EU versus Public Cloud
Sinds 2016 is er een gestage groei qua Cloud adoptie in België (zie ook onze Cloud Barometer) waarbij er inmiddels een op de vijf applicaties rechtstreeks vanuit de Cloud draaien. En 2017 zal het jaar worden dat bijna elke zich zelf respecterende KMO zich steeds meer in Cloud oplossingen aan het verdiepen is, of zich laat begeleiden door hun IT huisleverancier met als opdracht om het maximale van de voordelen van Cloud oplossingen te benutten.
Vaak krijgen we de vraag om daarin te kunnen adviseren daar de Cloud nog niet voor iedereen even duidelijk is. Een van de meest gestelde vragen is dan ook steevast: “is de Cloud wel veilig en hoe kan ik dit als bedrijfsleider controleren?” Vooral het verschil tussen Public en Private cloud oplossingen is voor velen onduidelijk en zonder het zelf te beseffen zitten de meeste KMO’s al lang in de Public Cloud. Menig werknemer heeft ondertussen wel een eigen privé e‑mail of Dropbox account en heeft ook minstens één applicatie die als sociale media toepassing wordt gebruikt, denk daarbij aan Facebook of WhatsApp of LinkedIn. Dit bewijst vooral dat het gebruik van toepassingen uit de cloud allang zijn ingeburgerd en dat de meeste ervan, zo niet alle afkomstig zijn van Public Cloud providers uit de Verenigde Staten.
Als antwoord op dit fenomeen heb ik ooit ergens in de wandelgangen van een fabrikant het nu volgende gezegde opgevangen: “Amerika vindt het uit (lees Amazon), China kopieert het (lees Alibaba) en Europa regulariseert het (lees GDPR).
Zeer toepasselijk als je ziet dat de grootste Public Cloud providers allemaal uit Amerika komen (Big 5) en al een decennia lang hun diensten aanbieden, maar nu gaat Europa hier dus een stokje voor steken onder de noemer GDPR wat staat voor General Data Protection Regulation. Je kunt geen ICT web-site of vakblad openslaan of je leest wel ergens iets over deze nieuwe regelgeving en vaak met de wijzende vinger of zelfs doemdenkers scenario’s, want als u niet conform deze regelgeving bent zijn de boetes niet mals!
De General Data Protection Regulation (GDPR) houdt de gemoederen behoorlijk bezig. Deze door de EU vastgestelde wetten moeten dus gaan toezien op hoe er met de persoonlijke data van de Europese burger wordt omgesprongen. Voor België zal er officieel moeten worden voldaan aan de eisen van GDPR vanaf 25 mei 2018, dus u heeft nog even de tijd om orde op zaken te stellen voordat u een Cloud Provider kan selecteren.
Voor GDPR komt er in het kort op neer dat 1) alle bedrijven transparant moeten zijn over hoe data wordt verzameld en verwerkt en burgers expliciet toestemming moeten geven, 2) dat burgers zonder gedoe gegevens van de ene naar de andere dienstverlener over moeten kunnen zetten en geen data hoeven te delen die niet relevant is, 3) het recht hebben om vergeten te worden en hun data kunnen opvragen 4) dat bedrijven een meldplicht voor datalekken opgelegd krijgen.
Ook als KMO moet u aan kunnen tonen dat u aan deze hierboven vermelde verplichtingen voldoet. Blijft u in gebreke op een van de onderdelen van GDPR, dan kan er een boete opgelegd worden van ettelijke miljoenen of maximaal vier procent van uw wereldwijde omzet als bedrijf. Met name als het gaat om Cloud-diensten, is iets als de GDPR een heet hangijzer, omdat de data van uw bedrijf en hun gebruikers dan continu ‘buiten het bereik’ opgeslagen wordt.
