Trends in certificering en wetgeving voor Cloud Computing

Transcriptie

1 EuroCloud Nederland Management White Paper Trends in certificering en wetgeving voor Cloud Computing Theo Loth, Victor de Pous, Maurice van der Woude & Nan Zevenhek 2013 Stichting EuroCloud Nederland, Haarlem Op dit document is een Creative Common License van toepassing, de CC BY-NC-ND 3.0 licentie ( Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed aanvaarden auteurs, eindredacteur en uitgever geen aansprakelijkheid voor eventuele fouten en onvolkomenheden, noch voor gevolgen hiervan.

2 Inhoud Voorwoord A. Certificering in ontwikkeling Algemeen Europa Rondetafels B. Legislatieve processen Algemeen Wetgeving voor verwerking van persoonsgegevens Wettelijke meldplichten datalek en inbreuk Conclusie Bijlage: overzicht van normen Colofon 2013 STICHTING EUROCLOUD NEDERLAND, HAARLEM 2

3 Voorwoord Het domein cloud computing is flink in ontwikkeling, niet in de laatste plaats door beleid van de Europese Commissie, zowel op het gebied van wetgeving als van technische normering. Het ontbreekt momenteel nog aan breed geaccepteerde certificeringen voor cloud-diensten. De ICT-industrie kent al jaren een uitgebreid stelsel van normen en certificeringen. Om inzicht te krijgen in de stand van zaken met betrekking tot certificeringinitiatieven die voor de cloud-markt in Nederland relevant kunnen zijn, heeft de Stichting EuroCloud Nederland als neutraal kennisplatform voor gebruiker, leverancier en politiek betrokkenen gevraagd hun activiteiten en kennis te delen. Die blijken nogal te variëren, zowel qua voorwerp (processen of mensen) als voor wat betreft de omvang van de normering (nationaal of internationaal). Van belang zijn verder de initiatieven voor formele juridische normen wet- en regelgeving in het kader van cloud computing. Die komen uit Europa en uit Nederland. Economische prikkel Ook voor 2013 staat certificering hoog op de kennisagenda van EuroCloud Nederland. EuroCloud Nederland is derhalve formeel lid geworden van de werkgroep Distributed Application Platforms and Services die binnen het Normalisatie Instituut Nederland (NEN) aan cloud computing werkt. Ze brengt daarbij ook de kennis en ervaring van de Europese EuroCloud organisatie in. Uit de ervaringen van het NEN blijkt dat het land dat het initiatief neemt voor bepaling van een Europese c.q. wereldwijze norm, een gunstige uitgangspositie heeft bij het aantrekken van industrie die de betreffende diensten conform de norm kan leveren. Dit opent economische perspectieven en kan het gebruik van het leveringsmodel en zelfs de cloudindustrie in Nederland stimuleren. Haarlem, 8 januari 2013 Alexandra Schless, voorzitter 2013 STICHTING EUROCLOUD NEDERLAND, HAARLEM 3

4 A. Certificering in ontwikkeling Algemeen Om cloud-diensten te vertrouwen en er verantwoord en veilig mee te werken, zoekt de klant naar methoden om deze diensten te kunnen beoordelen. De aangewezen weg is toetsing aan geldende normen. Certificering laat zien in welke mate de aanbieder van de clouddienst voldoet aan de normen. Om het toetsingsproces goed te laten verlopen, zijn onafhankelijk en erkende certificeringprogramma's nodig. Dergelijke programma s voorzien in meetinstrumenten om oplossingen met elkaar te vergelijken. Zonder goede normen en algemeen gedragen certificeringen loopt de markt het risico overspoeld te worden door onvoldragen, onvolledige of niet-adequate oplossingen. Dit kan uiteindelijk de acceptatie van cloud-diensten in de weg staan en de ontwikkeling van een gezonde cloud-industrie schaden. Kortom: een goed uitgewerkt stelsel van normen en certificeringen is noodzakelijk voor verdere toepassing van cloud. Het is een utopie om te denken dat slechts één certificering het gehele spectrum van cloud computing kan bestrijken. Als alleen al gekeken wordt naar Infrastructuur- (IaaS), Platform- (PaaS) en Software- (SaaS) services moet de conclusie zijn dat deze drie servicemodellen dermate van elkaar verschillen dat een aparte benadering voor elk van deze modellen afzonderlijk nodig is om op te kunnen certificeren. De in de ICT-industrie vigerende ISO ISO2700(x) normering is slechts beperkt van toepassing voor cloud meer gericht is op algemeen informatiemanagement. Een aantal organisaties is al uit de startblokken gekomen en heeft de eerste stappen gezet richting specifieke certificeringen. Gezien echter het brede werkgebied van cloud computing, de benodigde expertise in de diverse deelgebieden en het voor het neerzetten van een wereldwijde standaard noodzakelijke draagvlak, is het ontwikkelen van een normenkader met een daaruit voortvloeiend certificeringsprogramma ongeacht het deelgebied - een behoorlijke klus, maar zeker geen mission impossible. De organisaties die hierin het verst gevorderd zijn op het pad van cloud certificering zijn ENISA (European Network and Information Security Agency), ISO (International Standards Organisation), NIST (National Institute of Standards and Technology), IEEE (Institute of Electrical and 2013 STICHTING EUROCLOUD NEDERLAND, HAARLEM 4

