Het is lastig voor afnemers van clouddiensten om zekerheid te krijgen over de veiligheid en betrouwbaarheid hiervan. De oorzaak ligt in het gebrek aan goede methoden.
Michiel Steltman, directeur Stichting Digitale Infrastructuur Nederland (DINL), ziet een hiaat. ‘Cloudproviders hanteren allerlei methoden om aan te tonen dat het goed zit. Vanaf vage beloftes tot en met certificaten en indrukwekkende rapporten. Maar voor afnemers is het niet eenvoudig om vast te stellen wat die waard zijn. Bovendien zeggen veel certificeringen meer over de kwaliteit van de organisatie die cloudoplossingen aanbiedt dan over de dienst zelf. Zeker voor de kleinere bedrijven is het bijkans ondoenlijk om na te gaan wat de verklaringen van cloud-aanbieders inhouden.’
Dit gebrek aan zekerheid werpt volgens Steltman drempels op voor het gebruik van clouddiensten. ‘Daarmee wordt de innovatie geremd,’ waarschuwt hij. ‘Begrijp me goed, ik beweer niet dat clouddiensten onbetrouwbaar zijn. Het probleem is dat afnemers daarover geen zekerheid kunnen krijgen, terwijl toezichthouders hen wel verantwoordelijk houden voor de keuzes die ze maken bij het gebruik van cloud.’
Steltman betreurt het dat de Autoriteit Persoonsgegevens (AP) op dit gebied weinig ‘guidance’ geeft. Met enige begeleiding van die kant zouden met name mkb-bedrijven al enorm zijn geholpen. Maar de AP heeft tot nog toe geen gehoor gegeven aan oproepen daartoe van onder meer het CIO Platform Nederland. De AP meent echter dat hier geen taak voor haar is weggelegd. De Algemene Verordening Gegevensbescherming (AVG) staat deze instantie alleen toe de wet achteraf te toetsen. Afnemers van clouddiensten moeten dus maar zelf zien uit te vinden of de gebruikte oplossingen passen bij hun eisen op het gebied van veiligheid en beschikbaarheid. Zeker voor verwerkers van persoonsgegevens ontstaat hierdoor onzekerheid.
Bewijslast
Ronald Verbeek, directeur van het CIO Platform Nederland, stelt vast dat de AVG de bewijslast en het risico van boetes bij de afnemer legt. ‘Die moet dus zien te onderhandelen met de grote leveranciers. Dat is niet eenvoudig.’ Steltman wijst op de casus van Microsoft en het Rijk. Het kostte beide partijen liefst twee jaar om alle programmatuur en overeenkomsten rond Office 365 op orde te krijgen. De DINL-directeur vraagt zich af hoe een gewone horecaondernemer uit het mkb dit soort zaken moet regelen.
Overigens zitten ook de aanbieders van clouddiensten met een probleem. Ze worden geconfronteerd met afnemers die verschillende bewijzen vragen om aan te tonen dat aan alle wettelijke eisen is voldaan. Als het gaat om zaken als cybersecurity, beschikbaarheid en privacy worden de risico’s uiteenlopend ingeschat. Bovendien weten afnemers vaak niet goed welke risico’s worden gelopen. Ook is soms onduidelijk welke assets ze willen beschermen. Het ontbreekt hen aan de kennis de juiste vragen te stellen, terwijl er ook onbegrip is over de wettelijke verplichtingen waaraan moet worden voldaan. Daardoor lopen de geboden zekerheden uiteen.
Mede om aan die behoefte aan standaardisatie van risicoprofielen en informatie over zekerheden te voldoen, is de Online Trust Coalitie (OTC) opgericht. Binnenkort wordt dit samenwerkingsverband officieel gelanceerd. Initiatiefnemers zijn het ministerie van Economische Zaken en Klimaat alsmede de publiek-private samenwerking Partnering Trust/ECP (Platform voor de InformatieSamenleving). Ruim twintig organisaties afkomstig uit overheid, bedrijfsleven en wetenschap hebben zich hierin verenigd.
