Velen stellen zich de vraag of de nieuwe Europese wetgeving rond Privacy wel kan in combinatie met de publieke cloud. Is het wel veilig om uw gevoelige gegevens toe te vertrouwen aan een publieke cloudprovider?

De publieke cloud, wat betekent dat?

Vooraleer we dieper ingaan op de vraag of GDPR en publieke cloud te combineren vallen, moet u perfect weten wat de term ‘publieke cloud’ inhoudt. De publieke cloud omvat alles wat as-a-service wordt aangeboden. We denken dan aan Microsoft Office 365, Azure, Dropbox for Business, Amazon, Google, enz. Deze cloudproviders bieden u extra ruimte in hun datacenters om data op te slaan. U neemt enkel de services af van deze partner. Het onderhoud en de ontwikkeling van de ‘service’ wordt uitgevoerd door de externe partij.

In welke mate bent u verantwoordelijk voor data in de publieke cloud?

Momenteel maakt het niet zoveel uit waar uw gegevens worden opgeslagen. Zolang uw data altijd en overal beschikbaar zijn en de provider de nodige veiligheidsgaranties biedt zoals een goede back-up, is er geen probleem. Maar blijft dat wel zo na de invoering van de GDPR op 25 mei 2018? Het antwoord is neen. Vanaf die datum bent u namelijk volledig verantwoordelijk voor uw data, waar ter wereld die ook staan.

Wat wordt er van u verwacht als u data opslaat in de publieke cloud?

Uiteraard claimen zowel de grote als kleine spelers dat ze tijdig GDPR compliant zullen zijn. De GDPR-wetgeving laat u ook toe om vertrouwen te stellen in de publieke cloud, maar alleen als u zeker weet dat de cloudprovider van uw keuze aan de juiste voorwaarden voldoet. Er is dus een zogenaamde inspanningsverplichting: u moet voldoende moeite hebben gedaan om uzelf ervan te vergewissen dat de cloudprovider de data juist behandelt en u moet kunnen aantonen dat u die inspanning hebt geleverd.

Microsoft Office 365 in combinatie met GDPR. Is dat wel een goed idee?

Heel wat bedrijven maken gebruik van Office 365. Maar is dat wel een goed idee? Ja, Microsoft heeft de afgelopen maanden namelijk heel sterk ingezet op de GDPR compliancy van Office 365. We zetten de maatregelen van Office 365 voor u op een rijtje.

Identificeren van gegevens

Het identificeren van de gegevens is een eerste en belangrijke stap om compliant te zijn met GDPR. We willen namelijk weten over welke data het gaat, wie toegang heeft en waar de data is opgeslagen. Office 365 biedt de volgende mogelijkheden om u hierbij van dienst te zijn.

• Met Data Loss Prevention (DLP) in Office en Office 365 kunt u meer dan 80 veelvoorkomende types vertrouwelijke gegevens ontdekken, waaronder financiële, medische en persoonlijke informatie. Daarnaast krijgt u ook een handig overzicht waar die zijn opgeslagen.
• Met Advanced Data Governance verkrijgt men een volledig overzicht (dashboard) van de opgeslagen data en controle over de volledige levenscyclus van gegevens zoals documenten en mails.
• Met de Customer Lockbox krijgen organisaties de volledige controle over wanneer en op welke wijze Microsoft engineers toegang moeten krijgen tot de data in verband met service en onderhoud. Organisaties moeten expliciet toegang geven en de activiteiten worden gelogd.

