Managed hosting door True

Snel zekerheid nodig over veiligheid clouddiensten

 

Veiligheid

Het is lastig voor afnemers van clouddiensten om zekerheid te krijgen over de veiligheid en betrouwbaarheid hiervan. De oorzaak ligt in het gebrek aan goede methoden.

Michiel Steltman, directeur Stichting Digitale Infrastructuur Nederland (DINL), ziet een hiaat. ‘Cloudproviders hanteren allerlei methoden om aan te tonen dat het goed zit. Vanaf vage beloftes tot en met certificaten en indrukwekkende rapporten. Maar voor afnemers is het niet eenvoudig om vast te stellen wat die waard zijn. Bovendien zeggen veel certificeringen meer over de kwaliteit van de organisatie die cloudoplossingen aanbiedt dan over de dienst zelf. Zeker voor de kleinere bedrijven is het bijkans ondoenlijk om na te gaan wat de verklaringen van cloud-aanbieders inhouden.’

Dit gebrek aan zekerheid werpt volgens Steltman drempels op voor het gebruik van clouddiensten. ‘Daarmee wordt de innovatie geremd,’ waarschuwt hij. ‘Begrijp me goed, ik beweer niet dat clouddiensten onbetrouwbaar zijn. Het probleem is dat afnemers daarover geen zekerheid kunnen krijgen, terwijl toezichthouders hen wel verantwoordelijk houden voor de keuzes die ze maken bij het gebruik van cloud.’

Steltman betreurt het dat de Autoriteit Persoonsgegevens (AP) op dit gebied weinig ‘guidance’ geeft. Met enige begeleiding van die kant zouden met name mkb-bedrijven al enorm zijn geholpen. Maar de AP heeft tot nog toe geen gehoor gegeven aan oproepen daartoe van onder meer het CIO Platform Nederland. De AP meent echter dat hier geen taak voor haar is weggelegd. De Algemene Verordening Gegevensbescherming (AVG) staat deze instantie alleen toe de wet achteraf te toetsen. Afnemers van clouddiensten moeten dus maar zelf zien uit te vinden of de gebruikte oplossingen passen bij hun eisen op het gebied van veiligheid en beschikbaarheid. Zeker voor verwerkers van persoonsgegevens ontstaat hierdoor onzekerheid. 

Bewijslast

"Afnemers weten vaak niet goed welke risico’s worden gelopen"

Ronald Verbeek, directeur van het CIO Platform Nederland, stelt vast dat de AVG de bewijslast en het risico van boetes bij de afnemer legt. ‘Die moet dus zien te onderhandelen met de grote leveranciers. Dat is niet eenvoudig.’ Steltman wijst op de casus van Microsoft en het Rijk. Het kostte beide partijen liefst twee jaar om alle programmatuur en overeenkomsten rond Office 365 op orde te krijgen. De DINL-directeur vraagt zich af hoe een gewone horecaondernemer uit het mkb dit soort zaken moet regelen. 

Overigens zitten ook de aanbieders van clouddiensten met een probleem. Ze worden geconfronteerd met afnemers die verschillende bewijzen vragen om aan te tonen dat aan alle wettelijke eisen is voldaan. Als het gaat om zaken als cybersecurity, beschikbaarheid en privacy worden de risico’s uiteenlopend ingeschat. Bovendien weten afnemers vaak niet goed welke risico’s worden gelopen. Ook is soms onduidelijk welke assets ze willen beschermen. Het ontbreekt hen aan de kennis de juiste vragen te stellen, terwijl er ook onbegrip is over de wettelijke verplichtingen waaraan moet worden voldaan. Daardoor lopen de geboden zekerheden uiteen.

Mede om aan die behoefte aan standaardisatie van risicoprofielen en informatie over zekerheden te voldoen, is de Online Trust Coalitie (OTC) opgericht. Binnenkort wordt dit samenwerkingsverband officieel gelanceerd. Initiatiefnemers zijn het ministerie van Economische Zaken en Klimaat alsmede de publiek-private samenwerking Partnering Trust/ECP (Platform voor de InformatieSamenleving). Ruim twintig organisaties afkomstig uit overheid, bedrijfsleven en wetenschap hebben zich hierin verenigd. 

Continuïteit

Steltman: ‘De afgelopen maanden is er al hard gewerkt aan een manifest en aan oplossingsrichtingen.’ De Online Trust Coalitie streeft naar eenduidige eisen, keurmerken en certificeringen. Cloudleveranciers kunnen daarmee aantonen dat hun diensten betrouwbaar en veilig zijn. Partnering Trust, voorloper van de OTC, had al eerder die ambitie. Veiligheid, beschikbaarheid en privacy zijn niet de enige aandachtspunten. Ook willen we andere zaken betrekken zoals continuïteit: het weer snel kunnen opstarten van een dienst na een incident. Als bij diensten meerdere aanbieders zijn betrokken, moet ook duidelijk zijn hoe die keten in elkaar zit en wie voor wat verantwoordelijk is. 

De OTC wil ook richting geven aan Europese ontwikkelingen. Het EU-agentschap voor cybersecurity (Enisa) is bezig met de invulling van haar mandaat vanuit de Cyber Security Act. In de Europese dialogen lopen volgens Steltman de meningen over de invulling van zekerheden uiteen. Ten onrechte wordt vaak gedacht dat een eenmalige certificering van cloud-aanbieders voldoende is. Of dat een klant voldoende zekerheid krijgt over de geschiktheid van een dienst wanneer het ontwerp goed is. Volgens Steltman is dat lariekoek. ‘Cloud-oplossingen zijn dynamisch. Wat vandaag veilig is, kan morgen alweer verouderd of lek blijken te zijn. Vergelijk het met een auto. Die zal zonder continue onderhoud na verloop van tijd mankementen gaan vertonen.’

De Autoriteit Persoonsgegevens (AP) zegt in een reactie de signalen te herkennen dat het voor afnemers lastig kan zijn om goede afspraken te maken met aanbieders. Dit geldt zeker indien deze leveranciers een grote omvang hebben of monopolist zijn. 'De AP heeft daar oog voor, maar daar gezien de beschikbare capaciteit geen aandacht aan kunnen geven. De AP sluit niet uit dat dit in de toekomst verandert. Ook dan is het niet de taak van de AP om proactief te zorgen voor voldoende goed functionerende leveranciers. Vanuit de AVG bezien is het inderdaad aan de afnemer om goede afspraken te maken met een leverancier. Wel kent de AVG enkele artikelen die zich direct richtten tot leveranciers (verwerkers) en waar deze zich dus ook aan hebben te houden.'

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/7034941). © Jaarbeurs IT Media.

?


Lees ook


 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Vacatures bij AP

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.