Continuïteit
Steltman: ‘De afgelopen maanden is er al hard gewerkt aan een manifest en aan oplossingsrichtingen.’ De Online Trust Coalitie streeft naar eenduidige eisen, keurmerken en certificeringen. Cloudleveranciers kunnen daarmee aantonen dat hun diensten betrouwbaar en veilig zijn. Partnering Trust, voorloper van de OTC, had al eerder die ambitie. Veiligheid, beschikbaarheid en privacy zijn niet de enige aandachtspunten. Ook willen we andere zaken betrekken zoals continuïteit: het weer snel kunnen opstarten van een dienst na een incident. Als bij diensten meerdere aanbieders zijn betrokken, moet ook duidelijk zijn hoe die keten in elkaar zit en wie voor wat verantwoordelijk is.
De OTC wil ook richting geven aan Europese ontwikkelingen. Het EU-agentschap voor cybersecurity (Enisa) is bezig met de invulling van haar mandaat vanuit de Cyber Security Act. In de Europese dialogen lopen volgens Steltman de meningen over de invulling van zekerheden uiteen. Ten onrechte wordt vaak gedacht dat een eenmalige certificering van cloud-aanbieders voldoende is. Of dat een klant voldoende zekerheid krijgt over de geschiktheid van een dienst wanneer het ontwerp goed is. Volgens Steltman is dat lariekoek. ‘Cloud-oplossingen zijn dynamisch. Wat vandaag veilig is, kan morgen alweer verouderd of lek blijken te zijn. Vergelijk het met een auto. Die zal zonder continue onderhoud na verloop van tijd mankementen gaan vertonen.’
De Autoriteit Persoonsgegevens (AP) zegt in een reactie de signalen te herkennen dat het voor afnemers lastig kan zijn om goede afspraken te maken met aanbieders. Dit geldt zeker indien deze leveranciers een grote omvang hebben of monopolist zijn. ‘De AP heeft daar oog voor, maar daar gezien de beschikbare capaciteit geen aandacht aan kunnen geven. De AP sluit niet uit dat dit in de toekomst verandert. Ook dan is het niet de taak van de AP om proactief te zorgen voor voldoende goed functionerende leveranciers. Vanuit de AVG bezien is het inderdaad aan de afnemer om goede afspraken te maken met een leverancier. Wel kent de AVG enkele artikelen die zich direct richtten tot leveranciers (verwerkers) en waar deze zich dus ook aan hebben te houden.’
Te laat, te laat riep Winnetou want het kwaad is reeds naar binnen toe. Ruim 6 jaar geleden schreef ik al over een groot deel van de problematiek die CIO Platform Nederland en Steltman (toen nog spreekbuis voor DHPA) nu pas op de agenda zetten. Safe Harbor werd in 2015 al onrechtmatig verklaard door Europese Hof en vervangende EU-VS privacyshield is vorige maand naar de prullenmand verwezen. Dat er opeens snelheid nodig is lijkt me verstandig want AVG stond al heel lang in de steigers voordat deze uiteindelijk op 25 mei 2018 van toepassing werd maar nog altijd hebben veel organisaties hun zaken niet op orde.
Gezien de functiesplitsing lijkt het me logisch dat een controleur zoals AP niet gelijkertijd de adviseur kan zijn. Ook verwijten over olifanten die met olifanten dansen aangaande Microsoft en het Rijk zijn me iets te makkelijk. En een Nederlands samenwerkingsverband dat richting wil geven aan Europese ontwikkeling klinkt alsof ik een muis hoor stampen want lange tijd hadden we weinig aandacht voor de Amerikaanse tegenhanger van NIST, ENISA was de spreekwoordelijk roepende in de woestijn aangaande Europese (cloud) belangen. Oja, over eenmalige certificering ben ik het dan weer wel eens met Steltman hoewel privacy-by-design natuurlijk vooral om de bedrijfsprocessen gaat waar een keurige fuctiescheiding helpt tegen te nieuwsgierige ogen. Het is niet alleen de cloud die me zorgen baart.
