GDPR en cloud computing – Uitdagingen en kansen

De nieuwe EU Algemene Verordening Gegevensbescherming (GDPR) treedt op 25 mei 2018 in werking. Als gevolg hiervan moeten bedrijven van alle omvang de wijzigingen die door de GDPR zijn doorgevoerd herzien en de organisatorische en technische implicaties identificeren die specifiek voor hen zijn. Met minder dan een maand te gaan voor de opgelegde deadline worden veel bedrijven nog steeds niet als “GDPR-ready” beschouwd. Velen van hen haasten zich om het juiste IT-beveiligings- en privacybeleid te implementeren. Cloud computing en een verhoogd niveau van gegevensbescherming moeten hand in hand gaan. Afgezien van wat vroege zenuwen zouden de nieuwe uitdagingen op het gebied van regelgeving potentieel nieuwe kansen kunnen openen voor zowel cloudaanbieders als cloudgebruikers.

TLDR? Ga direct naar de zes belangrijkste criteria…

Inleiding

Gegevensbescherming en gegevensbeveiliging komen in de loop van de digitalisering steeds meer in de schijnwerpers te staan. Ze worden beschouwd als een sleutelkwalificatie voor het succesvol bewandelen van het pad van digitale transformatie.

De achtergrond en het doel van de GDPR is harmonisatie tussen de EU-lidstaten, zodat er een uniforme wetgeving voor gegevensbescherming geldt voor de EU-zone en tegelijkertijd de rechtspositie van de betrokkenen wordt verbeterd. Hier zijn enkele van de belangrijkste wijzigingen in het licht van de GDPR:

• Boetes voor inbreuken zijn aanzienlijk verhoogd – tot 2 of 4 procent van de jaaromzet, afhankelijk van de ernst van de inbreuk.
• De rechten van de betrokken personen worden aanzienlijk versterkt door de transparantie- en informatievereisten.
• Naast de bekende verplichtingen op het gebied van gegevensbescherming worden er nieuwe verplichtingen geïntroduceerd, bijvoorbeeld voor de privacyvriendelijke standaardinstelling van elektronische apparaten.
• De nieuwe verordening is ook van toepassing op bedrijven die niet in de EU zijn gevestigd, maar wel gegevens van EU-burgers verzamelen.

De Uitdagingen

Besluitvormers in het bedrijfsleven en beveiligingsexperts vragen zich nu af hoe de nieuwe GDPR-regels eruit zullen zien. En hoe ze de implementatie van de GDPR moeten voorbereiden en uitvoeren. Daarnaast resoneert de vraag over “GDPR-readiness” bij Chief Information Security Officers (CISO's).

Een groot aantal zakelijke besluitvormers zal denken dat dit “weer een nieuwe regeling uit Brussel is die niemand ooit zal opmerken”. Er zijn echter goede redenen om rekening te houden met de GDPR. Eerst en vooral zullen de wijzigingen in de regelgeving de rechten van alle betrokkenen versterken. Dit kan leiden to aanzienlijke financiële sancties wanneer het in de toekomst gaat om datalekken die gevolgen hebben voor EU-burgers.

Naast potentiële materiële schade is ook potentiële schade aan de reputatie van het bedrijf van groot belang. Media zijn er op gebrand om privacykwesties te publiceren. Dit is een waarschuwingsschot voor alle bedrijven die nog de nodige expertise moeten verzamelen om aan de nieuwe eisen te voldoen. Dit komt omdat met de inwerkingtreding van de GDPR in mei 2018 de boetes drastisch worden verhoogd. Met boetes tot € 20 miljoen of tot 4% van de jaaromzet heeft het GDPR-onderwerp aandacht gekregen op directieniveau bij bedrijven van elke omvang.

GDPR in de context van cloud computing

De nieuwe regels met betrekking tot gegevensbescherming” zijn zowel een uitdaging als een kans. Een belangrijke indicator voor “GDPR-readiness” is de mentaliteit rond gegevensbescherming binnen bedrijven en het niveau van de geboden gegevensbescherming, wat betekent wat, waar en hoe bedrijfskritische workloads op cloudinfrastructuren draaien.

Voor veel bedrijven is de GDPR een complex project. Juridische, technische en organisatorische uitdagingen die de GDPR met zich meebrengt, zijn tot nu toe slechts gedeeltelijk met elkaar in overeenstemming gebracht. Vooral bij grote migratieprojecten in de cloudcomputingomgeving, in de IoT-omgeving of in big data-scenario's laat de dagelijkse praktijk weinig tijd over om zich bezig te houden met de implementatie van de GDPR. Naast talrijke implementatie-uitdagingen biedt de GDPR echter ook de kans om uit te blinken door het herdefiniëren en implementeren van nieuwe strategieën voor gegevensbescherming en IT-beveiliging, met name in de context van cloudcomputing.