5 Electronics Engineers), CSA (Cloud Security Alliance) en EuroCloud. EuroCloud heeft complete cloud-certificeringprogramma's zelfs al klaar, één voor datacenters (IaaS), één voor Platform-as-a-Servide (PaaS) en een voor cloudsoftware (SaaS) en lijkt daarmee het beste geëquipeerd om de de facto standaard neer te zetten. EuroCloud heeft dit programma opgezet met input van onder andere ENISA en ISO en rolt het op het Europese continent uit. Ook marktpartijen hebben certificeringprogramma s voor cloud-diensten ontwikkeld; maar die zijn doorgaans meer gericht op de eigen producten en hun toepassing. Andere initiatieven vinden plaats in het kader van de Sarbanes Oxley-wet (SOX), SAS70, SSAE16 en ISAE3402. Deze zullen naar verwachting geen voortrekkersrol in dit certificeringdomein vervullen. Europa Er bestaat nog onzekerheid op het gebied van cloud computing die de ontwikkeling van de toepassing remt. Dit komt doordat veel mensen de basisconcepten nog steeds niet volledig begrijpen laat staan hoe ze het leveringsmodel in hun bedrijfsvoering kunnen toepassen. De Europese wet- en regelgeving werkt belemmerend op de ontwikkeling van standaarden. Aan de andere kant verwacht de eindgebruiker wel pan- Europese oplossingen, bijvoorbeeld in het kader van de verwerking van persoonsgegevens (privacy). Deze eis van de Europese bevolking werkt katalysator voor de totstandkoming van Europese normering. Elk certificeringprogramma zal hier gedegen rekening mee moeten houden. De Europese Commissie laat momenteel onderzoeken welke mogelijkheden er zijn om tot cloud certificeringen te komen, waarbij het uitgangspunt is dat certificeringsprogramma s vanuit het werkveld geleid worden en op basis van en op basis van vrijwilligheid worden gevolgd. Naar verwachting zullen organisaties zich uiteindelijk vrijwillig zullen laten certificeren voor hun IaaS, PaaS en/of SaaS service. Ondertussen heeft Brussel uitgesproken dat ETSI en ENISA zich gaan bezighouden met de standaardisering en certificering van cloud-diensten. Het European Telecommunications Standards Institute (ETSI) is door de commissie gevraagd om als liaison op te treden tussen de verschillende 2013 STICHTING EUROCLOUD NEDERLAND, HAARLEM 5

6 partijen die standaarden kunnen formuleren. Inmiddels is ETSI voortvarend aan de slag gegaan met het verzamelen van de belanghebbenden uit het veld. Hierbij gaat het zowel om industriepartijen als om eindgebruikersorganisaties en vertegenwoordigers uit de politiek. ENISA (European Network and Information Security Agency) is gevraagd om ditzelfde te organiseren op het gebied van certificering. Roundtables EuroCloud Nederland vindt het ongewenst dat in dit domein allerhande, elkaar overlappende en wellicht beconcurrerende initiatieven voor normering en certificering ontstaan. Om te bewerkstelligen dat er afstemming komt, heeft EuroCloud Nederland eind 2011 en begin 2012 twee besloten ronde-tafelbijeenkomst gehouden waarin allerlei initiatieven voor normering van cloud computing in kaart zijn gebracht. De resultaten zijn vervolgens op een openbaar toegankelijke conferentie gepresenteerd. Met de inventarisatie willen we. De inventarisatie is vrijwel zeker niet volledig; u vindt haar elders in de voorliggende white paper. Enkele uitkomsten uit de roundtables: Een eensluidende definitie en classificatie van cloudmodellen wordt noodzakelijk geacht als belangrijke stap naar een algemeen gedragen certificering. Verder is een Europese standaard voor de omgang met privacygevoelige informatie noodzakelijk om te voorkomen dat er per land afwijkende normering ontstaat. Om zinvol te kunnen certificeren, is een duidelijke norm vereist alsmede een organisatie die de normen en certificaten onderhoudt en die professionals opleidt. Om de correcte werking van certificeringinstellingen te waarborgen, is een accreditatielichaam nodig. Over het algemeen is 80% van een norm generiek en 20% branchespecifiek. Bij certificaten zou, afhankelijk van de business en de specifieke risico s, een pick and place en gradatie in zwaarte van toepassing mogelijk moeten zijn. Of een certificering in het specifieke geval toereikend is, blijft professional judgment. Certificering is mooi, maar het moet wel praktisch hanteerbaar zijn. Het verdient aanbeveling startende ondernemers vrij te stellen van strikte certificeringeisen STICHTING EUROCLOUD NEDERLAND, HAARLEM 6