De zoveelste scene in deze soap-opera.
Het MKB houdt niet op bij het minste geringste ’te veel, te moeilijk, te ingewikkeld’ te roepen en de schuld of verantwoordelijkheid bij anderen te leggen.
En meestal als het al veel te laat is en men het issue al jaren tevoren had behoren op te lossen.
Verplichtingen m.b.t. informatiebeveiliging en privacy bestaan al sinds de jaren 70. Verantwoordelijkheden m.b.t. gebruik van producten en diensten van derden – incl. uitbesteding – zijn reeds sinds de jaren 80 volstrekt helder.
Het gebruik van Microsoft-producten en – diensten is een combinatie van het voorgaande. Het risico daarvan is eveneens sinds de jaren 70 bekend.
Niemand verplicht tot het gebruik van Microsoft-producten en – diensten. Niemand verplicht tot het gebruik van cloud. Niemand verplicht tot uitbesteding.
Dat alles doet men voor eigen verantwoordelijkheid en risico. En er zijn genoeg alternatieven.
Ontbreken van voldoende kennis disculpeert niet. Daarvoor is voldoende informatie – kaders, standaarden, richtlijnen en toelichtingen – openbaar beschikbaar. En zo nodig kan men externe expertise inhuren. De eigen eindverantwoordelijkheid blijft.
Het is niet de taak van de AP om het MKB bij het handje te nemen. Het invullen van de CISO- en FG-functie behoort een vanzelfsprekendheid te zijn.
Maar er zijn genoeg bedrijven die de kostenbesparing vinden opwegen tegen de pakkans en boete.
En inmiddels is 5G alweer in beeld.
__________
@Oudlid : de AVG is reeds 24 mei 2016 In werking getreden.
P.J. Westerhof,
Ik stelde dat AVG al eerder in de steigers stond dan 25 mei 2018 want organisaties hadden twee jaar om hun zaken op orde te brengen. Maar zoals je al stelt wordt er vooral vanuit risicobeheer gekeken naar pakkans en boete en zijn CISO en FG-functies daarom veelal ingevuld zonder dat er mandaat aan deze rollen is geven volgens enquête van Centrum voor Informatiebeveiliging en Privacybescherming (CIP). En naast een gebrek aan mandaat zijn andere klachten gebrek aan steun van het middelmanagement, trage besluitvorming en beperkte middelen. Laatste is iets waar ook AP nog altijd tegen aan loopt.
@Oudlid : de AVG stond al veel langer ‘in de steigers’ dan bij de in werking treding van 24 mei 2016, en dus al helemaal tijdens het van kracht worden 25 mei 2018.
De inhoud stond – op wat details na- immers al ruimschoots vóór mei 2016 vast. De rest was politieke vertraging.
Alle partijen wisten dus reeds in een zéér vroeg stadium wat er op hen af kwam en zouden mei 2016 dus hard uit de startblokken kunnen komen.
Bovendien was de (concept-)AVG weinig meer dan een hercodificatie en aanscherping van reeds jaren van kracht zijnde privacyregelgeving. Voor Nederland betrof dat o.a. de WPR en de WBP.
Dat men bovendien van 24 mei 2016 tot 25 mei 2018 twee jaar de tijd had om aan het AVG-minimumniveau te voldoen proberen velen te (doen) vergeten.
Voldeed men 24 mei 2016 dus niet aan het AVG-minimumniveau dan deed men dat daarvóór hoogstwaarschijnlijk óók al niet. Dat had dus aanleiding moeten zijn om per mei 2016 over te schakelen op een crisisplan (zie het Computable-archief van destijds) teneinde nog tijdig AVG-compliant te kunnen zijn.
