EU versus Public Cloud

door 22 mei 2017

agsdix-smc-cache-1

Sinds 2016 is er een gestage groei qua Cloud adoptie in België (zie ook onze Cloud Barometer) waarbij er inmiddels een op de vijf appli­ca­ties recht­streeks vanuit de Cloud draaien. En 2017 zal het jaar worden dat bijna elke zich zelf respec­te­rende KMO zich steeds meer in Cloud oplos­singen aan het verdiepen is, of zich laat bege­leiden door hun IT huis­le­ve­ran­cier met als opdracht om het maximale van de voordelen van Cloud oplos­singen te benutten.

Vaak krijgen we de vraag om daarin te kunnen adviseren daar de Cloud nog niet voor iedereen even duidelijk is. Een van de meest gestelde vragen is dan ook steevast: “is de Cloud wel veilig en hoe kan ik dit als bedrijfs­leider contro­leren?” Vooral het verschil tussen Public en Private cloud oplos­singen is voor velen ondui­de­lijk en zonder het zelf te beseffen zitten de meeste KMO’s al lang in de Public Cloud. Menig werknemer heeft onder­tussen wel een eigen privé e‑mail of Dropbox account en heeft ook minstens één appli­catie die als sociale media toepas­sing wordt gebruikt, denk daarbij aan Facebook of WhatsApp of LinkedIn. Dit bewijst vooral dat het gebruik van toepas­singen uit de cloud allang zijn inge­bur­gerd en dat de meeste ervan, zo niet alle afkomstig zijn van Public Cloud providers uit de Verenigde Staten.

Als antwoord op dit fenomeen heb ik ooit ergens in de wandel­gangen van een fabrikant het nu volgende gezegde opge­vangen: “Amerika vindt het uit (lees Amazon), China kopieert het (lees Alibaba) en Europa regu­la­ri­seert het (lees GDPR).

Zeer toepas­se­lijk als je ziet dat de grootste Public Cloud providers allemaal uit Amerika komen (Big 5) en al een decennia lang hun diensten aanbieden, maar nu gaat Europa hier dus een stokje voor steken onder de noemer GDPR wat staat voor General Data Protec­tion Regu­la­tion. Je kunt geen ICT web-site of vakblad openslaan of je leest wel ergens iets over deze nieuwe regel­ge­ving en vaak met de wijzende vinger of zelfs doem­den­kers scenario’s, want als u niet conform deze regel­ge­ving bent zijn de boetes niet mals!

De General Data Protec­tion Regu­la­tion (GDPR) houdt de gemoe­deren behoor­lijk bezig. Deze door de EU vast­ge­stelde wetten moeten dus gaan toezien op hoe er met de persoon­lijke data van de Europese burger wordt omge­sprongen. Voor België zal er officieel moeten worden voldaan aan de eisen van GDPR vanaf 25 mei 2018, dus u heeft nog even de tijd om orde op zaken te stellen voordat u een Cloud Provider kan selecteren.

Voor GDPR komt er in het kort op neer dat 1) alle bedrijven trans­pa­rant moeten zijn over hoe data wordt verzameld en verwerkt en burgers expliciet toestem­ming moeten geven, 2) dat burgers zonder gedoe gegevens van de ene naar de andere dienst­ver­lener over moeten kunnen zetten en geen data hoeven te delen die niet relevant is, 3) het recht hebben om vergeten te worden en hun data kunnen opvragen 4) dat bedrijven een meld­plicht voor data­lekken opgelegd krijgen.

Ook als KMO moet u aan kunnen tonen dat u aan deze hierboven vermelde verplich­tingen voldoet. Blijft u in gebreke op een van de onder­delen van GDPR, dan kan er een boete opgelegd worden van ettelijke miljoenen of maximaal vier procent van uw wereld­wijde omzet als bedrijf. Met name als het gaat om Cloud-diensten, is iets als de GDPR een heet hangijzer, omdat de data van uw bedrijf en hun gebrui­kers dan continu ‘buiten het bereik’ opge­slagen wordt.

