Home Cloud Uw privacy in de cloud

Uw privacy in de cloud

20
cloud

2017 is een keerpunt jaar geweest als het aankomt op cloud-oplossingen en dit jaar zullen er nog meer clouddiensten worden afgenomen. Maar wanneer of hoe beslis je of je al dan niet naar de Public Cloud gaat? En wat is nu die GDPR waar iedereen over spreekt? En wat voor impact heeft dit op uw bedrijf?

Is er een evolutie in cloud-toepassingen?

Sinds 2017 is er een gestage groei qua cloud adoptie in België (zie ook onze Cloud Barometer) waarbij inmiddels een op de vijf applicaties rechtstreeks in de cloud draaien. In 2017 zagen we dat bijna elke KMO of MKB zich steeds meer in cloud oplossingen verdiept, of zich laat begeleiden door hun IT-huisleverancier met als opdracht het maximale van de voordelen van cloud oplossingen te benutten. Vaak krijgen we de vraag om daarin te adviseren, aangezien de cloud nog niet voor iedereen even duidelijk is.

Maar wat is dat, Public Cloud?

Velen beseffen het zelf niet, maar de meeste KMO’s of MKB’s zitten al lang in de Public Cloud. Bijna elke werknemer heeft ondertussen wel een eigen privé e-mail of Dropbox account dat hij/zij ook gebruikt op sociale media zoals Facebook, WhatsApp of LinkedIn. Dit bewijst vooral dat het gebruik van toepassingen uit de cloud allang zijn ingeburgerd en dat de meeste ervan afkomstig zijn van Public Cloud providers uit de Verenigde Staten.

Als antwoord op dit fenomeen heb ik ooit ergens in de wandelgangen van een fabrikant het volgende gezegde opgevangen: “Amerika vindt het uit (lees Amazon), China kopieert het (lees Alibaba) en Europa regulariseert het (lees GDPR)”.

Zeer toepasselijk als je ziet dat de grootste Public Cloud providers allemaal uit Amerika komen (Big 5) en al een decennia lang hun diensten aanbieden. Nu gaat Europa hier dus een stokje voor steken onder de noemer GDPR (General Data Protection Regulation). Je kunt geen ICT-website of vakblad openslaan of je leest wel ergens iets over deze nieuwe regelgeving en vaak met de wijzende vinger of zelfs doemdenkers scenario’s. Want als je niet conform deze regelgeving bent, zijn de boetes niet mals!

Wat houdt GDPR in?

De General Data Protection Regulation (GDPR) houdt de gemoederen nog immer behoorlijk bezig. Dit door de EU vastgesteld reglement moet gaan toezien op hoe er met de persoonlijke data van de Europese burger wordt omgesprongen. Voor België zal er officieel moeten worden voldaan aan de eisen van GDPR vanaf 25 mei 2018, dus als je dit nog niet hebt gedaan dan is het de hoogste tijd geworden om orde op zaken te stellen voordat je een Cloud Provider kan selecteren.

Voor GDPR komt er in het kort op neer dat:

1) Alle bedrijven transparant moeten zijn over hoe data worden verzameld en verwerkt en burgers expliciet toestemming moeten geven

2) Dat burgers zonder gedoe gegevens van de ene naar de andere dienstverlener over moeten kunnen zetten en geen data hoeven te delen die niet relevant zijn

3) Het recht hebben om vergeten te worden en hun data kunnen opvragen 

4) Dat bedrijven een meldplicht voor datalekken opgelegd krijgen.

Op wie is de wetgeving van toepassing?

Als KMO of MKB moet je kunnen aantonen dat je aan de hierboven vermeldde verplichtingen voldoet. Blijf je in gebreke op een van de onderdelen van GDPR, dan kan er een boete opgelegd worden van enkele miljoenen of maximaal vier procent van de wereldwijde omzet als bedrijf. Vooral als het gaat om Clouddiensten, is de GDPR een heet hangijzer, omdat de data van het bedrijf en de gebruikers dan continu ‘buiten het bereik’ opgeslagen worden.