7 Certificering zou zich langs twee sporen moeten ontwikkelen, het spoor van de providers en het spoor van de professionals. Die laatste categorie is minstens zo belangrijk als de eerste, omdat van hen verwacht mag worden door de bomen het Cloud bos te kunnen zien en te kunnen beoordelen welke certificering voor welk toepassingsgebied binnen hun organisatie relevant is. Dynamische certificering Dat het omgaan met certificering en normering geen sinecure is, bleek uit uitspraken van EDP Auditor Jan Matto, partner bij Mazars Management Consultancy. Matto is ook projectleider van het SBR/XBLR project voor het standaardiseren en normaliseren van financiële informatie. Gangbare normen en standaarden kennen beperkingen. Auditors zien zich dan ook nog eens voor de fundamentele vraag gesteld: We doen de audit goed, maar doen we ook de goede audit? Zeker als het om Cloud Computing gaat is dat een uitermate relevante vraag. Frictie kan ontstaan als elke ketenpartner een eigen deelaudit laat uitvoeren met eigen normenkaders. Bewaking van het geheel is dan een grote uitdaging. Er kunnen blinde vlekken ontstaan en onontdekte risico s optreden. Zeker als het om Cloud gaat, is een integraal oordeel gewenst over de gehele keten. In de praktijk is echter veelal sprake van een gefragmenteerd oordeel verdeeld over ketenpartners, deelverantwoordelijken en systeemlagen. Matto benadrukt dat cloudcertificering ruimte moet bieden aan de dynamiek die de technologie en de business van de gebruiker met zich meebrengen. Control frameworks vereisen voortdurende aanpassing aan de veranderende context. Hij signaleert dat veel EDP auditing wordt verricht vanuit de managementprocessen. Dat doet tekort aan de dynamische, snel veranderende IT-werkelijkheid. Leg bij Cloud de focus naar IT. Je kunt je door die dynamiek zelfs afvragen of toekomstgerichte certificering überhaupt haalbaar is. Verder is het belangrijk het doel en de doelgroep van certificering goed helder te krijgen. Er worden hoge eisen gesteld aan de deskundigheid van IT auditors en multidisciplinaire benaderingen zijn nodig. Europa Eurocommissaris Kroes heeft een duidelijke cloud-strategie. EuroCloud Europe is betrokken bij de verdere uitwerking daarvan. In lijn daarmee 2013 STICHTING EUROCLOUD NEDERLAND, HAARLEM 7

