Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Beveiliging persoonsgegevens in de cloud

 

Computable Expert

prof.dr.ir. Erik Huizer
CTO, SURFnet. Expert van Computable voor het topic Internet.

Op verzoek van Surf heeft het College bescherming persoonsgegevens (Cbp) een zienswijze gepubliceerd over de inzet van cloud computing. De vragen die Surf in het verzoek heeft gesteld gaan onder meer over de beveiliging van persoonsgegevens in de cloud.

De uitkomsten en aanbevelingen uit het onderzoek richten zich in eerste instantie op ‘onderwijs & onderzoek’, de belangrijkste doelgroep van Surf. Maar uiteindelijk is dit informatie waarvan iedereen die te maken heeft met cloud computing minimaal kennis van zou moeten nemen.

Persoonsgegevens in de cloud

Op grond van de Wet bescherming persoonsgegevens (‘Wbp’) zijn onderwijsinstellingen zelf verantwoordelijk voor de adequate beveiliging van persoonsgegevens, ook als deze bij een cloud-leverancier zijn opgeslagen. De beveiligingsplicht geldt voor zowel dataverlies als voor onbevoegde toegang tot persoonsgegevens. Onderwijsinstellingen moeten op basis van een risicoanalyse beoordelen of de cloud-leverancier voldoende waarborgen biedt of dat aanvullende beveiligingsmaatregelen nodig zijn. De beveiligingsmaatregelen moeten vervolgens expliciet worden omschreven in het contract met de cloud provider.

Toezicht op naleving

Onderwijsinstellingen moeten ook controleren of de cloud-leverancier zijn beveiligingsverplichtingen daadwerkelijk nakomt. Er zijn diverse auditing-standaarden die daarop moeten toezien. Het Cbp ging in zijn onderzoek na of de Statement on Auditing Standards no. 70 (SAS 70) voldoende zekerheid over de beveiliging van de verwerkte persoonsgegevens biedt of dat de standaarden International Standard for Assurance Engagements (ISAE) 3402 en Statement on Standards for Attestation Engagements (SSAE) 16 daartoe beter zijn toegerust.

Third Party Mededeling

SAS 70, ISAE 3402 en SSAE 16 zijn standaarden voor het opstellen van een zogenaamde ‘third party mededeling’ (‘TPM’). Een TPM is een verklaring van een onafhankelijke deskundige, waarin een oordeel wordt gegeven over de maatregelen die een leverancier heeft getroffen. De TPM wordt opgesteld in opdracht van de cloud-leverancier met als doel de klanten inzage te verschaffen in de door de leverancier getroffen maatregelen. Daardoor hoeft niet iedere klant daar zelf onderzoek naar te (laten) doen.

De basis voor de TPM vormt een door de cloud-leverancier opgestelde beschrijving van de relevante maatregelen. De externe deskundige toetst deze beschrijving onder meer op volledigheid en stelt vervolgens vast of de cloud-leverancier de beschreven maatregelen daadwerkelijk heeft getroffen. Afhankelijk van het type TPM doet de externe deskundige een uitspraak over de aanwezigheid van de beschreven maatregelen op een bepaalde datum (type 1) of gedurende een bepaalde periode (type 2).

De standaard SAS70 is inmiddels vervallen en vervangen door ISAE 3402 en SSAE 16. In Nederland wordt vooral ISAE 3402 toegepast. SSAE 16 is sterk gebaseerd op ISAE 3402, maar heeft op enkele punten een uitwerking gekregen die past binnen de Amerikaanse regelgeving.

Is een TPM voldoende?

Volgens het Cbp kan een TPM voor onderwijsinstellingen een middel zijn om te controleren of de cloud-leverancier zijn beveiligingsverplichtingen daadwerkelijk nakomt. Belangrijk aandachtspunt daarbij is dat de standaarden ISAE 3402 en SSAE 16 alleen richtlijnen geven voor de wijze waarop de onafhankelijke externe deskundige zijn onderzoek uitvoert en daarover rapporteert. De standaarden zien dus niet toe of de maatregelen ook daadwerkelijk door de cloud leverancier worden getroffen! Welke maatregelen worden getoetst is afhankelijk van de beschrijving die de cloud-leverancier daarvoor aanlevert. Dat betekent dat onderwijsinstellingen zelf moeten controleren of alle beveiligingsmaatregelen door de TPM worden gedekt. De naleving van maatregelen die niet in de TPM zijn betrokken, moeten op een andere manier worden gecontroleerd. Bijvoorbeeld door aanvullende rapportages.

Aanbevelingen

Wanneer cloud leveranciers voor de controle van beveiligingsmaatregelen verwijzen naar SAS70, ISAE 3402 of SSAE 16 is het daarom goed om de volgende punten in acht te nemen:

  • Als de cloud-leverancier verwijst naar SAS70: wijs de leverancier erop dat deze standaard is vervallen en vraag door welke standaard SAS70 wordt vervangen;

  • Ga na welke maatregelen in de TPM worden betrokken en controleer of daarmee alle beveiligingsmaatregelen zijn afgedekt;

  • Beding dat beveiligingsmaatregelen die niet (voldoende) zijn afgedekt door de TPM op andere wijze kunnen worden gecontroleerd, bijvoorbeeld door aanvullende rapportages;

  • Controleer goed of de overeenkomst met de cloud-leverancier voldoende waarborgen biedt voor de naleving van de eisen met betrekking tot beveiliging uit de Wbp.

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/4712798). © Jaarbeurs IT Media.

?


Lees ook


 

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.