WithSecure: Heer en meester over je data met datasoevereiniteit

Vind je het oké als een buitenlandse overheidsorganisatie zomaar bij je data kan? Of wil je dat klantdata veilig staat binnen de Europese Unie? Weet je eigenlijk wel waar je data staat opgeslagen en wordt verwerkt? En of het daar daadwerkelijk veilig is? ‘Datalokalisatie en -soevereiniteit zorgen ervoor dat privacy gewaarborgd kan worden. En daarom kiezen organisaties ervoor om hun data en het verwerken ervan te laten landen in de EU’, aldus Johan Calis van WithSecure.

De data van driekwart van de wereldbevolking zal eind 2024 vallen onder een wet om data te reguleren, aldus Gartner. Organisaties moeten daarom nadenken over hoe ze kunnen voldoen aan die regels, bijvoorbeeld door data binnen de grenzen van Europa te halen. Dat klinkt tegennatuurlijk in onze grenzeloze digitale maatschappij, maar om data van klanten veilig te stellen en te voldoen aan de lokale wet- en regelgeving kan datalokalisatie noodzakelijk zijn.

Een gortdroog onderwerp? Of een goed verhaal?
De GDPR (of de Nederlandse doorvertaling daarvan, de AVG) is één van die wetten. Het is één van de strengste privacywetgeving ter wereld, vertelt Johan Calis, Solution Consultant bij WithSecure, en dat is niet per toeval. ‘Privacywetgeving lijkt zo’n gortdroog onderwerp, uitgelegd in onbegrijpelijke juridische taal, maar het is juist een goed verhaal hoe de data van Europese inwoners wordt beschermd tegen grootmachten.’

De zorgen om privacy van burgers gaat al ver terug, maar kwam in een stroomversnelling na 11 september 2001 en het aannemen van de Patriot Act. Deze wet stelde de Amerikaanse overheid in staat om grootschalig persoonsgebonden data te verzamelen onder het mom van terrorismebestrijding. Alleen zag de EU hoe de bescherming van privacy van veel Europese burgers onder druk kwam, waarvoor de eerste versie van de privacywetgeving werd ontwikkeld.

Schrems I en II
De bescherming van de privacy in Europa werd verder aangescherpt nadat Max Schrems in 2015 een klacht indiende bij het Europese Hof van Justitie over Safe Harbour, de wet die data-uitwisseling tussen de EU en VS vereenvoudigde. Het Hof besloot dat die wet geen bescherming bood aan Europese burgers (Schrems I). Daarom werd de overeenkomst vervangen door de ‘US-EU Privacy Shield’, maar ook die werd in 2020 nietig verklaard (Schrems II). De VS kunnen dus nu niet meer zomaar data uit de Europese Unie opeisen.
Maar niet alleen de inbreuk van de VS zorgde ervoor dat de wetgeving werd aangescherpt. Ook de toegang tot en het gebruik van data door techreuzen zorgde ervoor dat de EU steeds beter ging nadenken over hoe ze de data van hun burgers kon beschermen. En niet in de laatste plaats leidde de zorg voor datalekken als gevolg van cybercriminaliteit tot wet- en regelgeving, zoals de GDPR en de Nederlandse AVG. ‘Privacy is namelijk niet los te zien van security en security niet van privacy’, aldus Calis.

Slechts 17 procent voldoet volledig aan GDPR
Toch bleek uit een onderzoek van EY uit 2021 dat van de 357 ondervraagde organisaties slechts 17 procent volledig voldoet aan de GDPR. Tien procent van de organisaties voldeed niet of nauwelijks aan de privacywetgeving. ‘Tegelijkertijd koos tien procent van de deelnemers in reactie op Schrems II ervoor om data juist te lokaliseren en bewust de overeenkomsten met leveranciers buiten de Europese Unie te beëindigen’, vertelt Calis.

‘Ook uit eigen onderzoek van WithSecure blijkt dat veertig procent van de tweeduizend organisaties die we onderzochten, eist dat data wordt opgeslagen en verwerkt binnen de Europese Ruimte. De wet- en regelgeving van het land waar de data zich bevindt bepaalt wie toegang heeft tot de data. We zien dat organisaties zich steeds bewuster worden wat deze datasoevereiniteit betekent.’