Als gevolg hiervan roept het onderwerp cloudcomputing veel vragen op in de context van de GDPR. In technische termen is cloudcomputing een contract voor gegevensverwerking. Daarom moet de cloudgebruiker te allen tijde volledig op de hoogte zijn van de manier waarop de provider zijn gegevens verwerkt. Cloudproviders en resourceproviders ondersteunen alleen hun functies en zijn afhankelijk van de wettelijke vereisten van de verantwoordelijke autoriteit. Met andere woorden, zowel cloudproviders als bedrijven moeten voldoen aan de minimale wettelijke vereisten voor elke cloudservice onder de GDPR.

Hoe kunt u profiteren van de potentiële uitdagingen achter de GDPR? Er zijn twee hoofdvragen. Aan de ene kant moeten bedrijven weten welke cloudproviders ze kunnen vertrouwen. Aan de andere kant moeten bedrijven weten welke technische en organisatorische maatregelen ze moeten nemen om “GDPR-compliant” te zijn.

Kansen en verplichtingen voor CISO's – de juiste cloudpartner

De juiste cloudpartner kan een waardevolle sparringpartner zijn in het licht van de GDPR. Omdat zij met hun expertise op het gebied van compliance en beveiliging uw bedrijf kunnen helpen om “GDPR-ready” te worden.

Als u een multi-cloudstrategie toepast, moet u het gegevensbeschermingsbeleid van elke cloudprovider beoordelen. Hybride en multi-cloudbenaderingen zijn veel complexer om te coördineren en kunnen daarom een hoger risico voor de gegevensbescherming met zich meebrengen. De veelheid aan verschillende cloudproviders, met name in de public cloud-omgeving, maakt het voor CISO's moeilijk om GDPR-compliance te garanderen. GDPR-compliance is slechts zo sterk als de zwakste schakel. Een inbreuk of niet-naleving door een enkele cloudprovider binnen een multi-cloudimplementatie kan bijvoorbeeld alle inspanningen voor een succesvolle GDPR-compliance ondermijnen.

Zes sleutelcriteria

Hieronder hebben we een korte lijst met criteria opgesteld die u kunt gebruiken om uw potentiële cloudpartners te beoordelen (in termen van hun GDPR-compliance):

Beveiliging en privacy

De eerste stap is het beoordelen in welke mate de provider in staat is om aan uw IT-beveiligingseisen te voldoen. Een eenvoudige manier voor cloudproviders om aan te tonen dat ze voldoen aan de beveiliging en “Privacy by Design” is door ISO 27001 of ISO 27018 gecertificeerd te zijn. Als dat niet het geval is, kunnen ze dit aantonen via een uitgevoerde gegevensbeschermingseffectbeoordeling (DPIA) en/of een beveiligingsbeoordeling.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

CloudSigma Compliance

CloudSigma is ISO 27001-gecertificeerd, wat garandeert dat alle aspecten van onze infrastructuur en diensten die worden gebruikt om uw cloud te leveren en te beheren, voldoen aan de hoogste ISO-certificeringsnorm met betrekking tot beveiliging en gegevensprivacy.
[/vc_column] [/vc_row]

Risicobeheer

Bedrijven die met een breed scala aan kritieke gegevens werken, moeten voldoende garanties bieden (in overeenstemming met artikel 28 van de GDPR-verordening). Deze garanties moeten aantonen dat de verwerkingsverantwoordelijke gebruikmaakt van:

“Uitsluitend verwerkers die voldoende garanties bieden voor het implementeren van passende technische en organisatorische maatregelen. En wel op een zodanige wijze dat de verwerking voldoet aan de vereisten van deze verordening en de bescherming van de rechten van de betrokkene waarborgt.”

Daarom moet u ervoor zorgen dat uw cloudprovider regelmatig audits uitvoert voor de beoordeling. Evenals het scoren en evalueren van technische en organisatorische maatregelen om de veiligheid van de verwerking te garanderen. Daarnaast moet u ervoor zorgen dat de cloudpartner het recht op audit verleent aan diens klanten.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

CloudSigma Compliance

Als klant van elk CloudSigma-cloudplatform bent u officieel gerechtigd om audits uit te voeren op het gebied van beveiliging, werking en processen met betrekking tot de diensten die wij aan u leveren.
[/vc_column] [/vc_row]

Datalocatie

U zou altijd moeten weten wat de algemene locatie van uw gegevens is. Toch bieden niet alle cloudpartners u de nodige transparantie met betrekking tot de cloudlocaties. Houd er rekening mee dat het hoofdkantoor van de cloudprovider niet noodzakelijkerwijs de hostinglocatie van uw gegevens hoeft te zijn. Bovendien kunnen sommige bedrijven uw gegevens op de achtergrond verplaatsen tussen verschillende cloudlocaties, zonder u daarvan op de hoogte te stellen. Dit kan deel uitmaken van de servicevoorwaarden van de cloudpartner. Tenslotte kunnen cloudserviceproviders gegevens op meerdere locaties opslaan. En sommige hiervan kunnen zich buiten de EER bevinden. Als verwerkingsverantwoordelijke moet u een cloudstrategie voor meerdere landen definiëren om te voldoen aan de geschiktheidsvereisten en de wetgeving inzake datalokalisatie.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

