Beveiliging en vertrouwelijke data
Als het gaat om vertrouwelijkheid zijn er twee zaken die goed in het achterhoofd moeten worden gehouden, stelt Erik Remmelzwaal, oprichter van IT-security specialist DearBytes, tegenwoordig onderdeel van KPN. ‘Veel cloudleveranciers hebben hun beveiliging goed op orde, beter dan de gemiddelde organisatie zelf kan regelen. Tegelijkertijd is de wet- en regelgeving op dit gebied nog in ontwikkeling.’ Voordat een organisatie (persoons)gegevens in de cloud plaatst, is het handig om de data te classificeren. ‘Het kan verstandig zijn om vertrouwelijke en privacygevoelige informatie nog niet in een publieke cloud te plaatsen, totdat je zeker weet dat de cloudleverancier op de juiste manier omgaat met de vereisten uit wet- en regelgeving.’ Hij doelt op de nieuwe Europese wetgeving (General Data Protection Regulation, red.) die in mei volgend jaar van kracht wordt.
Datalek is grootste risico
Die wetgeving schrijft voor dat je als organisatie moet kunnen aantonen dat je alles in het werk hebt gesteld om privacygevoelige informatie op een voor jouw bedrijf acceptabele manier te beschermen. Patrick de Goede van Eijk, cyber security architect bij T-Systems: ‘Het grootste risico dat je als organisatie loopt – en dat geldt niet alleen voor de cloud – is dat er data gelekt wordt. Als data geld waard is, op welke manier dan ook, dan kun je ervan uitgaan dat een bedrijf dat veilig moeten stellen.’
Als een organisatie toch gebruik wil maken van de cloud, breng dan eerst de wensen en eisen van het bedrijf in kaart. Al deze factoren wegen mee in de keuze voor een private of publieke cloud. Beide cloudsoorten kennen het risico op datalekken en daarom zul je moeten oppassen: bij private clouds komt het veel voor dat het beheer en de aanpassingen door minder deskundige personen wordt gedaan, met alle risico’s van dien. Bij een publieke cloud houdt een team van specialisten de risico’s in de gaten en kan sneller ingrijpen. De keuze tussen private cloud of publieke cloud hangt van veel factoren af.
Versleuteling op bestandsniveau
Het gebruik van de cloud brengt altijd risico’s met zich mee, stelt Remmelzwaal. ‘Zeker als je met externe partijen in de cloud samenwerkt. De vraag is hoe zeker je ervan bent dat degene die het gedeelde bestand of document opent, ook degene is die je dacht dat het zou zijn. Dat heeft alles te maken met toegangsrechten. Stel dat je een anonieme link naar een document stuurt naar iemand en diegene stuurt de link weer door, dan heb je daar geen zicht meer op. Het slimste is dan ook om zaken die echt vertrouwelijk zijn, in ieder geval als persoonlijke link te sturen. En indien nodig op bestandsniveau te versleutelen.’ Het is bij leveranciers van publieke clouds zelfs mogelijk om links niet buiten je organisatie te delen of te voorzien van extra beveiliging met een wachtwoord. Zaken die privacygevoelig zijn, moeten sowieso versleuteld worden, vindt De Goede van Eijk. ‘Zorg in die gevallen ervoor dat de encryptiesoftware door jou zelf wordt gekozen en dat jij de enige bent met de sleutel.’
Europese wet- en regelgeving
Ook in Nederland hebben we wet- en regelgeving op dit gebied. Die stelt bijvoorbeeld dat sommige privacygevoelige gegevens – zoals medische gegevens – niet buiten de Nederlandse handelsgrenzen mogen worden opgeslagen. Andere gegevens hoeven niet per se in een Nederlandse cloud te staan. Toch adviseert De Goede van Eijk om niet te ver over de grens te kijken. ‘Kies bij voorkeur een Europese cloudprovider als je bedrijf in Europa is gevestigd en daar ook zijn hoofdkantoor heeft. Dan voldoet de provider in ieder geval aan de minimale eisen van de Europese wet op de Bescherming van Persoonsgegevens.’
Data portabiliteit
Maar wat als de samenwerking met externe partijen stopt en de clouddienst niet langer nodig is? Of als een organisatie van leverancier wil veranderen? Hoe eenvoudig is het om als bedrijf je eigen data uit de cloud te halen of te verhuizen? Remmelzwaal: ‘Technisch gezien is het niet zo moeilijk om data van de ene opslag naar de andere te zetten.’ Deze ‘dataportabiliteit’ is iets wat straks in de Europese wetgeving geregeld moet worden, want op dit moment is dat nog niet zo eenvoudig.
Veel data wordt in publieke clouddiensten gesynchroniseerd, dus er is vaak wel een lokale kopie aanwezig in het bedrijf. Maar als er gebruik wordt gemaakt van een cloud applicatie, kan het zijn dat data veel lastiger te verhuizen zijn. Soms kan het helemaal niet en soms krijg je exportbestanden waar je vervolgens weinig mee kunt. Of het is heel complex of duur om data terug te halen. ‘Daarom is het goed dat die data portabiliteit goed geregeld wordt en dat je hier op voorhand afspraken over maakt met je cloudleverancier. Het is ook nog zo dat als je data weghaalt, je er vanuit moet kunnen gaan dat het ook daadwerkelijk verwijderd wordt bij de oude leverancier. Dat is het recht om vergeten te worden.’
Wat mag wel en wat niet gedeeld worden?
De security-specialisten geven Nederlandse organisaties die willen samenwerken in de cloud nog een advies mee. ‘Denk goed na over data classificatie. Welke data is gevoelig en welke minder? Door het te classificeren kun je bepalen welke data mag worden gedeeld in de cloud en welke data echt vertrouwelijk is’, stelt Remmelzwaal. De Goede van Eijk sluit af met een eenvoudige stelregel: ‘Als informatie naar een persoon te herleiden is, denk dan goed na waar je het neerzet. En check altijd de beveiligingsopties van de cloudprovider die je kiest. Zo simpel is het.’