Een paar weken geleden kopte het Financieel Dagblad; “Meeste Nederlandse bedrijven voldoen nog niet aan privacywet”. Inmiddels is het al weer ruim drie jaar geleden dat de Algemene verordening gegevensbescherming, ofwel de AVG haar intrede deed. Hierdoor moeten bedrijven en overheden in de gehele Europese Unie voldoen aan strikte regels voor de verwerking van persoonsgegevens. Ondanks de aanzienlijke boetes blijken veruit de meeste bedrijven daar nog steeds niet aan te voldoen. In het artikel van het FD wezen diverse CIO’s hierbij naar de aanbieders van clouddiensten en software buiten Europa. Door een zwakke onderhandelingspositie ten opzichte van deze mondiale hyperscalers vindt men het lastig om op een goede manier invulling te geven aan deze verordening.
Het bedrijfsleven en de overheid schakelen massaal over op clouddiensten. In de zoektocht naar verdere kostenvoordelen, flexibiliteit en toenemende focus op de kernprocessen zijn de clouddiensten van de Google, Amazon of Microsoft inmiddels veruit favoriet. Kijkend naar alle mooie voordelen die deze Amerikaanse hyperscalers bieden, zit er zit echter een addertje onder het gras. Deze platforms zijn namelijk lastig te controleren. Datacenters en servers staan meestal niet in Europa. En met de Cloud act (maart 2018) lijkt een goede naleving van de Europese privacywet een reële uitdaging.
Het exacte gebruik van klantdata is veelal in nevelen gehuld. Wat doen we daaraan? Kunnen de softwareleveranciers gedwongen worden om hun producten alleen aan de EU-markt te leveren, wanneer zijzelf de AVG-eisen naleven?
30% meer meldingen datalekken in het afgelopen jaar!
We kunnen tegenwoordig geen krant meer openslaan, nieuwspagina aanklikken, of de berichten over security issues komen ons tegemoet. Zelfs offline, kan een simpele foto, tot een aardige data-lek discussie leiden. (Vraag dat maar aan één van de oud-informateurs). Niet zelden ontvangen we de nodige fishing-mail. Hacks zijn aan de orde van de dag, zo kwamen onlangs onder meer de gegevens van diverse autobezitters op straat te liggen via RDC, een menselijke fout bij bouwbedrijf Heijmans maakte dat per ongeluk alle inkomens én vermogens van potentiële kopers worden rondgemaild en Booking.com lekte tal van klantgegevens. Twitter, Facebook en LinkedIn bleken eerder al een ‘gemakkelijk’ doelwit voor hackers waardoor gebruikersnamen en wachtwoorden ‘op straat kwamen te liggen’. En dat is nog maar een fractie van wat er gebeurt.
De Autoriteit Persoonsgegevens meldde dat in 2020 het aantal meldingen van hacks gericht op het buitmaken van persoonsgegevens met maar liefst 30% was gestegen ten opzichte van het jaar ervoor. Er kwamen in het totaal 1.173 meldingen van datalekken binnen die draaiden om hacking, malware of phishing gericht op persoonsgegevens.
Kijkend naar een rapport uit een gemiddelde dag bij ons internationale Security Center van Deutsche Telekom in Bonn, zien we dat er ongeveer 42 miljoen aanvallen per dag worden uitgevoerd op ons Honeypot-netwerk. Het gaat daarbij om 620 fysieke Honeypot-sensoren. Samen simuleren die een virtueel netwerk. We zien 2,5 miljard security gerelateerde attacks. Afkomstig van 3.300 gegevensbronnen, 20 miljoen schadelijke codes in onze malwarebibliotheek en tot 60 miljoen aanvallen op de infrastructuur. Als je die cijfers ziet mag het een wonder heten dat er niet veel meer databreaches zijn.
De uitdaging van deze tijd
Met de toenemende digitalisering en daarmee ook de toenemende groei van cyber-criminaliteit is het ontzettend belangrijk dat ‘onze’ gegevens beter beschermd wordt. Zondermeer is dat de prijs die we voor al die mooie technologische vernieuwing moeten betalen en daarmee is databeveiliging misschien wel dé uitdaging van deze eeuw. Zeker als we hier de uitdaging voor het bedrijfsleven bij optellen om hun intellectuele eigendommen te beperken en niet overgeleverd te zijn aan autoriteiten in de US, China of Rusland.
Uiteraard kunnen we, als het gaat om de beveiliging van onze persoonsgegevens, de vinger wijzen naar de clouddiensten van de hyperscalers. Maar beter is het heft in eigen hand te nemen. En de alternatieven te onderzoeken. Vorig jaar berichtte ik reeds over GAIA X. Hiermee ontwikkelt Europa zijn eigen concurrerende, veilige en betrouwbare data-infrastructuur voor de Europese Unie. Totdat GAIA X is (uit)ontwikkeld, is de behoefte aan het opslaan van data in Europa – en dus niet op Amerikaanse of andere servers buiten de Europese grenzen – groeiende.
Een van de alternatieven hiervoor is onze snelgroeiende Open Telekom Cloud: een puur Europees alternatief en gebaseerd op open source standaarden. Vanzelfsprekend zal het voor de gemiddelde organisatie gaan om samengestelde, hybride oplossingen. Klanten die hoge(re) eisen stellen aan compliance en ten alle tijden willen voldoen aan de Europese richtlijnen en wetgeving, of hun gegevens liever opslaan in een Europese cloud, hebben dus zeker voldoende alternatieven.
Crisis pusht innovatie
Op de Hannover Messe die plaats vond van 12-16 april hebben verschillende collega’s met diverse cases laten zien hoe organisaties naar goedwerkende hybride vormen kunnen toewerken. Hierbij kwamen verschillende combinaties van cloudoplossingen, met de daarbij horende data-protectie en security oplossingen aan bod. Zeker nu steeds meer organisaties overgaan naar verdere automatisering en digitalisering en industrie 4.0 een vlucht neemt (ook onder invloed van de corona-crisis), is het cruciaal dat ieders security op orde is. en
Het gaat dus nadrukkelijk niet om de keuze tussen het één of het ander. Maar om de juiste combinatie. Een combinatie die recht doet aan het optimaal beschermen van alle betreffende persoonsdata. En die maximale security biedt. Tijdens de Hannover Messe, lanceerden we daarom samen met AWS een snel 5G Campus Netwerk en edge cloud. Dit naast digitale oplossingen voor de industrie. Dat is vooral interessant voor bedrijven van wie de data door lokale of dataprivacybeperkingen op locatie moeten blijven. Dat scheelt niet alleen in datacongestie en latency, maar belangrijker misschien nog wel: een bedrijf voldoet daarmee aan de AVG-verordening rondom datasoeverniteit. Alle data blijft immers daar waar ze is ontstaan. Ook dat gaat helpen om de Europese verordening na te leven.
Zelf checken hoe je ervoor staat?
Wat ons betreft is er dus veel wat organisaties kunnen doen om de naleving van de AVG te borgen. En te kijken hoe om te gaan met alle beveiligingsvraagstukken. Dit is dus zeker niet alleen een vraagstuk voor de leveranciers. Of van hyperscalers. Maar een keuze die iedere organisatie zelf heeft. Vragen of de huidige IT-infrastructuur voldoet aan de wettelijke, interne en compliance richtlijnen een zelfcheck kan dus zeker geen kwaad.
Sake Algra, Managing Director, is sinds december 2017 verantwoordelijk voor de transformatie van T-Systems Nederland.
