Overheidsinstellingen moeten de privacyrisico’s goed in kaart brengen voordat ze in zee gaan met een clouddienst. Dat moet met een zogeheten gegevensbeschermingseffectbeoordeling, waarbij overheden technische en organisatorische maatregelen nemen om de risico’s zoveel mogelijk te beperken. Onder meer door specifieke afspraken te maken in het contract dat ze sluiten met de clouddienst.
Europese privacy-toezichthouders wijzen overheden op deze vereisten bij het gebruik van clouddiensten. Ze hebben een lijst met aanbevelingen opgesteld voor overheidsinstellingen die persoonsgegevens van burgers opslaan in de cloud. Deze lijst met dertien aanbevelingen staat in een rapport over een gezamenlijke actie van de European Data Protection Board (EDPB), het samenwerkingsverband van de Autoriteit Persoonsgegevens (AP) en de andere privacytoezichthouders in Europa.
Volgens hen moeten overheidsinstellingen ook periodiek controleren of clouddiensten zich houden aan deze afspraken. In de praktijk betekent dit dat er maatwerk nodig is. Overheden moeten niet zomaar akkoord gaan met het standaardcontract dat de clouddienst aanbiedt.
Leren
De AP concludeert dat veel andere landen kunnen leren van de Nederlandse overheid. Veel overheidsinstellingen voeren een gedegen gegevensbeschermingseffectbeoordeling uit bij clouddiensten. Maar er is bij het cloudgebruik ook wel wat te verbeteren. De AP gaf daarom alle Nederlandse ministeries in een brief drie opdrachten mee.
Zo vindt de AP dat de minister moet beseffen zelf verantwoordelijk te zijn voor de inkoop van clouddiensten, en deze verantwoordelijkheid niet bij de gezamenlijke inkooporganisatie leggen. Daarbij moeten de ministeries de manier waarop privacy wordt meegenomen in het inkoopproces uniformeren. Tot slot moet de minister onderzoeken op welke plekken nog meer gezamenlijke inkoop kan plaatsvinden.
De AP wijst erop dat in een zo vroeg mogelijk stadium rekening wordt gehouden met de privacyaspecten van een gegevensverwerking. Voor overheden die clouddiensten willen afnemen is het daarom van belang dat zij eerst de risico’s in kaart brengen en de benodigde maatregelen treffen.
De strategisch leveranciers management (slm)-functie kan een belangrijke rol spelen om daar in een vroegtijdig stadium aan bij te dragen. Volgens de AP bestaat er echter geen duidelijk kader voor de rol en belegging van slm-functies binnen het Rijk. Evenmin is helder voor welke clouddiensten een dergelijke functie is bekleed.
De criteria waarmee wordt vastgesteld wanneer er voor een bepaalde clouddienst een slm-functie moet worden ingericht, en bij welke organisatie deze functie wordt uitgevoerd moeten helderder worden gedefinieerd. Nu ontbreekt het aan duidelijke richtlijnen.
Europa dit , Europa dat, zus, zo.
Veel geld.
Maar geen Europese cloud dus.
Daarvoor zijn we afhankelijk van Amazon, Azure, Google.
Waarom als Europa niet je eigen cloud bouwen naar je eigen behoeften ?
Bottom line blijft dat wat er ook in een contract staat, waar de servers ook in de wereld staan, de overheid van de VS mag er gewoon bij als ze dat noodzakelijk acht, Microsoft mag dat niet weigeren. Versleuteling helpt in de meeste gevallen ook niet, gegevens moeten altijd doorzoekbaar zijn op de server en daar is nog geen goede oplossing voor zonder dat de gegevens op z’n minst in-memory worden ontsleuteld: in de cloud. Dat is makkelijk af te tappen.
De politiek moet dit eerst oplossen voordat we, bijvoorbeeld, patiëntgegevens in de cloud hangen (zie Gelre ziekenhuis). Ja of een goede Europese cloud, maar dat gaat nog wel even duren.
@Dino: Dat project/traject bestaat reeds, genaamd Gaia-X. Ook Nederland heeft daar een “hub” van. Je ziet dat op “hun site”. Gaat m.i. i.d.d. nog wel even duren.
Los van dat ik persoonlijk tegen rookgordijnbegrippen ben als “de Cloud” (om niet te zeggen “containerbegrip” of “marketing kreet”). De Cloud bestaat nl. niet, maar wordt wel overal ingezet waar het handig is om vooral niet duidelijk te maken waar het op dat moment *exact* over gaat. Het jaagt mede ook drie grote vijanden aan van een paradigma waar we decennia voor gestreden hebben, nl. het slimmer en “dunner” maken van systemen, daarmee ook het gegarandeerd veilig houden van centraal opgesloten data, zonder afhankelijkheid van publieke netwerken, de gehate Vendor-lock-in (die is nu erger dan ooit) , en het KISS principle. KISS is gewoon weg. Alles in de Cloud maakt het alleen “simpeler” voor gebruikers, als dat al zo is. Onder de motorkap technisch en qua verantwoordelijkheid is het nog nooit zo ongrijpbaar geweest als nu. Anderen bepalen de gang van zaken, met een in feite onbekende agenda, en onbekende planning. En zie daar de buitenproportionele problemen omtrent politiek en publiek, en de op handen zijnde “maatregelen” en gevolgen. Zo denk ik erover.
https://nl.wikipedia.org/wiki/Gaia-X inderdaad maar schiet niet zo op he.
