HomeNieuwsCloud computing: wat u moet weten over privacy

Cloud computing: wat u moet weten over privacy

Cloud computing: wat u moet weten over privacy

‘Cloudwatervrees’; zo noemen sommige ICT-blogs de angst van organisaties om hun bedrijfsdata of toepassingen naar de cloud te migreren. Een recent rapport van SURF zal deze vrees alleen maar groter maken. Zijn de gegevens van uw klanten wel veilig bij Amerikaanse aanbieders?

Onlangs luidde SURF de noodklok over cloudtoepassingen van buiten Europa. Door de populariteit van deze diensten ontstaan nieuwe dreigingen voor de beschikbaarheid en vertrouwelijkheid van gegevens, zo concludeerde het ICT-samenwerkingsverband van onder meer het hoger onderwijs. Dat hangt samen met afwijkende wetgeving en spanningen op het wereldtoneel.

Wat is er precies aan de hand?

SURF trad niet in details, maar kenners weten dat onder meer wordt verwezen naar de Amerikaanse Patriot Act. Deze antiterrorismewet, die na de aanslagen op 11 september 2001 werd aangenomen, verplicht Amerikaanse organisaties en bedrijven om de overheid toegang te verlenen op infrastructuur, zoals servers en netwerken. Er is veel kritiek op deze wet, die de burgerrechten en de privacy van onschuldigen zou aantasten.

De Patriot Act kan een reden zijn om niet met Amerikaanse cloudleveranciers in zee te gaan. Deze wetgeving staat namelijk op gespannen voet met Europese wetgeving. Volgens de Algemene verordening gegevensbescherming (AVG) bent u de eindverantwoordelijke voor de privacy van personen over wie u data opslaat, ook wanneer deze gegevens in de cloud van een leverancier buiten Europa staan.

Toch mogen complicaties als de Patriot Act geen reden zijn om ‘cloudwatervrees’ te ontwikkelen. De locatie van de datacentra is zeker een punt van aandacht, maar voor de rest heeft het uitbesteden van data en/of toepassingen vaak een positieve uitwerking op de security. Een goede ICT-partner is namelijk gespecialiseerd in veiligheid en kan u hierin ontzorgen.

Hoe vindt u de juiste cloudleverancier? Let bij de eerste selectie van kandidaten op de volgende zaken:

  • Welke partijen hebben certificeringen die voor u relevant – en mogelijk zelfs vereist - zijn? Denk daarbij aan de standaard voor informatiebeveiliging ISO 27001.
  • Zijn ze financieel gezond? Uiteraard wilt u uw data onderbrengen bij een partij die kan investeren in de juiste voorzieningen.
  • Wat vertellen uw ‘concullega’s’ over deze partijen? Een betrouwbaar bedrijf heeft vaak referenties op de website staan. Het is wel zaak deze klantverhalen te checken door zelf met deze bedrijven in contact te treden.

Drie vormen van de cloud

Vergeet ook niet dat u niet meteen ál uw data en toepassingen uit handen hoeft te geven. De cloud kent namelijk drie ‘smaken‘:

  • Private cloud: u maakt gebruik van uw eigen clouddiensten. Deze private cloud bevindt zich binnen uw organisatie en moet zich achter een firewall bevinden, zodat alleen uw organisatie toegang tot deze cloud heeft en deze kan beheren.
  • Public cloud: de cloudservices zijn openbaar en kunnen door iedereen worden gebruikt. Een voorbeeld van een public cloud is Microsoft Azure.
  • Hybrid cloud: de cloudservices kunnen ook worden verdeeld over public en private clouds, waarbij gevoelige applicaties binnen het netwerk van uw organisatie worden bewaard (door een private cloud te gebruiken), terwijl andere services buiten het netwerk van de organisatie worden gehost (door een publieke cloud te gebruiken).

Partijen die hun data in eigen hand willen houden, kunnen het best kiezen voor de private cloud of eventueel de hybrid cloud.

De aanpak van Missing Piece

Bij Missing Piece begrijpen we hoe belangrijk uw data voor u is. Daarom bewaken we de veiligheid van dit bedrijfskapitaal door een verscheidenheid aan geïmplementeerde securitymaatregelen. Monitoring en een proactieve benadering in verhouding tot onze digitale weerbaarheid is een essentiële vereiste geworden in onze dienstverlening. Hierbij streven wij ernaar om zo dicht mogelijk aan de hedendaagse veiligheidsstandaarden te voldoen, zowel in onze interne organisatie als in onze externe klantomgevingen.

We voeren onder andere terugkerende penetratietesten uit in onze omgeving vanuit verschillende perspectieven en hebben toegewijde securityposities ingevuld in onze organisatie. Zowel Missing Piece als onze twee datacentra zijn bovendien ISO 27001 gecertificeerd.

Wilt u meer weten over de uitbesteding van uw ICT? We hebben een handige checklist samengesteld om u in uw beslissingsproces te begeleiden. Download de whitepaper ‘20 vragen die u zichzelf moet stellen over ICT-outsourcing’ hier.