De cloud en de wet
Als je organisatie moet voldoen aan privacyvoorschriften van bijvoorbeeld de Europese Unie, of je moet voldoen aan de eisen van bijvoorbeeld ISO 27001, dan wil je wel zeker weten dat de cloud waar je gegevens zich bevinden, ook aan deze eisen voldoet.
TechRepublic-blogger Tajudeen Abubakr geeft een gedetailleerde lijst van items die je een provider kunt voorleggen, voordat je met hem in zee gaat en je data in een publieke cloud stalt.
Eigendom
Wie is bijvoorbeeld de eigenaar van de data in de cloud van de provider? Is het digitale intellectuele eigendom beschermd, waar de data dan ook worden opgeslagen, verwerkt en verstuurd op het netwerk van de clouddienstverlener? En moet de dienstverlener de data vrijgeven aan een nationale overheid als die daarom vraagt? Hoe wil je op de hoogte worden gebracht als dit aan de orde is?
Wat is de minimale databeveiliging die je verwacht van een clouddienst? Heeft je organisatie misschien een ISO- of ander certificaat met eisen aan beveiliging?
Hoe moeilijk of gemakkelijk is het om gegevens voor een gerechtelijk onderzoek te kunnen presenteren? Heeft de clouddienstverlener de capaciteit om hieraan in voldoende mate mee te werken?
Is er een duidelijke exit-strategie? Hoe moeilijk of gemakkelijk is het om over te stappen van de ene naar de andere clouddienstverlener?
Modelcontract EU
De Europese Raad heeft een modelcontract opgesteld dat als voorbeeld kan dienen voor clausules over informatiebeveiliging in de cloud. Hierin wordt onder meer bepaald wat er met de beveiliging van persoonlijke gegevens gebeurt als ze naar buiten de Europese Economische Ruimte worden verplaatst.