8 heeft EuroCloud Duitsland in samenwerking met onder meer het Frauenhofer Instituut, CSA, ISO en KPMG al een ver uitgewerkt Certificeringsraamwerk laten ontwikkelen, de EuroCloud Star Audit. De StarAudit is door de EuroClouds in diverse landen inmiddels geadopteerd. Dat zegt Maurice van der Woude, General Director van EuroCloud Europe. Het certificeringsprogramma biedt een set aan certificaten in oplopende zwaarte, van 1 ster tot en met 5 sterren. De basiscertificering met een ster is bijvoorbeeld geschikt voor testomgevingen of softwareontwikkeling, waar cloud delivery maar een beperkte impact heeft. Vijf sterren is dan vooral van toepassing op bedrijfskritische en sterk geïntegreerde omgevingen en heeft betrekking op alle lagen van Cloud Computing, van infrastructuur tot en met softwarefunctionaliteit. EuroCloud Nederland onderzoekt momenteel of het raamwerk ook in ons land kan worden toegepast. Vooral de juridische kanten van de zaak vragen om nader onderzoek. Van der Woude verwacht dat het Star Audit Programma ook in Nederland op belangstelling kan rekenen. Temeer omdat kort geleden besloten is om een online self-assessment mogelijkheid toe te voegen, op basis van de eisen die voor 1-ster certificering bepaald zijn Drugstest De Public Briefing werd afgesloten met een levendige paneldiscussie. Panelleden waren Koos Ziere (NOREA), John van Huijgevoort (CSA), Theo Klarenbeek (Belastingdienst), Hans van der Meer (Microsoft) en Maurice Tijhuis (Twinfield). Stuk voor stuk professionals met een duidelijke visie op de mogelijkheden en onmogelijkheden van certificering. Zo merkte Van der Meer op: De praktijk is weerbarstig. Je kunt van alles vastleggen in regels en policies, maar gebruikers gaan toch hun eigen gang. Waar blijf je dan met je beleid? Bovendien kunnen stringente regels een rem voor innovatie zijn. Klarenbeek van de Belastingdienst ziet vanuit zijn business wel degelijk grote voordelen van standaardisatie. We willen toe naar boekhouden en aangiften doen zonder menselijke tussenkomst. Dat is in het belang van de Belastingdienst zelf, maar ook van die tienduizenden kleine ondernemers die ons land telt. Dan moet je wel bouwen aan een veilige online basis. Nederland loopt hierin voorop in Europa. Het Europabreed invoeren van onze aanpak voor de integratie van administraties en de systemen van de Belastingdienst zal weerbarstig zijn. Het is sowieso lastig om te voldoen aan de regels in de diverse landen en rechtssystemen. Maurice Tijhuis van online boekhoudleverancier Twinfield: Wij deden 2013 STICHTING EUROCLOUD NEDERLAND, HAARLEM 8

9 laatst mee aan een grote tender in het buitenland. Een van de vragen was hoe vaak we onze medewerkers onderwierpen aan een drugstest. In de VS is dat kennelijk heel gewoon, maar wij kijken daar in Nederland toch anders tegenaan. Het geeft wel aan dat het voldoen aan standaards niet altijd een vrije keuze is. Grote klanten eisen het, net als dit destijds met ISO gebeurde. Internationale standaards en normen zijn dan ook noodzakelijk, zeker vanuit Security-perspectief. Cloud is nu eenmaal grensoverschrijdend, cybercrime ook. Je kunt het als land niet alleen, zegt John van Huygevoort namens de Cloud Security Alliance. Ziere van Norea bepleit een praktische aanpak als het om certificering gaat: One-size-fitsall gaat niet werken. Bekijk welke norm je het meest van toepassing acht. Onderzoek vervolgens nauwgezet wat er achter het stempel schuilgaat. Wat is de scope van het certificaat? En minstens zo belangrijk: past het wel bij mijn business? Een certificaat alleen zegt niet alles. Alexandra Schless, voorzitter van EuroCloud Nederland en in het dagelijks leven Managing Director van TelecityGroup in Nederland: Certificering is in onze industrie niet onderscheidend. Zonder de juiste certificaten tel je gewoon niet mee. Je maakt het verschil door transparant te zijn en de manier waarop je business doet. Maar teveel transparantie aan de aanbiederskant heeft ook een keerzijde. Hoe meer je laat zien, hoe kwetsbaarder je wordt, aldus Tijhuis STICHTING EUROCLOUD NEDERLAND, HAARLEM 9

