Op verzoek van Surf heeft het College bescherming persoonsgegevens (Cbp) een zienswijze gepubliceerd over de inzet van cloud computing. De vragen die Surf in het verzoek heeft gesteld gaan onder meer over de beveiliging van persoonsgegevens in de cloud.
De uitkomsten en aanbevelingen uit het onderzoek richten zich in eerste instantie op ‘onderwijs & onderzoek’, de belangrijkste doelgroep van Surf. Maar uiteindelijk is dit informatie waarvan iedereen die te maken heeft met cloud computing minimaal kennis van zou moeten nemen.
Persoonsgegevens in de cloud
Op grond van de Wet bescherming persoonsgegevens (‘Wbp’) zijn onderwijsinstellingen zelf verantwoordelijk voor de adequate beveiliging van persoonsgegevens, ook als deze bij een cloud-leverancier zijn opgeslagen. De beveiligingsplicht geldt voor zowel dataverlies als voor onbevoegde toegang tot persoonsgegevens. Onderwijsinstellingen moeten op basis van een risicoanalyse beoordelen of de cloud-leverancier voldoende waarborgen biedt of dat aanvullende beveiligingsmaatregelen nodig zijn. De beveiligingsmaatregelen moeten vervolgens expliciet worden omschreven in het contract met de cloud provider.
Toezicht op naleving
Onderwijsinstellingen moeten ook controleren of de cloud-leverancier zijn beveiligingsverplichtingen daadwerkelijk nakomt. Er zijn diverse auditing-standaarden die daarop moeten toezien. Het Cbp ging in zijn onderzoek na of de Statement on Auditing Standards no. 70 (SAS 70) voldoende zekerheid over de beveiliging van de verwerkte persoonsgegevens biedt of dat de standaarden International Standard for Assurance Engagements (ISAE) 3402 en Statement on Standards for Attestation Engagements (SSAE) 16 daartoe beter zijn toegerust.
Third Party Mededeling
SAS 70, ISAE 3402 en SSAE 16 zijn standaarden voor het opstellen van een zogenaamde ‘third party mededeling’ (‘TPM’). Een TPM is een verklaring van een onafhankelijke deskundige, waarin een oordeel wordt gegeven over de maatregelen die een leverancier heeft getroffen. De TPM wordt opgesteld in opdracht van de cloud-leverancier met als doel de klanten inzage te verschaffen in de door de leverancier getroffen maatregelen. Daardoor hoeft niet iedere klant daar zelf onderzoek naar te (laten) doen.
De basis voor de TPM vormt een door de cloud-leverancier opgestelde beschrijving van de relevante maatregelen. De externe deskundige toetst deze beschrijving onder meer op volledigheid en stelt vervolgens vast of de cloud-leverancier de beschreven maatregelen daadwerkelijk heeft getroffen. Afhankelijk van het type TPM doet de externe deskundige een uitspraak over de aanwezigheid van de beschreven maatregelen op een bepaalde datum (type 1) of gedurende een bepaalde periode (type 2).
De standaard SAS70 is inmiddels vervallen en vervangen door ISAE 3402 en SSAE 16. In Nederland wordt vooral ISAE 3402 toegepast. SSAE 16 is sterk gebaseerd op ISAE 3402, maar heeft op enkele punten een uitwerking gekregen die past binnen de Amerikaanse regelgeving.
Is een TPM voldoende?
Volgens het Cbp kan een TPM voor onderwijsinstellingen een middel zijn om te controleren of de cloud-leverancier zijn beveiligingsverplichtingen daadwerkelijk nakomt. Belangrijk aandachtspunt daarbij is dat de standaarden ISAE 3402 en SSAE 16 alleen richtlijnen geven voor de wijze waarop de onafhankelijke externe deskundige zijn onderzoek uitvoert en daarover rapporteert. De standaarden zien dus niet toe of de maatregelen ook daadwerkelijk door de cloud leverancier worden getroffen! Welke maatregelen worden getoetst is afhankelijk van de beschrijving die de cloud-leverancier daarvoor aanlevert. Dat betekent dat onderwijsinstellingen zelf moeten controleren of alle beveiligingsmaatregelen door de TPM worden gedekt. De naleving van maatregelen die niet in de TPM zijn betrokken, moeten op een andere manier worden gecontroleerd. Bijvoorbeeld door aanvullende rapportages.