Het nieuwe kader legt niet enkel verplich­tingen op aan de verant­woor­de­lijke voor de verwer­king, maar ook aan partijen die verder in de keten de persoons­ge­ge­vens verwerken voor data-analytics, opslag, factu­ratie, … en dit laatste is toch een belang­rijke nieu­wig­heid voor ict-dienst­ver­le­ners en meer specifiek de aanbie­ders van Cloud diensten. Deze privacy veror­de­ning voorziet dat men contracten moet aan zullen passen en data protec­tion policies op zal moeten zetten, conform aan de vereisten van de veror­de­ning. Alle bedrijven zullen immers moeten kunnen aantonen dat zij op een verant­woorde manier omgaan met persoons­ge­ge­vens van mede­wer­kers, klanten of toele­ve­ran­ciers. Hierdoor zijn er uitda­gingen op verschil­lende niveaus. Veel bedrijven hebben – laten we eerlijk zijn – nooit stil­ge­staan bij gege­vens­be­vei­li­ging. Tech­no­logie kan veel, maar appli­ca­ties en processen zullen herbe­keken moeten worden in het licht van deze wetswijzigingen.

Hieronder een zes-tal tips die u verder zullen helpen om als bedrijf de nieuwe regel­ge­ving rondom Privacy en veilig­heid conform toe te kunnen passen:

  1. Ken de locatie waar appli­ca­ties gegevens verwerken of opslaan. U kunt dit bereiken door alle Cloud-apps die u in uw orga­ni­satie gebruikt in kaart te brengen en te vragen waar ze uw gegevens hosten. Hint: het hoofd­kan­toor van de Cloud leve­ran­cier is zelden waar uw gegevens worden gehuis­vest. Uw gegevens kunnen ook worden verplaatst tussen de data­cen­ters onderling  waar de appli­catie gehost zal worden.
  2. Neem adequate bevei­li­gings­maat­re­gelen om persoon­lijke gegevens te beschermen tegen verlies, wijziging of onbe­voegde verwer­king. U moet weten welke appli­ca­ties voldoen aan uw bevei­li­gings­normen, of u zal maat­re­gelen moeten nemen en extra controles uitvoeren voor die appli­ca­ties die dat niet doen.
  3. Sluit een gegevens-verwer­kings­over­een­komst met de Cloud Provider af die u zal selec­teren. Zodra u alle appli­ca­ties in gebruik in uw orga­ni­satie hebt geïn­ven­ta­ri­seerd,  kan u in samen­spraak met de Cloud Provider een over­een­komst tekenen om ervoor te zorgen dat zij voldoen aan de gegevens-bescher­mings­ver­eisten die in de GDPR zijn vermeld.
  4. Verzamel alleen “benodigde” gegevens en beperk de verwer­king van “speciale” gegevens. Geef in uw gege­vens­ver­wer­kings­over­een­komst (en verifieer dit in uw Data Policy) aan dat alleen de persoon­lijke gegevens die nodig zijn om de functie van de appli­catie uit te voeren, door deze app zal worden verzameld over uw gebrui­kers of orga­ni­satie. Zorg dat er beper­kingen zijn op het verza­melen van “speciale” data  zoals ras, etni­ci­teit, politieke over­tui­ging, religie enzovoort.
  5. Laat geen Cloud-appli­ca­ties toe die persoon­lijke gegevens gebruiken voor andere doel­einden. Zorg ervoor dat u via uw gege­vens­ver­wer­kings­over­een­komst en in uw appli­catie zorg­vuldig contro­leert dat de apps duidelijk vermelden dat u als klant de eigenaar bent van de gegevens en dat de Cloud Provider de gegevens niet zullen delen met derden.
  6. Zorg ervoor dat u de gegevens kunt wissen wanneer u de appli­catie niet meer gebruikt. Zorg ervoor dat de voor­waarden duidelijk zijn dat u uw gegevens direct kunt down­lo­aden en dat de app uw gegevens zal wissen zodra u de Cloud diensten heeft beëindigd. Indien mogelijk, kijk dan ook na hoe lang ervoor nodig is voor de Cloud Provider om dit te doen. Beter onmid­del­lijk (in minder dan een week), dan dat het langdurig bewaren van de  gegevens een hoger risico op bloot­stel­ling zullen hebben.

Extra tip, als u een aantal van deze stappen hierboven uitvoert dankzij uw Data Policy, zorg er dan ook voor dat u ten alle tijden actie kunt onder­nemen wanneer uw gebrui­kers lokaal of op afstand zijn, op een laptop of mobiel apparaat of op hun eigen device (BYOD). Afhan­ke­lijk van de Cloud-service die u kiest, liggen bepaalde verant­woor­de­lijk­heden binnen uw eigen orga­ni­satie (als data-controller) of bij de Cloud-provider (als data-processor). Maar als gevolg van de GDPR, bent u als enige de eind­ver­ant­woor­de­lijke voor de data.

Alvast veel succes met de voor­be­rei­dingen en uw keuze van Cloud Provider.

Pin It on Pinterest

Share This