Zo’n cursus/certification AWS solution architect maakt toch wel e.e.a. duidelijk wat de diensten zijn en hoe te gebruiken. Duidelijk waar de data opgeslagen wordt, dat bepaal je zelf. Verantwoordelijkheid ook duidelijk, zie “shared responsibility model” dat goed beschreven is.
Alleen de juridische gevolgen en Patriot act is ander verhaal.
Maar dat en “de onbekende gang van zaken en planning” en vendor lock-in, das opgelost met een eigen cloud, waarmee ik Europese tegenhanger van hyperscalers als Azure, AWS of GCP bedoel.
@Dino: Mijn mening over “De Cloud” bedoelde ik meer algemeen “voor de lezer”. In feite ben ik het bijna met je eens, maar je ziet bijv. aan je eigen opmerking m.b.t. zaken die “duidelijk zijn” en “goed beschreven” dat dat nog steeds niets zegt over “of het allemaal is wat je zelf zou wensen of eisen”, of zelfs “in de haak is”. Het is slechts “een soort van duidelijk”. Vendor lock-in bijv. is helemaal niet opgelost met louter een andere publieke cloud, zoals een Europese. En zo nog tal van zaken. Je neemt nog steeds online diensten af, ver-weg van je eigen infra, maar je bent wel verantwoordelijk. Zowel juridisch als bijv. ook technisch als het gaat om een werknemer binnen een bedrijf die aangenomen is voor de informatie systemen, m.b.t. beheer etc. Ieder z’n mening en ervaring, maar feit is dat zelfs simpele dingen zinloos en lachwekkend complex en kostbaar worden in veel gevallen. Cloud-first en dat soort kreten zijn m.i. nogal kortzichtig. Het is gewoon weer een extra ding in de kist van mogelijkheden, niets meer. Alles overhevelen naar plekken waar het niet thuishoort is m.i. echt stupide. Ik ben niet de enige die dat zo ziet. Maar misschien ben ik een té oudgediende ? We gaan het zien. Voorlopig zie, lees en hoor ik letterlijk dagelijks alleen maar over problemen en ellende, en tegelijkertijd enorme ladingen marketing die exact het tegendeel proberen te bewijzen met non-bewijsvoering of zelfs de nadelen aanduiden als voordelen, als je goed leest. En dan een hele schare believers en non-believers. Dat is niet het landschap van exacte wetenschap zoals ik dat heb leren kennen.
tja…
https://nos.nl/artikel/2461150-wereldwijde-storing-bij-microsoft-diensten-als-teams-en-outlook-voorbij
Wat gaan die bedrijven die de ochtend uit de running lagen nu doen? hun verloren inkomsten etc. verhalen op MS?
“Alles overhevelen naar plekken waar het niet thuishoort is m.i. echt stupide.” daar is zelfs oudlid het mee eens 😀
Als je als opdrachtgever een cloud laat bouwen naar je eigen specificaties (private hyperscaler 🙂 bepaal je alles zelf, ook de verantwoordelijkheden.
Omdat de kist van mogelijkheden niet een pandora box moet worden.
Oudlid is het alleen eens met het ‘overhevelen’ als hiermee het afschuiven bedoeld wordt want het shared responsibility model mist een helder RASCI overzicht. De hoop in de doos van Pandora gaat om geloof en ergens heb ik het idee dat Jeroen een soortgelijke boodschap heeft. Herinner me dat ik ooit in een expertpanel eens stelde dat de cloud mogelijkheden geeft maar GEEN wonderen.
Ik geloof daarom niet in een Europese cloud maar een community cloud welke een win-win voor de deelnemers heeft door een onderlinge data uitwisseling. En de onderliggende technologie is de keus die je maakt als je weet hoe processen ingericht moeten worden volgens RASCI overzicht. Schijnt een Rijnlands denken te zijn, samen sterk in een gemeenschappelijk doel door niet naar de spijkers te kijken maar naar de verbinding zelf.
Dat shared responsibility-model gaat om security en het scheiden van de cloudaanbieder en cloudgebruiker.
Security of the cloud : de provider
Security in the cloud : de user
Het is geen raci model.
Verder huur je iets met een bepaalde specificatie, als availability (keihoog) durability (nog keihoger). Het garanderen van die specs is verantwoording van de provider, de keuze die van de gebruiker.
Tot zover reguliere cloud.
Maar er wordt meer verwacht, tenzij je genoegen neemt met specs en prijs van die z.g. soevereine cloud die de grote hyperscalers aanbieden. Als je een hoop eisen hebt en je wacht tot de markt er wat mee gaat doen ben je afhankelijk en loop je altijd achter.
En community cloud is gewoon ander deployment model en geen hyperscaler die privacy en juridische aspecten niet waarborgt.
Maak de beste ipv kies de minst slechte.
Van onprem hosten als bedrijf (leuk) naar je eigen hyperscaler hosten als europa (nog leuker).
Niet haalbaar ? Goed dat ze bij ASML niet zo dachten.
Ik ken ‘shared responsible’ clausules Dino, zoals dat ik ook de exoneratieclausule hierin ken. De contractuele kant gaat namelijk niet om beveiliging maar om het afschuiven van juridische aansprakelijkheid. Uiteindelijk heeft het servicemodel niks met het plaatsingsmodel te maken, codewoord van de dag betreffende laatste is ‘egress cost’ omdat dataportabiliteit nog vaak een dingetje is.