Zorgeloos samenwerken in netwerktijden

Bedrijfsdata opslaan: hoe veilig is de cloud?

Samenwerken in netwerktijden vraagt om het delen van documenten en data. De cloud is de aangewezen manier om dat te doen, maar hoe veilig is het opslaan van je data in de cloud?

Beveiliging en vertrouwelijke data Als het gaat om vertrouwelijkheid zijn er 2 zaken die goed in het achterhoofd moeten worden gehouden, stelt Erik Remmelzwaal, oprichter van IT-security specialist DearBytes, tegenwoordig onderdeel van KPN. ‘Veel cloudleveranciers hebben hun beveiliging goed op orde, beter dan de gemiddelde organisatie zelf kan regelen. Tegelijkertijd is de wet- en regelgeving op dit gebied nog in ontwikkeling.’ Voordat een organisatie (persoons)gegevens in de cloud plaatst, is het verstandig om de data te classificeren. ‘Het kan verstandig zijn om vertrouwelijke en privacygevoelige informatie nog niet in een publieke cloud te plaatsen, totdat je zeker weet dat de cloudleverancier op de juiste manier omgaat met de vereisten uit wet- en regelgeving.’ Hij doelt op de nieuwe Europese wetgeving (General Data Protection Regulation, red.) die in mei volgend jaar van kracht wordt. Datalek is grootste risico Die wetgeving schrijft voor dat je als organisatie moet kunnen aantonen dat je alles in het werk hebt gesteld om privacygevoelige informatie op een voor jouw bedrijf acceptabele manier te beschermen. Patrick de Goede van Eijk, cyber security architect bij T-Systems: ‘Het grootste risico dat je als organisatie loopt – en dat geldt niet alleen voor de cloud – is dat er data gelekt wordt. Als data geld waard is, op welke manier dan ook, dan kun je ervan uitgaan dat een bedrijf dat veilig had moeten stellen.’ Als een organisatie toch gebruik wil maken van de cloud, breng dan eerst de wensen en eisen van het bedrijf in kaart. Al deze factoren wegen mee in de keuze voor een private of publieke cloud. Beide cloudsoorten kennen het risico op datalekken en daarom zul je moeten oppassen: bij private clouds komt het veel voor dat het beheer en de aanpassingen door minder deskundige personen wordt gedaan, met alle risico’s van dien. Bij een publieke cloud houdt een team van specialisten de risico’s in de gaten en kan sneller ingrijpen. De keuze tussen private cloud of publieke cloud hangt van veel factoren af, weeg die allemaal mee! Versleuteling op bestandsniveau Het gebruik van de cloud brengt altijd risico’s met zich mee, stelt Remmelzwaal. ‘Zeker als je met externe partijen in de cloud samenwerkt. De vraag is hoe zeker je ervan bent dat degene die het gedeelde bestand of document opent, ook degene is die je dacht dat het zou zijn. Dat heeft alles te maken met toegangsrechten. Stel dat je een anonieme link naar een document stuurt naar iemand en diegene stuurt de link weer door, dan heb je daar geen zicht meer op. Het slimste is dan ook om zaken die echt vertrouwelijk zijn, in ieder geval als persoonlijke link te sturen, en indien nodig op bestandsniveau te versleutelen.’ Het is bij leveranciers van publieke clouds zelfs mogelijk om links niet buiten je organisatie te delen of te voorzien van extra beveiliging met een wachtwoord. Zaken die privacygevoelig zijn, moeten sowieso versleuteld worden, vindt De Goede van Eijk. ‘Zorg in die gevallen ervoor dat de encryptiesoftware door jou zelf wordt gekozen en dat jij de enige bent met de sleutel.’ Europese wet- en regelgeving Ook in Nederland hebben we wet- en regelgeving op dit gebied. Die stelt bijvoorbeeld dat sommige privacygevoelige gegevens – zoals medische gegevens – niet buiten de Nederlandse handelsgrenzen mogen worden opgeslagen. Andere gegevens hoeven niet per se in een Nederlandse cloud te staan. Toch adviseert De Goede van Eijk om niet te ver over de grens te kijken. ‘Kies bij voorkeur een Europese cloudprovider als je bedrijf in Europa is gevestigd en daar ook zijn hoofdkantoor heeft. Dan voldoet de provider in ieder geval aan de minimale eisen van de Europese wet op de Bescherming van Persoonsgegevens.’ Data portabiliteit Maar wat nu als de samenwerking met externe partijen stopt en de clouddienst niet langer nodig is? Of als een organisatie van leverancier wil veranderen? Hoe eenvoudig is het om als bedrijf je eigen data uit de cloud te halen of te verhuizen? Remmelzwaal: ‘Technisch gezien is het niet zo moeilijk om data van de ene opslag naar de andere te zetten.’ Deze ‘data portabiliteit’ is iets dat straks in de Europese wetgeving geregeld moet worden, want op dit moment is dat nog niet zo eenvoudig. Veel data wordt in publieke clouddiensten gesynchroniseerd, dus er is vaak wel een lokale kopie aanwezig in het bedrijf, maar als er gebruik wordt gemaakt van een cloud applicatie, kan het zijn dat data veel lastiger te verhuizen zijn. Soms kan het helemaal niet en soms krijg je exportbestanden waar je vervolgens weinig mee kunt, of het is heel complex of duur om data terug te halen. ‘Daarom is het goed dat die data portabiliteit goed geregeld wordt en dat je hier op voorhand afspraken over maakt met je cloudleverancier. Het is ook nog zo dat als je data weghaalt, je er vanuit moet kunnen gaan dat het ook daadwerkelijk verwijderd wordt bij de oude leverancier. Dat is het recht om vergeten te worden.’ Wat mag wel en wat niet gedeeld worden? De security-specialisten geven Nederlandse organisaties die willen samenwerken in de cloud nog een advies mee. ‘Denk goed na over data classificatie. Welke data is gevoelig en welke data is minder gevoelig? Door data te classificeren kun je bepalen welke data mag worden gedeeld in de cloud en welke data echt vertrouwelijk is’, stelt Remmelzwaal. De Goede van Eijk sluit af met een eenvoudige stelregel: ‘Als informatie naar een persoon te herleiden is, denk dan goed na waar je het neerzet, en check altijd de beveiligingsopties van de cloudprovider die je kiest. Zo simpel is het.’