Vanaf 25 mei 2018 moet elke organisatie die persoonlijk identificeerbaar materiaal over EU-burgers verwerkt of controleert strenge organisatorische en technische maatregelen hebben geïmplementeerd (bijvoorbeeld privacy by design) om compliant te zijn met de GDPR. Colocatie helpt daarbij.
Nog dertien maanden te gaan en de General Data Protection Regulation (GDPR) wordt van kracht. Bedrijven die gebruikmaken van de cloud, maar ook cloudserviceproviders zelf, zijn druk bezig zich daarop voor te bereiden. Een ding is duidelijk: de GDPR gaat voor veel opschudding zorgen in de wereld van dataprivacy.
Cruciaal is dat GDPR de rechtspositie van het individu versterkt ten opzichte van organisaties. Nu is het nog zo dat burgers bij een vermoeden van misbruik moeten aantonen dat ze slachtoffer zijn van datamisbruik of datalekken. Straks zijn het organisaties die moeten aantonen dat ze de juiste, preventieve maatregelen hebben genomen om persoonlijke data te beschermen. Op het niet naleven van deze verplichting staan strenge straffen. Geldboetes kunnen oplopen tot vier procent van de wereldwijde omzet.
Daarnaast verplicht de GDPR tot de publieke bekendmaking van serieuze datalekken. Deze kunnen voor de getroffen organisatie leiden tot een verminderd consumentenvertrouwen of zorgen voor een deuk in de merkreputatie en vermindering van de aandeelwaarde. Niet compliant zijn, kan dus uitmonden in miljarden euro’s schade voor de grootste bedrijven. Bedenk maar eens welke impact de Yahoo-hack had kunnen hebben
Grondig evalueren
Er heerst nog veel onzekerheid over de gevolgen van de GDPR. Slechts zes procent van de aanbieders van clouddiensten is voldoende voorbereid op de nieuwe privacywetgeving. Daarom is het essentieel dat organisaties die actief zijn in het cloudsegment hun systemen en processen grondig evalueren zodat persoonlijke data goed is beschermd. Dat geldt niet alleen voor de infrastructuren van enterprises maar ook die van hun cloudserviceproviders. Op hun beurt moeten die cloudserviceproviders zich ervan bewust zijn dat ook zij verantwoordelijk worden gehouden voor datalekken die zich onder hun toezicht voordoen.
De GDPR maakt onderscheid tussen databezitters en dataverwerkers. In de eerste categorie vallen enterprises die iets willen doen met de persoonlijke data die ze verzamelen. Cloudproviders zijn de bedrijven die data verwerken namens een enterprise. Uiteindelijk is het de verantwoordelijkheid van de databezitter om te zorgen voor de best mogelijke beveiliging. In geval van een datalek en een daarop volgend onderzoek kan het zo zijn dat de dataverwerker aansprakelijk wordt gesteld, mocht het lek in zijn systeem zitten.
Complete controle
Zowel enterprises als cloudproviders moeten onder GDPR aantonen dat zij complete controle hebben over hun security. Op alle lagen is de beste bescherming essentieel, inclusief op de infrastructuurlaag en op het gebied van de fysieke beveiliging in datacenters.
Een cruciaal puzzelstuk is end-to-end-encryptie voor alle persoonlijk identificeerbare informatie. Artikel 32 van de GDPR roept hier specifiek toe op, sprekend over geschikte maatregelen om informatiebeveiliging zeker te stellen. Dat is inclusief ‘de pseudonimisatie en encryptie van persoonlijke data’.
Zowel op apparaten als binnen het bedrijfsnetwerk is er een trend om alles dat in de cloud staat te voorzien van encryptie. In lijn hiermee en conform de eisen van GDPR zien we dat organisaties behoefte hebben aan hardware securitymodules (HSMs). Dat zijn apparaten die de veiligste opslag garanderen en zowel digitale authenticatiecodes als cryptoprocessing leveren. Daarnaast leveren Cloud Acces Security Brokers (CASBs) de essentiële mogelijkheid om gevoelige data die van of naar elke cloud stroomt realtime te monitoren.
Colocatie kan helpen
Hoewel de grootste enterprises zonder twijfel hun eigen HSMs en CASB-gateways managen, kan colocatie een efficiëntieslag opleveren in de race om klaar te zijn voor GDPR.