Aanbevelingen
Wanneer cloud leveranciers voor de controle van beveiligingsmaatregelen verwijzen naar SAS70, ISAE 3402 of SSAE 16 is het daarom goed om de volgende punten in acht te nemen:
-
Als de cloud-leverancier verwijst naar SAS70: wijs de leverancier erop dat deze standaard is vervallen en vraag door welke standaard SAS70 wordt vervangen;
-
Ga na welke maatregelen in de TPM worden betrokken en controleer of daarmee alle beveiligingsmaatregelen zijn afgedekt;
-
Beding dat beveiligingsmaatregelen die niet (voldoende) zijn afgedekt door de TPM op andere wijze kunnen worden gecontroleerd, bijvoorbeeld door aanvullende rapportages;
-
Controleer goed of de overeenkomst met de cloud-leverancier voldoende waarborgen biedt voor de naleving van de eisen met betrekking tot beveiliging uit de Wbp.
Erik,
Enige tijd geleden was hier een opinie te lezen over anonimiseren van persoonsgegevens voor testdoeleinden wat in de praktijk namelijk lang niet altijd gedaan wordt, ook niet door organisaties die zeggen aan al die prachtige standaarden te voldoen. En enkele dagen geleden deed de voorzitter van CBP trouwens een opmerkelijke uitspraak over de omgang met persoonsgegevens door de overheid, daarbij ging het bijvoorbeeld om toegang tot en verwerking van persoonsgegevens voor onder andere belasting, sociale zekerheid, onderwijs en jeugdbeleid.
Wat dat betreft zouden we nu toch van DigiNotar, Pobelka en andere incidenten geleerd moeten hebben hoewel het natuurlijk een known error is dat meeste organisaties op zijn best één week voor en één week na een audit ‘in control’ zijn en het de overige weken ‘business as usual’ is. En er vindt ondertussen een flinke lobby plaats om de nieuwe wetgeving rond de bescherming van de privay af te zwakken omdat dit niet past in de business modellen van Amerikaanse bedrijven.
Zodoende blijven hackers er met de informatie en bestuurders met het geld vandoor gaan waarna achteraf de kale kip telkens niet meer te plukken valt.
Als ik lees dat de TPM gebaseerd is op een beschrijving van de cloud leverancier, en dat deze beschrijving vervolgens nog door de klant moet worden gecontroleerd, vraag ik mij af in hoeverre inderdaad niet “iedere klant daar zelf onderzoek naar te (laten) doen”. De winst van een TPM gaat deels verloren door de noodzaak voor de klant om de beschrijving die door de cloud prover is gegeven, weer te controleren.
Verder vraag ik mij af in hoeverre wij af moeten gaan op allerlei standaarden. In sommige gevallen kom je hier niet onderuit; bijvoorbeeld als het gaat om het afnemen van software-as-a-service geleverd door een specifieke cloud provider. In andere gevallen, bijvoorbeeld als het gaat om storage, kan security in eigen hand genomen worden door bij verschillende cloud providers data redundant op te slaan. Dan kan gebruik gemaakt worden van goedkope – niet gecertificeerde – cloud providers en heeft de klant meer zekerheid.
Gaat het hier om een ‘papieren veiligheid’ zoals bij Diginotar ook het geval was of om échte veiligheid? In het laatste geval is het interessant om eens te kijken naar technische oplossingen zoals client-side encryptie.
Of dit te rijmen valt met de datazucht van overheden is een tweede.