Blog

GDPR: adequate beveiliging in de publieke cloud?

[Blog] De General Data Protection Regulation (GDPR) verplicht organisaties om persoonsgegevens adequaat te beveiligen en alleen onderaannemers te selecteren die een gepast veiligheidsniveau kunnen garanderen. Bovendien vereist de GDPR dat verwerkingsverantwoordelijken duidelijke contractuele afspraken maken met hun verwerkers. Wat betekent dit voor de opslag van persoonsgegevens in publieke cloudomgevingen?

 
Het gebruik van gedeelde infrastructuur brengt een aantal inherente risico’s met zich mee op het vlak van beveiliging en privacy-specifieke controlemogelijkheden. Hierdoor zijn publieke cloudoplossingen minder geschikt voor de opslag van gevoelige gegevens die onderhevig zijn aan specifieke wetgevingen.
 
Inzake beveiliging kunnen we onder meer de volgende vijf belangrijke risico’s identificeren voor wie de publieke cloud gebruikt:
 

  1. Beperkte aantoonbare beveiligingscontroles wegens weinig zicht op de onderliggende infrastructuur en de geïmplementeerde beveiligingscontroles.
  2. Beperkt zicht op en controle over de opslag van persoonsgegevens zelf.
  3. Virtuele componenten hebben mogelijk niet hetzelfde niveau van beveiligingscontroles als hun fysieke tegenpolen (bv. toegangscontrole, logboeken, inspectie- en dectectiemethoden).
  4. Onduidelijke afbakening tussen verschillende klantenomgevingen.
  5. Beperkte traceerbaarheid (onder andere om aan te tonen wie toegang heeft gehad tot persoonsgegevens of om datalekken te detecteren).

 
Deze risico’s vergroten naarmate de publieke cloud een hoger niveau van diensten levert. De risico’s zullen dus beperkter zijn voor publieke IaaS-diensten, waarbij enkel de fysieke veiligheid van servers niet in eigen beheer ligt, dan voor Paas en/of SaaS oplossingen waarbij ook de logische beveiliging wordt uitbesteed.

Sluitende contracten

Naast de fysieke en logische privacy compliance risico’s, zijn er ook risico’s gerelateerd aan het afsluiten van sluitende contracten met publieke cloud-providers. Het is immers moeilijk om een Service Level Agreement (SLA) met privacycontroles op maat op te stellen als de omgeving gedeeld wordt door verschillende partijen. Hierdoor bieden de meeste providers vaak ‘take-it-or-leave-it’ contracten. Het is dan aan de data protection officer (DPO) om te analyseren of deze voldoende privacy garanties bieden.
 
Twee belangrijke aandachtspunten voor het contractbeheer vanuit een GDPR compliance standpunt zijn:
 

  1. Auditeerbaarheid: veel publieke cloudomgevingen ondersteunen het recht op auditeren door de klant niet. U dient dus te overleggen hoe aan deze vereiste kan worden voldaan. Certificatie door een onafhankelijke derde partijen kan hier eventueel soelaas bieden.
  2. Locatie van opslag: organisaties weten niet altijd waar hun gegevens fysiek opgeslagen worden en of deze locatie(s) doorheen de tijd kunnen wijzigen. Bovendien kan de cloudprovider wegens redundantie of beschikbaarheidsvereisten de data op meerdere plaatsen opslaan wanneer het hem uitkomt. Er moet duidelijk contractueel vastgelegd worden waar persoonsgegevens bewaard worden (binnen of buiten de EU).

 
Vanuit een GDPR-compliance standpunt is het gebruik van publieke cloud-oplossingen voor het bewaren van persoonsgegevens dus niet optimaal. Maar dat wil niet zeggen dat publieke cloud-oplossingen wegens GDPR-compliance zomaar kunnen worden afgeschreven. De GDPR vermeldt immers niet wat een adequaat niveau van bescherming is. Afhankelijk van het type clouddiensten en de gebruikte persoonlijk identificeerbare gegevens kan de organisatie zelf voldoende risico-gebaseerde controlemaatregelen implementeren. Zo kunnen persoonsgegevens in het geval van IaaS versleuteld opgeslagen worden, waardoor ze bij data-diefstal nog steeds beschermd zijn op voorwaarde dat alleen de organisatie beschikt over de sleutel.
 
Alternatief kan de publieke cloudprovider zwart op wit (contractueel) en objectief aantonen dat de persoonsgegevens op de publieke cloud voldoende zijn afgeschermd van de cloudomgevingen van de andere gebruikers. Publieke cloudproviders kunnen hier gebruikmaken van de signalisatiefunctie van bepaalde internationale standaarden (o.a. ISO27001, ISO27018, enz.) of externe GDPR-audits.

Overheadkosten

Desalniettemin dient een DPO de risico’s zoveel mogelijk te beperken en is het dus aangeraden om voor de veiligere en meer controleerbare private cloud-oplossing te kiezen. Als een bedrijf toch overweegt om gebruik te maken van een publieke cloud, dient eerst een diepgaande Privacy Impact Assessment (PIA) plaats te vinden in samenwerking met de cloudprovider. Zo krijg je als klant een duidelijk beeld van de werkelijke risico’s en eventuele controlemaatregelen waardoor je een geïnformeerde ‘risk & cost based’ beslissing kan nemen. Al zal die wellicht uitwijzen dat de overheadkosten voor compliance het economisch voordeel van de publieke cloud overstijgen.
 
 
Siebe De Roovere is senior consultant bij Toreon
 
Checklist voor de GDPR: maak je bedrijf compliant in 13 stappen

beveiligingbusinessclouddatadata privacygdpriaaspaassaaswetgeving

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600