Het nieuwe kader legt niet enkel verplichtingen op aan de verantwoordelijke voor de verwerking, maar ook aan partijen die verder in de keten de persoonsgegevens verwerken voor data-analytics, opslag, facturatie, … Dit laatste is toch een belangrijke nieuwigheid voor ICT-dienstverleners en meer specifiek voor de aanbieders van clouddiensten. Deze privacy verordening voorziet dat men contracten zal moeten aanpassen en data protection policies zal moeten opzetten, conform de vereisten van de verordening.

Alle bedrijven zullen immers moeten kunnen aantonen dat zij op een verantwoorde manier omgaan met persoonsgegevens van medewerkers, klanten of toeleveranciers. Hierdoor zijn er uitdagingen op verschillende niveaus. Veel bedrijven hebben – laten we eerlijk zijn – nooit stilgestaan bij gegevensbeveiliging. Technologie kan veel, maar applicaties en processen zullen herbekeken moeten worden in het licht van deze nieuwe regelgeving.

Hoe kunnen bedrijven zich voorbereiden?

Ik zal een 6-tal tips meegeven die u zullen helpen om als bedrijf de nieuwe regelgeving rondom Privacy en veiligheid conform toe te kunnen passen:

  1. Ken de locatie waar applicaties gegevens verwerken of opslaan.

Je kan dit bereiken door alle Cloud-apps die de organisatie gebruikt in kaart te brengen en te vragen waar ze de gegevens hosten. Hint: het hoofdkantoor van de cloud leverancier is zelden de plaats waar de gegevens worden opgeslagen. Uw gegevens kunnen ook worden verplaatst tussen de datacenters onderling waar de applicatie gehost zal worden.

  1. Neem voldoende beveiligingsmaatregelen om persoonlijke gegevens te beschermen tegen verlies, wijziging of onbevoegde verwerking.

U moet weten welke applicaties voldoen aan uw beveiligingsnormen. Als applicaties niet voldoen aan die normen, dan zal je maatregelen moeten nemen en extra controles moeten uitvoeren.

  1. Sluit een gegevens-verwerkingsovereenkomst met de Cloud Provider.

Zodra u alle applicaties in de organisatie hebt geïnventariseerd, kunt u in samenspraak met de Cloud Provider een overeenkomst tekenen om ervoor te zorgen dat zij voldoen aan de gegevens-beschermingsvereisten die in de GDPR zijn vermeld.

  1. Verzamel alleen “benodigde” gegevens en beperk de verwerking van “speciale” gegevens.

Geef in het gegevensverwerkingsovereenkomst (en verifieer dit in de Data Policy) aan dat alleen de persoonlijke gegevens die nodig zijn om de functie van de applicatie uit te voeren, door deze app zullen worden verzameld over uw gebruikers of organisatie. Zorg dat er beperkingen zijn op het verzamelen van “speciale” data zoals ras, etniciteit, politieke overtuiging, religie enzovoort.

  1. Laat geen cloud-applicaties toe die persoonlijke gegevens gebruiken voor andere doeleinden.

Zorg ervoor dat u via de gegevensverwerkingsovereenkomst en in de applicatie zorgvuldig controleert dat de apps duidelijk vermelden dat u als klant de eigenaar bent van de gegevens en dat de Cloud Provider de gegevens niet zal delen met derden.

  1. Zorg ervoor dat u de gegevens kan wissen wanneer u de applicatie niet meer gebruikt.

Zorg ervoor dat de voorwaarden duidelijk zijn dat u uw gegevens direct kunt downloaden en dat de app de gegevens zal wissen zodra u de clouddiensten hebt beëindigd. Indien mogelijk, kijk dan ook na hoe lang ervoor nodig is voor de Cloud Provider om dit te doen. Beter onmiddellijk (in minder dan een week), omdat het langdurig bewaren van de gegevens een hoger risico op blootstelling zal hebben.

Nog een laatste tip

Als u een aantal van deze stappen hierboven uitvoert, zorg er dan ook voor dat u ten alle tijden actie kunt ondernemen wanneer gebruikers lokaal of op afstand zijn, op een laptop of mobiel apparaat of op hun eigen device. Afhankelijk van de cloud-service die u kiest, liggen bepaalde verantwoordelijkheden binnen de eigen organisatie (als data-controller) of bij de cloud-provider (als data-processor). Maar als gevolg van de GDPR, bent u als enige de eindverantwoordelijke voor de data. Dus houd hier rekening mee.

Peter Witsenburg – Cloud Makelaar

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here