Binnen de industrie bevelen instanties als de Cloud Security Alliance aan encryptiesleutels buiten de cloud te bewaren. Daarmee worden hybride structuren de norm. Colocatie zorgt voor een goed functionerende, duurzame en veilige infrastructuuromgeving. Dit wordt nog eens versterkt door strikte SLA’s voor prestatie, beschikbaarheid en compliance.
Daarnaast fungeren de modernste colocatie-datacenters meer en meer als connectiviteitscenters, omdat ze in directe, veilige verbindingen naar de grote cloudproviders voorzien. In geselecteerde datacenters hebben de grote cloudproviders zogenaamde aggregatiepunten geplaatst, speciaal voor veeleisende klanten. Deze datacenters hebben daardoor een directe verbinding met de cloudplatformen, buiten het reguliere internet om.
Microsoft heeft bijvoorbeeld Azure ExpressRoute, Amazon heeft Direct Connect en IBM doet het met Softlayer Directlink. Deze verbindingen zijn te vergelijken met een omheinde snelweg. Ze bieden niet alleen de snelste verbinding, maar ook de beste beveiliging. Voor enterprises die een toekomstbestendige cloudstrategie nastreven is dus ook de keuze voor een datacenter uiterst strategisch. Naast aantoonbare veiligheid biedt colocatie eenvoudige toegang tot een brede community aan clouddiensten en vaardigheden, die in feite slechts een kabel verwijderd zijn binnen het datacenter. Enterprises kunnen snel managed serviceproviders vinden en zo complex en tijdsintensief HSM-management vermijden. Op die manier is een optimale prestatie gegarandeerd.
Daarnaast zorgt het plaatsen van een CASB binnen een colocatie voor de best mogelijke prestaties en een veilige verbinding tot meerdere clouds. Dat is niet alleen razendsnel en veilig, maar ook kosteneffectief.
Hoewel de boetes enorm lijken, betaalt het zich uit om naar GDPR-compliance te kijken als meer dan een noodzakelijke investering. In feite kunnen enterprises en cloudserviceproviders die dataprivacy proactief benaderen een competitief voordeel creëren. Door volledige encryptie van informatie in de cloud, een robuuste beveiliging van je hybride infrastructuur en eenvoudige toegang tot een grote variëteit aan experts, zijn organisaties zeker van volledig vertrouwen en zijn ze klaar om zaken te doen in een GDPR-wereld.
Een interessante benadering. Ik stel (als toevoeging) voor om de basis Informatiebeveiliging ISO27001 met een ICLOUD ISO27018 combinatie te gebruiken om GPDR compliant te zijn. ISO27001 als basis geeft goede controle richtlijnen voor Privacy. ISO27018 is ontwikkeld voor data protection in de cloud. Hierin zitten nog controle items die niet in ISO27001/27002 staan. Info bij ondergetekende. Maar als een klant nu aan mij vraagt? ISO27001 or 27018? Dan zou ik beide adviseren. Het advies is dan vanuit marketing en informatiebeveiliging oogpunt. Vanuit marketing is ISO27001 beter omdat daar een ISO certificaat voor afgegeven kan worden en gebruikt kan worden naar de klanten en/of opdrachtgevers uit het oogpunt van informatiebeveiliging. Maar ISO27018 is beter daar deze een gedetailleerde normering geeft rondom Privacy. Maar om geen ‘ tweekamp’ discussie te creëren zou ik deze twee standaarden inzetten voor GPDR compliancy. ISO27001 is het beste framework voor informatiebeveiliging. ISO27018 geeft echter cloud specifieke details. Dus start met ISO27001 en integreer ISO27018 beetje bij beetje in het proces van opzet, bestaan, effectieve werking, naleving en continuïteit door gebruik te maken van de PDCA cirkel (continu verbeteren). Mochten er al organisaties zijn die ISO27001 gecertificeerd zijn dan kunnen ze de persoonsdata classificeren als een security asset en een aanbeveling maken voor een ISO27018 Cloud oplossing en daar een projectmatige verbetertraject voor initiëren. Bij vragen kan u mij consulteren.
John Roos
Security Management ISO27001/ISO270032/CIPPE(GDPR2018) & ISO21500 Project/Program Management