Het nieuwe kader legt niet enkel verplichtingen op aan de verantwoordelijke voor de verwerking, maar ook aan partijen die verder in de keten de persoonsgegevens verwerken voor data-analytics, opslag, facturatie, … en dit laatste is toch een belangrijke nieuwigheid voor ict-dienstverleners en meer specifiek de aanbieders van Cloud diensten. Deze privacy verordening voorziet dat men contracten moet aan zullen passen en data protection policies op zal moeten zetten, conform aan de vereisten van de verordening. Alle bedrijven zullen immers moeten kunnen aantonen dat zij op een verantwoorde manier omgaan met persoonsgegevens van medewerkers, klanten of toeleveranciers. Hierdoor zijn er uitdagingen op verschillende niveaus. Veel bedrijven hebben – laten we eerlijk zijn – nooit stilgestaan bij gegevensbeveiliging. Technologie kan veel, maar applicaties en processen zullen herbekeken moeten worden in het licht van deze wetswijzigingen.
Hieronder een zes-tal tips die u verder zullen helpen om als bedrijf de nieuwe regelgeving rondom Privacy en veiligheid conform toe te kunnen passen:
- Ken de locatie waar applicaties gegevens verwerken of opslaan. U kunt dit bereiken door alle Cloud-apps die u in uw organisatie gebruikt in kaart te brengen en te vragen waar ze uw gegevens hosten. Hint: het hoofdkantoor van de Cloud leverancier is zelden waar uw gegevens worden gehuisvest. Uw gegevens kunnen ook worden verplaatst tussen de datacenters onderling waar de applicatie gehost zal worden.
- Neem adequate beveiligingsmaatregelen om persoonlijke gegevens te beschermen tegen verlies, wijziging of onbevoegde verwerking. U moet weten welke applicaties voldoen aan uw beveiligingsnormen, of u zal maatregelen moeten nemen en extra controles uitvoeren voor die applicaties die dat niet doen.
- Sluit een gegevens-verwerkingsovereenkomst met de Cloud Provider af die u zal selecteren. Zodra u alle applicaties in gebruik in uw organisatie hebt geïnventariseerd, kan u in samenspraak met de Cloud Provider een overeenkomst tekenen om ervoor te zorgen dat zij voldoen aan de gegevens-beschermingsvereisten die in de GDPR zijn vermeld.
- Verzamel alleen “benodigde” gegevens en beperk de verwerking van “speciale” gegevens. Geef in uw gegevensverwerkingsovereenkomst (en verifieer dit in uw Data Policy) aan dat alleen de persoonlijke gegevens die nodig zijn om de functie van de applicatie uit te voeren, door deze app zal worden verzameld over uw gebruikers of organisatie. Zorg dat er beperkingen zijn op het verzamelen van “speciale” data zoals ras, etniciteit, politieke overtuiging, religie enzovoort.
- Laat geen Cloud-applicaties toe die persoonlijke gegevens gebruiken voor andere doeleinden. Zorg ervoor dat u via uw gegevensverwerkingsovereenkomst en in uw applicatie zorgvuldig controleert dat de apps duidelijk vermelden dat u als klant de eigenaar bent van de gegevens en dat de Cloud Provider de gegevens niet zullen delen met derden.
- Zorg ervoor dat u de gegevens kunt wissen wanneer u de applicatie niet meer gebruikt. Zorg ervoor dat de voorwaarden duidelijk zijn dat u uw gegevens direct kunt downloaden en dat de app uw gegevens zal wissen zodra u de Cloud diensten heeft beëindigd. Indien mogelijk, kijk dan ook na hoe lang ervoor nodig is voor de Cloud Provider om dit te doen. Beter onmiddellijk (in minder dan een week), dan dat het langdurig bewaren van de gegevens een hoger risico op blootstelling zullen hebben.
Extra tip, als u een aantal van deze stappen hierboven uitvoert dankzij uw Data Policy, zorg er dan ook voor dat u ten alle tijden actie kunt ondernemen wanneer uw gebruikers lokaal of op afstand zijn, op een laptop of mobiel apparaat of op hun eigen device (BYOD). Afhankelijk van de Cloud-service die u kiest, liggen bepaalde verantwoordelijkheden binnen uw eigen organisatie (als data-controller) of bij de Cloud-provider (als data-processor). Maar als gevolg van de GDPR, bent u als enige de eindverantwoordelijke voor de data.
Alvast veel succes met de voorbereidingen en uw keuze van Cloud Provider.