Wat zijn de onzichtbare risico’s van een cloudaanbieder?

De cloud is geen nieuw terrein meer voor woningcorporaties, ziekenhuizen en andere organisaties met een hoge mate van digitale verantwoordelijkheid. Het debat gaat dan ook niet langer over of workloads naar de cloud gaan, maar onder welke voorwaarden. Toch blijven veel risico’s onder de oppervlakte liggen tot het misgaat. In deze sectoren worden persoonsgegevens, medische informatie, huurdersdata en financiële systemen verwerkt en kunnen risico’s verstrekkende gevolgen hebben. Denk aan juridische sancties, reputatieschade, operationele stilstand en afhankelijkheid van leveranciers. We noemen een aantal risico’s.

Datasoevereiniteit

Datasoevereiniteit is uitgegroeid tot een kernonderwerp voor organisaties die werken met privacygevoelige informatie. Want niet alleen de fysieke opslaglocatie is bepalend, maar vooral het juridische kader waarbinnen data wordt beheerd, geraadpleegd en eventueel opgevraagd kan worden. Voor IT-managers in gevoelige sectoren betekent dit dat datasoevereiniteit direct raakt aan compliance, bestuurlijke verantwoordelijkheid en continuïteitsrisico’s. De combinatie van strengere wetgeving, toenemende toezichtdruk en een complexe cloudindeling maakt het noodzakelijk om dieper te kijken dan technische beveiliging alleen.

GDPR en de verantwoordelijkheid voor gevoelige gegevens

Veel organisaties gaan er nog steeds vanuit dat data die in Europa staat opgeslagen automatisch voldoet aan wettelijke vereisten. In werkelijkheid is de situatie complexer. De GDPR stelt niet alleen eisen aan opslag, maar vooral aan verwerkingsverantwoordelijkheid, toegangsmogelijkheden en toezicht. In bepaalde sectoren gaat het om gevoelige of bijzondere persoonsgegevens, wat de nalevingsdruk verder vergroot. Cloudaanbieders moeten daarom niet alleen aantonen dat ze compliant zijn, maar ook volledige transparantie bieden over datastromen, subverwerkers en jurisdicties waaraan zij moeten voldoen.

Schrems II en de risico’s van buitenlandse jurisdictie

Sinds het Schrems II-arrest is er een nog grotere verschuiving geweest. Het ongeldig verklaren van het Privacy Shield heeft ervoor gezorgd dat data binnen Europese grenzen niet automatisch beschermd is wanneer de aanbieder onder buitenlandse wetgeving valt. Hyperscalers met een Amerikaanse moederorganisatie kunnen bijvoorbeeld te maken krijgen met wetgeving zoals de CLOUD Act, die buitenlandse autoriteiten in staat stelt om toegang tot data af te dwingen. Voor organisaties die werken met patiëntinformatie, huurdergegevens en financiële systemen kunnen risico’s ontstaan zonder dat er sprake is van enig beveiligingslek. Dit zijn risico’s die pas zichtbaar worden bij audits of incidentmeldingen.

NIS2 en ketenverantwoordelijkheid voor digitale weerbaarheid

De introductie van NIS2 voegt een nieuwe laag van verplichtingen toe. Zorginstellingen en grotere woningcorporaties worden aangemerkt als essentiële of belangrijke organisaties en moeten structureel aantonen dat zij digitale risico’s beheersen, inclusief risico’s van leveranciers. IT-managers moeten niet alleen weten waar data staat, maar ook of toegang, redundantie en beheersing aantoonbaar zijn geborgd. Daarmee verandert de vraag waar data staat naar onder welk juridisch regime deze valt. Ook is het belangrijk om aan te kunnen tonen of dat regime controleerbaar, toetsbaar en verdedigbaar is richting toezichthouders.

Afhankelijkheid en onzichtbare ketens

Een ander risico dat vaak onderschat wordt, is de afhankelijkheid die ontstaat wanneer organisaties werken met resellers of hyperscalers. Veel organisaties denken rechtstreeks met een cloudleverancier te werken. In werkelijkheid zijn ze afhankelijk partijen die zelf geen zeggenschap hebben over hun hardware, netwerken of datacenters. Bij verstoringen of beveiligingsincidenten kan daardoor een situatie ontstaan waarin niemand volledig verantwoordelijk blijkt. Dit leidt tot vertraagde herstelprocessen, onduidelijke aansprakelijkheid en een gebrekkige mogelijkheid tot escalatie.

