Data in de “cloud”: the do’s and don’ts

Steeds meer data wordt opgeslagen in de “cloud”. We stellen ons vertrouwen op externe partijen die hun macht zien toenemen. De mate van controle van externe partijen op onze data neemt toe. Welke overwegingen zijn relevant en zijn er tips en tricks die helpen de juiste keuze te maken?

Posted on October 30, 2018 in Blog.

Wat is “de Cloud”?

De term “cloud” horen we vaak. Waar hebben we het dan precies over? Wij zien het vaak zo: de cloud is een verzameling computers die met elkaar zijn verbonden. Deze computers zijn vaak verbonden met het Internet.

Dit hoeft niet zo te zijn. In essentie staan de computers op een externe locatie. Een externe partij kan deze computers en de hierop opgeslagen data en beschikbare applicaties beheren.

Vertrouwen en macht

Bij uitbesteding naar de cloud moeten we dus vertrouwen op externe partijen. Denk aan de Google’s, Facebook’s en Amazon’s van deze wereld. Deze partijen beschikken over grote hoeveelheden data en daarmee macht (een grote mate van controle).

Data die gevoelig kan zijn van aard. De security en privacy van deze data is van belang en wet- en regelgeving verplicht ons hierover na te denken. Met onze definitie van cloud in het achterhoofd zijn onze gegevens niet binnen handbereik, maar op een externe locatie. In essentie is onze data opgeslagen op een computer van iemand anders.

Privacy risico’s

Zou jij je gegevens opslaan op de computer van je buurman of juist onbekenden? Ik misschien. Dit hangt af van de gevoeligheid van de data en van de voordelen die de dienst biedt. Derde partijen hebben hier baat bij: adverteerders willen hun doelgroep aanspreken. Mogelijk wordt deze data verkocht.

Tips en tricks

Wat kunnen we zelf doen?

  1. Bepaal of je (gevoelige) data bij een externe partij wilt onderbrengen.
    • Kies je ervoor (gevoelige) data bij een externe partij onder te brengen. Realiseer je dat je in essentie je data opslaat op een computer van iemand anders.
  2. Bepaal welke data je wel of niet openbaart. Overigens is deze vraag essentieel in het kader van (dataminimalisatie vanuit) de AVG (Algemene Verordening Gegevensbescherming).
    • Veel data hoeft niet geopenbaard te worden. Toch gebeurt dit in de praktijk. Zo hoeft een slijterij niet mijn (precieze) geboortedatum te weten. Het aantonen dat ik boven een bepaalde leeftijd ben is voldoende.
  3. Verkrijg aanvullende zekerheid over de beheersing van de externe partij.
    • ISAE-verklaringen, (ISO-)certificeringen, pentests en security assessments kunnen effectieve middelen zijn om meer zekerheid te verkrijgen over de mate waarin een externe partij haar interne processen beheerst. Wees kritisch op de scope van deze middelen. Dat beïnvloedt de zekerheid die je aan de betreffende diensten kunt ontlenen.
    • De Cloud Security Alliance Cloud Controls Matrix (CCM) kan een geschikt normenkader zijn voor dergelijke (assurance-)verklaringen en certificeringen. De CCM wordt beschouwd als dé de-facto standaard voor security en compliance in de cloud. Dit normenkader kan als instrument dienen om de security risico’s van externe (cloud)dienstverleners te meten.

Qbit helpt

Qbit Cyber Security kan je helpen met het identificeren, classificeren, prioriteren en mitigeren van de (privacy- en informatiebeveiligings)risico’s die ontstaan door het gebruik van clouddiensten. Ben je benieuwd welke rol wij kunnen spelen in het verhogen van de volwassenheid van informatiebeveiliging binnen je organisatie? Neem vrijblijvend contact met ons op.

Ik ontvang graag meer informatie

Jorrit de Boer

By Jorrit de Boer

Advisory & Assurance

Any questions about this post or our services? Just mail me or call me on +31 85 8 222 800.

Contact us