Cybercriminaliteit en privacy
Datasoevereiniteit is om nog een andere reden dan privacy belangrijk, vertelt Calis: ‘Het risicoprofiel van organisaties verandert. Enerzijds verandert het dreigingslandschap. Anderzijds wordt de aanvalsoppervlakte groter, bijvoorbeeld door de digitale transformatie of het inzetten van IoT-devices. Om deze veranderende risico’s te beheersen is zicht op data noodzakelijk. En daarom is privacy onlosmakelijk verbonden met security.’

Maar waarom is datasoevereiniteit, waarbij data ook gelokaliseerd moet worden opgeslagen en verwerkt, toch lastig voor organisaties? ‘Verdere adoptie van cloudtoepassingen kan ertoe leiden dat privacygevoelige data gefragmenteerd raakt en soms over de hele wereld wordt verspreid. Daarnaast neemt de complexiteit van IT toe en weet je dus niet altijd waar wat verwerkt wordt.’

De eerste stap: een assessment
Omdat IT-omgevingen steeds complexer worden, is de eerste stap naar datasoevereiniteit en privacybescherming dan ook een assessment om te bepalen waar wat staat: ‘Je moet je ten eerste natuurlijk bewust zijn van hoe dataprivacy geregeld is en je moet aan je klanten vertellen hoe je met hun data omgaat. Daarnaast moet je bepalen welke risico’s je loopt en hoe je privacy nog beter kan waarborgen.’

En als je je dan bewust bent van hoe je met data om wilt gaan, dan kan je besluiten om data binnen of buiten de Europese Ruimte te plaatsen. Maar het is vervolgens ook belangrijk om na te denken wie toegang tot deze data heeft en waar data verwerkt wordt, vertelt Calis. Ook voor WithSecure gold bijvoorbeeld dat hun MDR-dienst, waarvoor ze data van klanten verwerken, de zon volgde.

Lokaliseren van Managed Services
‘WithSecure levert een managed service, genaamd Managed Detection & Responsedienst (MDR), die in aanraking komt met data die herleidbaar is naar natuurlijke personen. De dienst verzamelt niet alleen telemetrische gegevens, maar heeft ook toegang tot data die herleidbaar is naar natuurlijke personen. Bijvoorbeeld als de klant zelf een verzoek om onderzoek doet’, vertelt Calis.

‘Het toegang geven tot privacygevoelige gegevens aan medewerkers die buiten Europa werkzaam zijn gaat voor sommige organisaties niet ver genoeg. Deze organisaties hebben een beleid voor datasoevereniteit dat verder gaat dan GDPR-compliancy, zij kunnen ook eisen stellen aan wie toegang heeft tot de data of zelfs de personen die het onderliggende technologie-platform ontwikkelen en onderhouden.’

‘Voor deze organisaties heeft WithSecure naast de Global MDR-service, die overigens compliant is aan de GDPR, ook een European Only MDR-dienst geïntroduceerd. De service is gebaseerd op een complete scheiding van mens, proces en technologie: opslag van data binnen de Europese Ruimte (Storage Seperation), levering van diensten vanuit een Europees 24/7 SOC, aangevuld met het SOC-engineering team en incident responders (Operations Seperation) en beheer en ontwikkeling van de onderliggende technologie van het MDR-platform door eigen medewerkers die in Europa zijn gesitueerd (complete seperation).’

Globalisering versus lokalisering
Het lijkt tegenstrijdig: globalisering en lokalisering. Maar ondanks dat je je data overal kan neerzetten, is het maar de vraag of je het overal wilt neerzetten. ‘In de laatste 20 jaar hebben we gezien dat veranderende geopolitieke ontwikkelingen ertoe hebben geleid dat organisaties opnieuw gaan nadenken over wie toegang heeft tot welke data. Daarom is het juist slim om helderheid te hebben over waar je data staat en verwerkt wordt’, aldus Calis.

Auteur: Anne van den Berg