Redactie - 27 mei 2014

Vijf manieren om in control te blijven over datalocatie


Onduidelijkheid over de locatie van bedrijfsinformatie is voor veel organisaties een reden om geen gebruik te maken van cloud-oplossingen. Vooral zorg- en financiële instellingen maken zich zorgen over de veiligheid en de bescherming van hun gevoelige bedrijfsgegevens. Net als bij de aanschaf van nieuwe faciliteiten of middelen, is het bij de inzet van cloudoplossingen van belang dat organisaties zich eerst verdiepen in de geldende wet- en regelgeving. Zij moeten op de hoogte zijn van de risico’s en hier maatregelen voor treffen. Zeker voor gevoelige bedrijfsgegevens geldt: ja, het kan naar de cloud, maar weet wel waar uw data is.

In control

Dat organisaties zich zorgen maken over de locatie van hun data in de cloud is overigens niet vreemd. Het is één van de belangrijkste compliance-vereisten. Vanuit de Wet bescherming persoonsgegevens (Wbp) én vanuit EU-privacyregelgeving moeten organisaties bijvoorbeeld aantoonbaar maken dat ze weten waar hun data is en dat het in veilige handen is. Voor sectoren waar veel gevoelige data in omgaan – bijvoorbeeld in de zorg- of de financiële sector – gelden extra beveiligingseisen. Het onderbrengen van organisatiedata bij een externe cloud-leverancier betekent niet dat de aansprakelijkheid automatisch mee verschuift: deze blijft altijd bij de organisatie zelf liggen.

Of de data nu Nederland wel of niet uit mag, in beide gevallen moet de ICT-manager dus in control zijn wat de datalocatie betreft. Concreet zijn er vijf te nemen stappen om u ervan te verzekeren dat u, ten eerste, in control bent over de datalocatie en, ten tweede, in staat bent u ervan te verzekeren dat de data in Nederland is en blijft.

1. De geografische datalocatie

Bij ‘data in Nederland’ is de eerste associatie de geografische locatie: als de data zich maar op een server binnen onze landgrenzen bevindt. De fysieke plek waar de data staat, is dan ook waar de meeste cloud-leveranciers zich op beroepen. ‘Vertrouw op ons, want ons datacenter staat in Nederland,’ is de boodschap. Het onderbrengen van bedrijfsdata in een Nederlands datacenter voorziet echter slechts voor een deel in compliance-vereisten. Ja, datacenters moeten hier in Nederland aan veel eisen voldoen. Maar voor compliant cloud-gebruik is er meer nodig dan alleen fysieke vestiging in Nederland.

 

2. De juridische datalocatie

De zekerheden die horen bij een in Nederland gelegen datacenter gelden alleen voor cloud-leveranciers die onder een Nederlandse juridische entiteit vallen. Is het datacenter in Nederland gevestigd, maar heeft het een Amerikaanse moedermaatschappij? Dan kan dit betekenen dat de Nederlandse dochter niet alleen onder Nederlandse wetgeving valt. En dat alle data op de servers met de Patriot Act in handen doorzocht kunnen worden door een buitenlandse overheidsdienst. Zeker voor privacy- of bedrijfsgevoelige informatie is het belangrijk om dit goed uit te zoeken.

3. De lijnen in en uit

De wetgever stelt in principe geen eisen aan de verbinding van en naar een datacenter, behalve dan dat een organisatie in control is over de locatie van haar data. Concreet betekent dat een vorm van versleuteling noodzakelijk is om ervoor te zorgen dat data onderweg niet onderschept kan worden. Er is standaard authenticatie, met gebruikersnaam en wachtwoord, of een sterkere vorm van authenticatie, bijvoorbeeld een aanvullende maatregel als een token of sms. Voor data die om een nog steviger protectie vraagt, zijn er cloud-leveranciers die een WAN (Wide Area Network) aanbieden: een eigen lijn, direct van het Nederlandse datacenter naar de servers van de organisatie op locatie, ofwel een private cloud.

4. Support en beheer

Staat de data in een datacenter in Nederland, dan betekent dat nog niet dat alle cloud-leveranciers de data ook in Nederland houden. Support kan plaatsvinden in België bijvoorbeeld, of in of vanuit India – verhuizing van de data kan al met één command-regel. Voor organisaties of bedrijfsonderdelen van wie de informatie minder bedrijfsgevoelig is, levert dergelijke offshoring van support of beheer een interessant kostenvoordeel. Voor andere organisaties of specifieke privacygevoelige organisatieactiviteiten kan dit, zonder verdere afspraken, echter een overtreding van de wet betekenen. Duidelijke afspraken met de cloud-leverancier zijn dus essentieel.

5. Bewaak aantoonbaar de grenzen

In control zijn over de locatie van organisatiedata is geen eenmalige actie. De cloud-leverancier moet de gebruiker in staat stellen – via heldere en frequent verschijnende rapportages – te monitoren wat er met de data gebeurt. Veel cloud-leveranciers monitoren nog op basis van steekproeven. Anno nu is dat echter onvoldoende – steekproefsgewijze monitoring is niet voldoende om aan te tonen dat u in control bent. Volledige 24/7 monitoring van de virtuele grenzen is een randvoorwaarde. Dat maakt ook goede afspraken over change management noodzakelijk, zodat de cloud-leverancier weet wanneer changes plaatsvinden en dat er dan dus data gemigreerd kan worden.

Data in Nederland: zijn er ook nadelen?

Plaatsing van organisatiedata in Nederlandse datacenters betekent niet alleen dat organisaties daar rechten aan kunnen ontlenen. Het betekent ook dat de wetgever op bezoek kan komen. Zo zijn er toezichthouders – zoals DNB in de financiële wereld – die onderzoeksrecht hebben. Cloud-leveranciers moeten hen toegang verschaffen.

Maar ook hier geldt: dit is geen reden om organisatiedata niet in de cloud te zetten. Toezichthouders komen namelijk alleen onder strikte voorwaarden en veiligheidseisen ‘binnen’: de privacy van klanten, patiënten, medewerkers of andere personen mag nooit in gevaar komen. Gaat het om strafrechtelijke zaken of staat er een deurwaarder op de stoep, dan zal de cloud-leverancier, wanneer de rechter toestemming heeft gegeven, toegang moeten geven. Maar dat is eveneens van toepassing op on-premise ICT-systemen en data: met een rechterlijk bevel in handen gaan ook daar de deuren open.

Tevreden CEO

Overweegt een organisatie over te stappen op cloud-oplossingen, dan is het dus van belang aantoonbaar in control te zijn over de datalocatie. Is dat goed georganiseerd, dan is niet alleen de CEO tevreden – lagere bedrijfskosten, efficiënter werkende mensen – maar zelfs de meest behoudende riskmanager.

Door Menno Frantzen, Cloud Productmanager bij KPN Zakelijke Markt

 

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!