CloudSigma Compliance

Als onderdeel van onze Servicevoorwaarden, is CloudSigma zo gestructureerd dat cloudlocaties wettelijk per land gescheiden zijn. Hierdoor is elke locatie uitsluitend onderworpen aan het lokale wettelijke kader. Dit alles terwijl er een 100% lokale cloudoplossing wordt geboden voor eindklanten.
Locaties zijn technisch ook niet met elkaar verbonden en CloudSigma garandeert de hoogste transparantie met betrekking tot de exacte datalocatie, die nooit zal worden overgedragen tussen cloudlocaties.
[/vc_column] [/vc_row]

Beveiligingsfuncties

De AVG vereist een hele reeks waarborgen voor gegevensbescherming, van versleuteling in rust en tijdens transport tot toegangscontroles en pseudonimisering en anonimisering van gegevens. Om dit te bereiken, kiest u een cloudpartner die voldoende beveiligingsfuncties biedt om uit te kiezen. Bijvoorbeeld – back-up, versleuteling, toegangscontrolebeleid en andere. Als uw cloudpartner een dergelijk beleid niet heeft, moet u zelf voor de beveiligingsfuncties zorgen.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

CloudSigma Compliance

CloudSigma streeft ernaar om klanten een hoge mate van beveiliging en privacy te bieden met een selectie van functies en tools waarmee ze de verschillende aspecten van hun computing kunnen beveiligen. Op onze blog kunnen klanten een aantal artikelen vinden die de verschillende beveiligingsfuncties beschrijven, zoals versleuteling op bootniveau, toegangscontrolebeleid, tweestapsverificatie, SSH-sleutels en andere.
[/vc_column] [/vc_row]

Mijn

Data-eigendom

Als klant van een cloudprovider bent u de Verwerkingsverantwoordelijke (Data Controller). Dit betekent dat u de controle en het eigendom van uw eigen gegevens moet behouden. U kunt dit bereiken door een verwerkersovereenkomst (Data Processing Agreement) te ondertekenen met uw cloudpartner om te garanderen dat de partner zich houdt aan de vereisten voor gegevensbescherming conform de GDPR. U kunt er zelf een opstellen, of controleren of uw cloudpartner een DPA heeft opgesteld als standaard onderdeel van de Servicevoorwaarden. Het voordeel van het gebruik van uw eigen overeenkomst is dat u het type verzamelde persoonsgegevens en 'bijzondere' gegevens kunt specificeren. Of u nu de DPA van uw partner of uw eigen DPA gebruikt, zorg ervoor dat de voorwaarden duidelijk vermelden dat de Verwerkingsverantwoordelijke (d.w.z. u) eigenaar is van de gegevens en dat de Verwerker (d.w.z. de cloudpartner) de gegevens niet met derden zal delen.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

CloudSigma Compliance

CloudSigma heeft een verwerkersovereenkomst (DPA), waarmee klanten kunnen voldoen aan hun GDPR-verplichtingen. We hebben de relevante delen van onze Servicevoorwaarden en ons Privacybeleid bijgewerkt om naar de DPA te verwijzen en te voldoen aan de GDPR.
Daarnaast is ons standaard Privacybeleid een zeer transparant document dat alle verzameling, opslag en het gebruik van klantgegevens in de cloud beschrijft.
Klanten behouden de volledige en exclusieve toegang op bestandssysteemniveau tot hun gegevens. Het CloudSigma-systeem heeft geen toegang tot of zicht op de inhoud van VM's of schijven. Het CloudSigma-cloudbeheersysteem implementeert een raamwerk voor toegangscontrole dat de rechten en toegang van medewerkers beperkt en acties die op het systeem worden uitgevoerd registreert.
[/vc_column] [/vc_row]

Gegevens verwijderen

U moet ervoor zorgen dat u, zodra uw contract met de cloudpartner is beëindigd, de gegevens kunt downloaden/wissen. En ook dat de cloudpartner de gegevens verwijdert zodra u de dienst hebt beëindigd. Sommige cloudproviders (vooral wanneer ze ISO-gecertificeerd zijn) gebruiken een gestandaardiseerd beleid voor het verwijderen van gegevens na het verlopen van het contract. Probeer te achterhalen hoe lang het duurt voordat de cloudprovider uw gegevens verwijdert.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

CloudSigma Compliance

Bij CloudSigma verwerkt het systeem automatisch alle klantgegevens. Dit omvat het verwijderen van schijven, geplande verwijdering van verouderde accounts, enz.
CloudSigma maakt geen kopieën van schijfgegevens van klanten. De enige kopie bevindt zich in onze cloud, tenzij de klant ervoor kiest om de schijf naar een ander opslagsysteem te klonen.
Daarnaast kunt u, als onderdeel van onze verwerkersovereenkomst, correctie, verwijdering, blokkering en/of het beschikbaar stellen van uw gegevens verlangen tijdens of na de beëindiging van uw servicegebruik.
[/vc_column] [/vc_row]

Dus in hoeverre is uw eigen bedrijf vandaag de dag “GDPR-ready”?

Neem gerust contact met ons op via dpo (at) cloudsigma.com voor meer informatie over CloudSigma and de GDPR.

Bronnen:

• Crisp Research
• Cloud Industry Forum
• BrightTALK
• ScienceDirect