Tips om te voldoen aan de wet met uw cloudsystemen
29 februari 2016 -
De Safe Harbor-overeenkomst voor de uitwisseling van data tussen de EU en de VS is vervangen door Privacy Shield. De nieuwe overeenkomst leidt tot veel verwarring bij bedrijven die gebruik maken van cloudapplicaties en –diensten.
Europese en Amerikaanse wetgevers zijn overeengekomen om Safe Harbor te vervangen met het Privacy Shield. Hierdoor blijft de gegevensuitwisselingen aan beide zijden van de Atlantische Oceaan op gang en voldoen ze ook aan de wet. Er rijzen echter meteen al vragen over de nieuwe overeenkomst. Het taalgebruik van het Privacy Shield is op zijn minst wollig te noemen en men vreest dat de overeenkomst veel te breed van opzet is. De herziening van Safe Harbor leidt tot veel verwarring bij ondernemers. Zij weten niet goed hoe ze met de nieuwe wet- en regelgeving om moeten gaan, zonder het risico te lopen dat zij deze niet naleven.
Gevoelige gegevens
Naarmate het gebruik van cloudapplicaties en –diensten steeds meer gemeengoed wordt, is het onvermijdelijk dat steeds meer gevoelige en gereguleerde bedrijfsgegevens bij cloudproviders terecht komen. De meeste IT security professionals zijn van mening dat zij onvoldoende inzicht hebben in waar alle gevoelige bedrijfsgegevens zich precies bevinden. Zij zoeken daarom naar een oplossing die hen helpt om hun organisatie door dit veranderende landschap te loodsen.
Landsgrenzen
Gerry Grealish van Blue Coat: "Cloudtechnologie is een uitstekende oplossing, zo lang de gereguleerde gegevens maar binnen de landsgrenzen van specifieke Europese naties blijven. Als dit niet gewaarborgd kan worden, is het verstandig om de gereguleerde gegevens uit de gegevensstroom te filteren zodat ze uit de cloud blijven, of in elk geval aantoonbaar binnen de grenzen van het land blijven. Als dat niet mogelijk is, moet alles worden ondernomen om gereguleerde gegevens te beschermen, bijvoorbeeld door het gebruik van 'non-reversible tokenization'. Wetten kunnen op elk moment gewijzigd worden, maar dat hoeft bedrijven die werkelijk de controle hebben over hun gegevens, zelfs wanneer zij gebruik maken van de cloud, niet af te schrikken."
Pan van aanpak: hoe voldoe ik aan de wet als ik cloudsystemen gebruik?
1. Kom erachter welke gegevens er precies worden verstuurd
Zorg voor inzicht in de gegevensstromen om duidelijk te krijgen welke gegevens er precies verplaatst worden buiten uw netwerk en waar zij terecht komen. Achterhaal of er binnen uw organisatie sprake is van een ‘schaduwcloud’ of van ‘schaduw-IT’. Dit is het geval als uw medewerkers eigen cloudapplicaties of -diensten gebruiken, of eigen hardware, om bedrijfsgegevens bij een cloudprovider op te slaan zonder dat u het weet. Breng de goedgekeurde cloudomgevingen in kaart zodat u weet waar de datacentra staan en welke voldoen aan wet- en regelgeving.
2. Zet gegevens achter tokens
De beste manier om de integriteit van uw gegevens in de cloud te waarborgen is het proces om gevoelige gegevens te vervangen door surrogaatwaarden, ook wel ‘tokens’ genoemd, voordat deze gegevens naar de cloudprovider verstuurd worden. Tokens verwijderen de wiskundige relatie tussen de originele gegevens en de gevoelige gegevens. Deze zijn dus onleesbaar zonder de juiste sleutel.
3. Gebruik Europese datacenters
Maak zoveel mogelijk gebruik van de Europese datacenters van cloud service providers. Vergeet daarbij niet dat deze cloudproviders vaak het recht hebben om gegevens tussen hun datacenters te verplaatsen. Zo kan uw primaire dataopslag weliswaar in een Europees datacentrum staan, maar uw back-up in andere landen of regio’s. Het is ook mogelijk dat hun medewerkers die geen EU-burgers zijn toegang hebben tot uw gegevens, bijvoorbeeld voor beheer of onderhoud van de systemen. Dit kan tot veel kopzorgen leiden over naleving van de wet.
4. Lees het contract
Het zal niet alles uitsluiten, maar lees de voorwaarden voor privacybescherming die cloudproviders toevoegen aan uw contract. Sommige Europese privacywaakhonden hebben al bepaald dat deze voorwaarden de lading niet dekken omdat ze dezelfde tekortkomingen hebben als Safe Harbor en Privacy Shield, maar het kan nooit kwaad om eens goed naar het contract te kijken.