Indien men na de implementatieperiode op 25 mei 2018 nog steeds niet aan het AVG-minimumniveau voldeed kon dus – zoals vaker door mij betoogd – van weinig anders sprake zijn dan van grove nalatigheid of opzet. Zijdens de AP bleef het echter stil.
Vergeten moet immers niet worden dat de implementatieperiode mede bedoeld was om een Privacy Functionaris aan te stellen die kon toezien op de verdere AVG-implementatie en kon ondersteunen bij de programmaplanvorming en acceptatie. Inclusief alle uitbestedingsconstructies en organisatiestructuren.
Bij organisaties – overheid én bedrijfsleven – die op 25 mei 2018 nog steeds geen PF hadden aangesteld terwijl zij daartoe wél verplicht waren was dus de facto sprake van opzet.
Het ontbreken van mandaat of financiële middelen is symptomatisch voor zowel het privacymanagement binnen een organisatie als de rolopvatting door de PF zélf .
De PF heeft voldoende middelen en legitimiteit om diens rol waar te maken en resultaten af te dwingen.
Hij/zij is daarbij geenszins afhankelijk van de steun van het middenmanagement. De verantwoordelijkheid ligt immers op directieniveau (RvB, GemRaad, GS, etc.)
De rolinvulling door de AP is sinds mei 2016 weinig anders te beschrijven dan als een ‘klapperend kunstgebit’. De politiek en de departementale ambtenarij is daar in hoge mate debet aan geweest en is dat nóg steeds.
De feiten liggen er, de verantwoordelijkheden staan er, maar niemand verbindt er consequenties aan.
Dat geeft dus ruim baan aan pluchezitters, opportunisten, baantjesjagers en cowboys.
Consequenties worden afgewenteld op burger en belastingbetaler.
P.J. Westerhof,
Het is met name de overheid die zich niet druk maakt omdat de burger nergens anders heen kan. Op dit moment zien we – net als eerder naar aanleiding van 9/11 – dat respect voor de privacy op bepaalde bestuurlijke lagen vooral als lastig ervaren wordt.
Ja, een mix van hinderlijk, duur en onnodig. “Want wij hebben het beste voor met onze klant/burger”. Met name In de bestuurskamers bij overheid als bedrijfsleven. Maar ook lager in de organisatie, want het management geeft het voorbeeld.
Zoals een bankmedewerker eens sprak “De klant heeft zijn privacy al weggeschreven met het ondertekenen van de kleine lettertjes”.
Maar ook de AP heeft het zichzelf ettelijke keren onnodig moeilijk gemaakt, en doet dat nog steeds.
Zo had de AP mei 2018 kunnen volstaan met het sturen van een 1/2 A4 standaardbrief aan alle ministeries, provincies en gemeenten, en daarnaast aan alle bij de KvK ingeschreven organisaties. Met in die brief het verzoek binnen 4 weken opgave te doen van de contactgegevens van de FG en een copie verwerkingsregister, danwel een toelichting waarom men onder de uitzonderingen valt.
Dan had de AP voor einde zomer 2018 een sluitend overzicht gehad van de Nederlandse AVG-compliance. En had direct daarop kunnen over gaan tot opleggen van boetes aan die overheden en bedrijven die bewust in verzuim waren.
Dan was direct duidelijk geweest dat het menens was, en had men niet jaren lang duikgedrag hoeven tolereren.
P.J. Westerhof,
Er is niks mis met het beste voor hebben met de klant, hele verhaal van customer intimacy draait hierom. Punt is echter dat er steeds meer wetgeving komt die contracten met kleine lettertjes rechtsongeldig maken. De zaak van BKR is daarom interessant omdat deze het verdienmodel van de stichting (waar banken één van de stakehouders in zijn) raakt. Een rechterlijke uitspraak over gratis (digitale) inzichtelijkheid zal namelijk ook gevolgen hebben voor allerlei andere registers waar de transactiekosten doorbelast worden.