Bij hyperscalers ligt de afhankelijkheid anders, maar zeker niet lager. De enorme schaal en brede functionaliteit zijn aantrekkelijk, maar ze introduceren nieuwe, subtiele vormen van lock-in. Naarmate organisaties meer gebruikmaken van proprietary platformdiensten, wordt een toekomstige migratie niet alleen duurder maar soms technisch onmogelijk zonder herbouw. Dat is vooral problematisch voor organisaties die onder aanbestedingsplicht vallen of die in het kader van risicobeheer flexibiliteit moeten behouden. Daarbij komt dat ondersteuning bij hyperscalers vaak gestandaardiseerd is. De ondersteuning sluit dan niet altijd aan op de urgentie van zorgprocessen of huurdersservices.

Het exitplan als vergeten onderdeel van risicobeheersing

Vrijwel elke organisatie heeft een exitbepaling in hun contracten staan, maar slechts weinig hebben een praktisch uitvoerbaar exitplan. Wanneer kosten stijgen, compliance-risico’s ontstaan of fusies en audits migratie noodzakelijk maken, komen de verborgen obstakels pas naar boven. Vaak blijkt dan dat cloud data wel geëxporteerd kan worden, maar niet in een werkbaar formaat. Enkele voorbeelden hiervan zijn dat encryptiesleutels niet overdraagbaar zijn, dat bandbreedte de migratietijd onacceptabel maakt of dat logging en configuraties niet beschikbaar zijn.

Een werkend exitplan moet daarom worden behandeld als een instrument voor bedrijfscontinuïteit. Het moet periodiek getest worden, net zoals disaster recovery-tests. Een exit is pas realistisch wanneer een organisatie met zekerheid weet hoe lang een migratie duurt, welke systemen tijdens de overgang beschikbaar blijven en welke afhankelijkheden in de keten beheerst kunnen worden. Voor sectoren met maatschappelijke verantwoordelijkheid is dit niet alleen verstandig, maar ook onderdeel van de bestuurlijke zorgplicht. Bestuurders, auditors en toezichthouders gaan deze vraag namelijk steeds vaker stellen.

SLA’s als instrument voor controle

Service Level Agreements worden vaak gezien als juridische bijlagen, terwijl ze in werkelijkheid het belangrijkste besturingsmechanisme zijn om risico’s te beheersen. De grootste problemen ontstaan wanneer SLA’s vaag geformuleerd zijn, uptime meten op basis van gemiddelden, of back-ups als klantverantwoordelijkheid definiëren zonder dat dit expliciet wordt onderkend. Tijdens incidenten kan dit leiden tot dataverlies, onduidelijke verantwoordelijkheid en escalaties die niet passen bij de urgentie van zorgverlening of huurdercommunicatie.

Een volwassen SLA biedt garanties en creëert voorspelbaarheid. Dat betekent duidelijke responstijden, bereikbaarheidsafspraken, vaste escalatieroutes en toetsbare uptime-normen. In hybride cloudomgevingen wordt dit nog complexer, want daar moeten SLA’s niet alleen per leverancier solide zijn, maar ook op elkaar aansluiten. Anders ontstaat het klassieke risico dat leveranciers naar elkaar wijzen terwijl systemen stilstaan. Voor organisaties die afhankelijk zijn van digitale continuïteit voor patiëntveiligheid, woonruimtebeheer en maatschappelijke dienstverlening is dat geen acceptabel scenario.

Meer informatie ontvangen?

De grootste risico’s van de cloud zitten dus niet alleen in de technologie van de cloudmodellen, maar ook in juridische exposure, verborgen afhankelijkheden, gebrek aan exitcontrole en ontoereikende SLA’s. Private cloud blijft voor veel organisaties de keuze wanneer maximale controle, datasoevereiniteit en voorspelbaarheid essentieel zijn. Public cloud biedt daarentegen schaalbaarheid en innovatiekracht, vooral wanneer flexibiliteit en snelle ontwikkeling een rol spelen. Steeds meer organisaties kiezen daarom voor een hybride model, waarin gevoelige gegevens in een gecontroleerde omgeving blijven, terwijl minder risicovolle workloads profiteren van de wendbaarheid van de public cloud. Wil je hier meer informatie over ontvangen? Neem contact op met Previder.

Contact