Terug naar overzicht
Blog

Cloud security onder de loep en best practices

De migratie naar de cloud is voor veel organisaties een strategische keuze. Maar ook deze keuze kan directe gevolgen hebben. Zeker binnen sectoren zoals zorginstellingen en woningcorporaties is de ruimte voor risico’s klein. Het is dan ook belangrijk om te kijken of de gekozen omgeving juridisch, technisch en operationeel volwassen genoeg is om gevoelige data te beschermen. Cloud security gaat net een stuk verder dan firewalls, encryptie en redundantie. We kijken naar de belangrijkste pijlers van cloudbeveiliging en wat je moet meenemen in je besluitvorming. Lees verder.
Door:
Sebastian Beijersbergen, Presales consultant
Meer over Cloud

ISO 27001 en NEN 7510 als fundament

Veel organisaties gaan ervan uit dat een datacenter of cloud ‘veilig’ is zolang er moderne technologie wordt gebruikt. In de praktijk vormt techniek slechts een fractie van het totale beveiligingsniveau. Governance en procesvolwassenheid bepalen of beveiliging structureel geborgd is. ISO 27001 is wereldwijd de belangrijkste norm voor informatiebeveiliging en richt zich op het opzetten en onderhouden van een Information Security Management System. Het gaat hier niet alleen om firewalls, maar om risicoanalyse, toegangsbeheer, incidentafhandeling en continu verbeteren.

Voor zorginstellingen komt daar een extra laag bij: NEN 7510. Deze norm is gebaseerd op ISO 27002 en bevat aanvullende eisen specifiek voor medische en privacygevoelige gegevens. Denk aan strengere logging, beschikbaarheidseisen voor systemen zoals EPD’s en traceerbaarheid rondom toegang. NEN 7510 is dan ook beter toepasbaar op patiëntveiligheid dan ISO 27001 en is alles behalve optioneel in de zorgsector. Ben je een organisatie die kiest voor een cloudplatform zonder aantoonbare certificering? Dan neem je niet alleen cyberrisico’s, maar ook juridische risico’s die kunnen doorwerken in toezicht, ketenafspraken en zelfs primaire processen.

Waarom de locatie van data ertoe doet

Hoewel de term ‘cloud’ abstract klinkt, bestaat data altijd uit fysieke bits die ergens op een server staan. Voor veel organisaties met een maatschappelijke verantwoordelijkheid bepaalt de geografische locatie welke wetgeving van toepassing is en wie toegang kan opeisen. Veel IT-managers realiseren zich dat gegevens binnen Europa onder de AVG vallen, maar minder bekend is dat buitenlandse wetgeving extraterritoriaal kan werken. Amerikaanse cloud providers kunnen bijvoorbeeld onder de CLOUD Act verplicht worden om data beschikbaar te stellen aan Amerikaanse autoriteiten, zelfs wanneer die data fysiek in Nederland staat.

Een zorgorganisatie kan bijvoorbeeld niet volstaan met de constatering dat data ‘in Europa’ staat. Er moet inzicht zijn in waar data vandaan wordt gehaald, wie er toegang heeft, welke subverwerkers betrokken zijn en of data de landsgrenzen kan verlaten in back-ups of andere scenario’s. Daar komt een operationele component bij. Een twin-datacenter binnen één land elimineert die afhankelijkheid en maakt het mogelijk om hoge uptime-percentages te combineren met voorspelbare performance en wetgevingszekerheid.

Het vervallen van het EU-VS Privacy Shield

Toen het Hof van Justitie van de Europese Unie in 2020 het EU-VS Privacy Shield ongeldig verklaarde, werd duidelijk dat persoonsgegevens niet zomaar naar de Verenigde Staten mogen worden doorgegeven. De belangrijkste reden was dat Amerikaanse wetgeving onvoldoende bescherming biedt voor Europese burgers en dat zij geen juridische mogelijkheden hebben om zich te verzetten. Voor bepaalde sectoren betekent dit dat het gebruik van Amerikaanse cloudplatformen juridisch complex is geworden. Alleen encryptie is niet voldoende wanneer de provider toegang kan afdwingen of wanneer encryptiesleutels niet volledig binnen Europese jurisdictie worden beheerd.

In de praktijk heeft dit voor IT-managers drie gevolgen. Allereerst mag het Privacy Shield niet meer worden gebruikt als grondslag voor data-overdracht. Daarnaast zijn standaardcontractbepalingen (SCC’s) niet automatisch geldig, want organisaties moeten aanvullende technische maatregelen treffen. Tot slot blijft de verantwoordelijkheid altijd bij de verwerkingsverantwoordelijke, zelfs als een leverancier zegt aan de regels te voldoen. IT-managers doen er daarom verstandig aan te kiezen voor oplossingen die het risico structureel vermijden in plaats van tijdelijk te mitigeren.

100% Nederlandse cloudomgevig

Ben je op zoek naar stabiliteit? Dan biedt een volledig Nederlandse cloudprovider rust. Data blijft in Nederland en valt onder het Nederlands recht. Ook kan je data niet geraakt worden door buitenlandse toegangswetten. En dat gaat een stukje verder dan juridische zekerheid. Twin-datacenters binnen landsgrenzen maken het mogelijk om applicaties parallel te laten draaien, waardoor uitval op één locatie geen impact heeft op de bedrijfsvoering van organisaties die afhankelijk zijn van 24/7 beschikbaarheid. Daarnaast creëren Nederlandse providers zoals Previder korte lijnen, transparantie over infrastructuur en de mogelijkheid om maatwerk-connectiviteit in te richten.

Ga aan de slag!

Cloud security is een proces dat zich continu moet aanpassen aan veranderende dreigingen, nieuwe wetgeving en organisatorische groei. Daarom verschuift de vraag vaak van “werkt het?” naar “kunnen we het aantoonbaar verantwoord blijven doen?” Wil jouw organisatie aan de slag met het veilig moderniseren van de IT-omgeving, dan biedt Previder verschillende mogelijkheden. Zo kun je een volgende stap zetten met een schaalbare cloudomgeving, of juist kiezen voor een hybride aanpak? Voor organisaties die hun informatiebeveiliging verder willen professionaliseren, is het bovendien mogelijk om AI data security in te zetten.

Neem contact op