Deze website maakt gebruik van cookies. Voor meer informatie over de cookies waarvan deze website gebruik maakt klik hier.
Door verder op deze website te surfen geeft u de toestemming aan Minoc Media Services om cookies te gebruiken. verder gaan
 

GDPR en de publieke cloud: hoe los je dat op?

Michaël Aussems

 
De niet aflatende cloudhype zwelt dag na dag verder aan terwijl de GDPR-regeling om de hoek loert. Is het in 2018 nog wel koosjer om gevoelige gegevens aan een publieke cloudprovider toe te vertrouwen?

 

Alles wat as-a-service wordt aangeboden, zit in de cloud. Met Microsoft Azure, de Google Cloud en Amazon Web Services als belangrijkste spelers is er heel wat ruimte op externe datacenters om je data te parkeren. Naast de groten zijn er echter ook een heleboel kleine aanbieders van cloudoplossingen, die al dan niet gebruik maken van hun eigen servers. Het is niet altijd overzichtelijk om te ontdekken waar je data terechtkomt, en vroeger was dat geen probleem. Met de nodige veiligheidsgaranties van de partij van jouw keuze maakte het al niet uit waar de back-up van je klantengegevens ergens gehuisvest werd. Zolang de back-up maar beschikbaar was! Dat verandert binnenkort. Vanaf 25 mei 2018 zijn jouw data helemaal je eigen verantwoordelijkheid, ook als ze bij Google of Amazon staan. De General Data Protection Regulation (GDPR) heeft veel facetten maar strikte regels omtrent de opslag en de verwerking van persoonsgegevens is misschien wel het belangrijkste.

 

De Microsofts, Amazons en Googles van deze wereld bereiden zich voor op de GDPR en claimen tijdig compliant te zullen zijn. Hetzelfde kan gezegd worden van iedere kleine speler die zichzelf serieus neemt. Je kan de providers echter niet op hun woord geloven. Als eigenaar van de data houdt de GDPR jouw verantwoordelijk voor het lot er van, wat concreet betekent dat jij moet aantonen dat je voldoende moeite hebt gedaan om te achterhalen dat persoons-, personeels- of andere gevoelige gegevens op een veilige plaats terecht komen.

 

Strikte voorwaarden

De GDPR laat je toe om te vertrouwen op de publieke cloud, maar alleen wanneer je zeker weet dat de provider van jouw keuze aan de juiste voorwaarden voldoet. Zo mag je gerust naar een Amerikaanse partij stappen met gegevens over Europese burgers, zolang je tenminste kan aantonen dat die partij de gegevens in kwestie volgens GDPR-normen zal behandelen. De gegevens moeten dus onder Europese vlag blijven, wat bescherming moet bieden tegen Amerikaanse NSA-praktijken. De regelgeving windt er geen doekjes om: je mag alleen cloudproviders kiezen die de juiste garanties kunnen bieden op het vlak van kennis maar ook betrouwbaarheid. Wie met een Chinese start-up zonder enige staat van dienst in zee gaat, en daarna ontdekt dat die de GDPR met de voeten treedt, mag zich dus niet aan alle schuld onttrekken.

 

 

Europa verwacht van jouw als data-eigenaar dat je de nodige technische en organisatorische maatregelen neemt om te verzekeren dat de dataverwerking in overeenstemming met de regels gebeurt. Bovendien moet je volgens de GDPR kunnen aantonen dat de regels worden nageleefd. Dat mag je lezen als een inspanningsverplichting: je moet voldoende moeite hebben gedaan om je er van te vergewissen dat je cloudpartner de data juist behandelt, en je moet kunnen aantonen dat je die inspanning hebt geleverd.

 

Eenvoudige richtlijnen

De set regels waaraan jij en je cloudprovider je moeten houden oog uitgebreid, maar de krijtlijnen zijn best eenvoudig. De regelgeving omvat persoonsgegevens en vereist dat die op een transparante manier behandeld worden. De verzameling er van mag alleen ten dienste van het doel waarom je ze hebt verzameld. Je mag dus geen bestaande gegevens gebruiken voor diepgaande gedragsanalyse van je klanten tenzij je daar expliciet de toestemming om vraagt. Je mag de gegevens bovendien niet langer bijhouden dan nodig voor het specifieke doel dat je voor ogen hebt. Vooral dat laatste vereist een inspanning van je cloudprovider: wanneer het tijd is om persoonsgegevens van een klant (maar bijvoorbeeld ook ex-werknemer) te wissen, moet je provider je kunnen garanderen dat de data ook echt weg is en niet ergens op een obscure back-up server blijft voortbestaan.

 

 

Tot slot verwacht de GDPR dat je persoonsgegevens voldoende veilig behandelt. Aangezien je de veiligheid uit handen geeft wanneer je vertrouwt op een publieke cloudprovider, heb je ook daar erg concrete garanties van de provider nodig. Opnieuw legt de regelgeving de verantwoordelijkheid voor de naleving bij jou.

 

Inspanningsplicht

Dat het niet volstaat om even kort te polsen of de provider naar keuze GDPR-compliant is, mag intussen duidelijk zijn. Om niet in problemen te komen wanneer er zich bijvoorbeeld toch een datalek voordoet, doe je er goed aan om je in meer detail te vergewissen van de manier waarop een cloudspecialist met de GDPR om gaat. Beltug, de organisatie die CIO’s en IT-specialisten verenigt, werkte een vragenlijst uit waarop jij je kan baseren bij de keuze van een cloudprovider. Het idee achter de lijst is dat je voldoende juiste vragen stelt aan een partij en dat die concrete antwoorden geeft, zodat jij kan aantonen dat je weet dat je partner compliant is, en dat je moeite hebt gedaan om dat na te gaan. Om zelf GDPR-compliant te zijn, moet je samen met je cloudprovider vanaf 25 mei een contract uitwerken waarin die compliancy naar voren komt. De vragenlijst probeert daarbij te helpen.

 

Vragen, vragen, vragen

De informatie die je moet winnen, gaat erg breed. Zo is het een goed idee om te informeren naar de gezondheid van een bedrijf, maar ook naar het aantal werknemers en hun technische competenties. Natuurlijk dien je de nodige vragen over het niveau van de beveiliging te stellen. Denk daarbij over vragen over de monitoring van trafiek maar ook de manier waarop je cloudprovider je gegevens beschermt tegen fysieke diefstal vanuit het datacenter. Omdat het volgens de GDPR jouw verantwoordelijkheid is om een lek van persoonsgegevens officieel te melden, dien je van je provider ook te weten hoe die jouw op de hoogte zal brengen van een beveiligingsprobleem binnen het publieke datacenter. Zoals eerder vermeld moet je zeker achterhalen welke garanties je provider biedt dat data effectief gewist wordt wanneer je daarom vraagt, met een duidelijke nadruk op de procedures bij het wissen van back-ups.

 

Op zich mag de GDPR het niet moeilijker maken voor bedrijven om te vertrouwen op de publieke cloud. Feit is wel dat je zelf wat werk moet verrichten om je te vergewissen dat je partner compliant is, en dat om zelf compliant te zijn. Je zal in ieder geval voor het verlopen van de deadline nog eens moeten samen zitten met je provider.

 

De GDPR-wetgeving uitgelegd in vijf vragen

 

Reacties

comments powered by Disqus
 

RECENT NIEUWS