Het beveiligen van de gegevens

Wanneer de data geïdentificeerd zijn, dan moet men deze data ook kunnen beveiligen. Microsoft biedt hiervoor de volgende mogelijkheden met de additionele suite Enterprise Mobility en Security (EMS):

• Multifactor authenticatie en conditional access zorgen ervoor dat gegevens enkel beschikbaar zijn voor geautoriseerde gebruikers.
• Met Azure AD Priviliged Identity Management verlaagt u de risico’s die betrekking hebben op de personen met veel toegangsrechten, zoals bijvoorbeeld de beheerders.
• Met Azure Information Protection kunt u data classificeren, labelen en beveiligen. U behoudt volledige controle over wat er met de data gebeurt, ongeacht waar die is opgeslagen en met wie de data is gedeeld. Het gebruik van de data kan worden opgevolgd en indien nodig kan iemand de toegang worden ontzegd.
• Met Cloud App Security krijgt u inzicht in het cloudverkeer vanuit Office 365. U kunt bepalen welke cloudapplicaties toegang krijgen tot uw data en welke niet.

GDPR en persoonsgegevens versus malware?

Hoe kunt u persoonsgegevens nu beveiligen tegen malware? Office 365 in combinatie met Azure biedt ook hier de gepaste antwoorden:

• Met Advanced Threat Analytics kunt u snel afwijkend gedrag opsporen. Cybercriminelen richten zich veelal op het verwerven van logingegevens van uw medewerkers om zo toegang te krijgen tot uw data. Met ATA kunnen dergelijke aanvallen op tijd worden gedetecteerd en kan schade worden vermeden;
• Advanced Threat Protection in Exchange Online helpt tegen geavanceerde aanvallen via e-mail. Er kunnen ook policies worden ingesteld die de gebruikers beschermen tegen onveilige bijlagen of links naar onveilige websites.
• Met Advanced Security Management kunt u policies instellen om zaken met een hoog risico te volgen, te detecteren maar vooral te counteren met het juiste antwoord. Voorbeelden hiervan zijn opnieuw de beheerders met veel toegangsrechten die ernstige schade kunnen aanrichten.
• Met de Office 365 audit logs kan men acitiviteiten van gebruikers en beheerders monitoren over de verschillende onderdelen van Office 365. Zo krijgt u snel inzicht in mogelijke beveiligingsproblemen.
• Door de schaalgrootte van Office 365 Threat intelligence kunt u zeer snel bedreigingen detecteren. Waarschijnlijk is ergens anders, waar dan ook ter wereld, deze bedreiging zelfs al gedetecteerd. Met de kennis die zo werd opgebouwd, is uw onderneming beter beveiligd.

Met de bovenstaande tools kunt u aantonen dat u er alles aan heeft gedaan om uw privacygevoelige data binnen Office 365 of Azure te beschermen met het oog op GDPR. Het Microsoft Cloudplatform is dus wel degelijk GDPR compliant.

Wat moet u doen indien u met een andere cloudprovider wilt werken?

Voor andere cloudproviders dient een gelijkaardige analyse te worden gemaakt. De informatie die u moet inwinnen is erg breed. Enerzijds is het belangrijk om notie te nemen van de gezondheid van het bedrijf en het aantal werknemers met hun eigen competenties. Anderzijds dient u natuurlijk ook de juiste vragen te stellen over het beveiligingsniveau. Denk daarbij bijvoorbeeld aan het monitoren van trafiek en de manier waarop de cloudprovider uw gegevens beschermt tegen fysieke diefstal vanuit het datacenter.

Omdat het uw plicht is om melding te maken van een gegevenslek, dient u van hen ook te weten te komen hoe zij u op de hoogte brengen van een beveiligingsprobleem in het datacenter. Voorts bespreekt u ook best welke garanties de provider u geeft wanneer u gegevens wilt wissen. Ga hierbij zeker ook na wat de procedures zijn bij het wissen van back-ups.

Conclusie?

Op zich mag GDPR het niet moeilijker maken om te vertrouwen op de publieke cloud. Het is wel zo dat u zelf – of uw IT-partner – wat werk moet verrichten om u ervan te vergewissen dat de cloudprovider compliant is. Dat moet u doen om zelf compliant te zijn. We raden dus iedereen aan voor 25 mei 2018 samen te zitten met ofwel uw IT-parner ofwel uw cloudprovider om hierover zekerheid te krijgen.