SaaS). Deze cloudoplossing wordt het vaakst gebruikt. Bij deze dienst gaat het om applicaties die via internet worden aangeboden door een Cloud Service Provider. Office 365 en Salesforce zijn bekende voorbeelden van een SaaS oplossing. Ten tweede heb je Platform as a Service (PaaS). Hier biedt de Cloud Service Provider een hardware- en softwareplatform aan waarop de gebruiker zelf diensten en voorzieningen kan ontwikkelen. Een voorbeeld is Windows Virtual Desktop van Microsoft. Ten slotte heb je \ Infrastructure as a Service (IaaS). Bij IaaS levert de Cloud Service Provider de hardware die online kan worden benaderd. Je koopt een laptop in de winkel waar nog niets op draait Dat is een voorbeeld van IaaS.
Naast deze diensten kun je een onderscheid maken in de gebruiksmodellen, zoals de private cloud (beschikbaar voor jou alleen), de public cloud (beschikbaar voor iedereen) en de hybrid cloud (een combinatie van de twee).
Privacy in de cloud
In de factsheet wordt onder andere ingegaan op risico’s die bestaan per clouddienst met betrekking tot privacy. Er moet altijd een risicoanalyse plaatsvinden door iemand die binnen een organisatie daarvoor verantwoordelijk wordt gesteld. Bij een dergelijke analyse worden de mogelijke risico’s en voor- en nadelen van het gebruiken van een clouddienst afgewogen. Op basis van de analyse kan beter beoordeeld worden welke gegevens er wel en niet naar de cloud gemigreerd worden. Het uitgangspunt is dat het mogelijk risico’s met zich meebrengt als een organisatie geen gebruik maakt van een de cloud. Stel bijvoorbeeld dat, als gevolg van een datalek, de hele online database van een ziekenhuis met persoonsgegevens van patiënten op straat komt te liggen. Als zo’n situatie zich voordoet kan het ziekenhuis in de problemen komen op grond van de AVG.[2]
In ieder geval is het vanuit een privacy-oogpunt wenselijk om (gedeeltelijk) te migreren naar de Cloud. Vanuit organisatorisch perspectief zou je echter kunnen stellen dat de prijs van alle eisen wellicht niet in de begroting past. Naar mijn mening is het daarom belangrijk dat men altijd weet wat voor soort gegevens worden opgeslagen, waar dit gebeurt, hoe dit gebeurt en hoe eventuele privacyrisico's van een clouddienst worden gewaarborgd.
[2] Zijn er onvoldoende beveiligingsmaatregelen getroffen o.g.v. artikel 33 AVG? Dan kan de AP handhavend optreden en het ziekenhuis een boete opleggen (artikel 58, lid 2, artikel 83 en 84 AVG).