10 B. Legislatieve processen Algemeen Zoals langzamerhand bekend mag worden verondersteld betreft de cloud een op Internet gebaseerd leveringsmodel voor ICT als afroepbare, gedeelde en automatisch schaalbare dienst, die door de eigen automatiseringsafdeling van een gebruikersorganisatie of en dat zal vaker het geval zijn een externe leverancier wordt verzorgd, de cloud service provider. Dan is er sprake van een outsourcingsrelatie. Je kunt zeggen dat software als dienst, net zo als de servicemodellen voor platform en infrastructuur, betrekking heeft op onzichtbare ICT. De technologie verdwijnt voor eindgebruikers onder de motorkap en veel van de verantwoordelijkheden voor de technologie gaan van de gebruikersorganisatie over op de cloud service provider. De verantwoordelijkheid voor legal compliance verschuift ook, zij het slechts ten dele. Iedere onderneming of overheidsorganisatie blijft echter te allen tijde en dus ook bij uitbesteding van bedrijfsprocessen of onderdelen daarvan aan een cloud service provider zelf verantwoordelijk voor allerlei wettelijke voorschriften; van privacy-regels tot en met fiscale verplichtingen. Outsourcing ontheft haar dus niet van haar eigen juridische verplichtingen. Maar cloud-leveranciers hebben ook een eigen verantwoordelijkheid. Dat cloud computing zowel technologisch als bedrijfsmatig fundamenteel anders is, wil niet op voorhand zeggen dat de rechtsaspecten afwijken. Maar wie de Amerikaanse definitie in het vizier houdt, te weten drie servicemodellen, vier toepassingsmodellen en vijf kenmerken 1, verwondert zich waarschijnlijk niet dat haar juridisch raamwerk zich onderscheidt van dat van het gangbare (client/server) model voor automatische gegevensverwerking. Cloud computing heeft deels moeite met bestaande 1 De cloud-matrix kent de servicemodellen software (SaaS), platformen (PaaS) en infrastructuur (IaaS) en omvat tevens PUBLIC (openbaar en gestandaardiseerd), PRIVATE (gesloten en desgewenst op maat), COMMUNITY (gericht op een bepaalde gemeenschap) en HYBRIDE (mengvorm public/private) toepassingsmodellen. Daarnaast gaat het om karakteristieken: afroepbare zelfbediening, toegang tot breedband Internet, delen van ICTbronnen, snelle elasticiteit en een gemeten dienst. Dit wordt wel de definitie genoemd STICHTING EUROCLOUD NEDERLAND, HAARLEM 10

11 rechtsnormen, die niet alleen van oudsher geografisch zijn bepaald, maar tevens zijn vastgesteld toen informatieverwerking statisch was. We konden letterlijk aanwijzen waar data zich bevonden. Verder vallen er in het leveringsmodel allerlei technische en andere aspecten samen, met als consequentie dat uiteenlopende horizontale (geldend voor alle organisaties), verticale (aanvullend gericht op een bepaalde sector) en speciale ICT-gerelateerde rechtsnormen (mede) op cloud computing van toepassing zijn. Dat leidt vrijwel zeker tot juridische samenloop. Ondertussen noteren we ontwikkelingen. Zo zorgt de praktijk voor voortschrijdend inzicht en ontstaan er best practices. Ook staan een ingrijpende aanscherping en harmonisatie van privacy-regels op de rol. We krijgen meer cloud-vriendelijke Europese wetgeving (die dus drempels moet wegnemen) en nieuw inkoopbeleid voor de publieke sector. Op twee legislatieve domeinen, die deels een overlappend karakter hebben, wordt hieronder ingegaan. Recht voor verwerking van persoonsgegevens Een uiterst belangrijke legislatieve component van de geïntegreerde Europese Cloud Computing Strategie ziet toe op de langverwachte, uniforme harmonisering van de Europese privacyrichtlijn uit 1995 (95/46/EC). De grondige hervorming van 25 januari 2012 getuigt van een duale aanpak. Allereerst wordt de rechtsbescherming van burgers in verband met hun online privacy verbeterd. Ze krijgen meer controle en rechten; ook ten aanzien van in de cloud verwerkte gegevens. Daarnaast draait het om stimulering van de digitale economie door middel van lastenverlaging. De achterliggende ratio is bekend. De wijze waarop gegevens worden verzameld, geraadpleegd en gebruikt, is door technologische vooruitgang en globalisering ingrijpend veranderd. Bovendien hebben de 27 EUlidstaten de privacyrichtlijn verschillend omgezet, wat tot verschillen in toepassing en handhaving leidde. Herziening was uiteindelijk onvermijdelijk. Volgens het EU-Handvest van de grondrechten heeft iedereen en in beginsel overal recht op bescherming van zijn persoonsgegevens. De voorstellen zijn een toekomstgerichte actualisering. Naast een beleidsmededeling over de doelstellingen van de Commissie, gaat het om twee wetsvoorstellen: een verordening en een 2013 STICHTING EUROCLOUD NEDERLAND, HAARLEM 11

12 richtlijn (inzake de bescherming van persoonsgegevens die worden verwerkt voor het voorkomen, opsporen, onderzoeken of vervolgen van strafbare feiten en aanverwante gerechtelijke activiteiten). Die blijft hier onbesproken. De verordening heeft betrekking op het vaststellen van het algemene EUkader voor gegevensbescherming en is vanwege haar rechtstreekse werking het perfecte harmonisatiemiddel. Zo ontstaat er één stel regels voor de bescherming van persoonsgegevens, geldend in de gehele EU. De aanpak vergemakkelijkt onder meer regulatory compliance bij intracommunautaire gegevensverwerking. In plaats van overbodige administratieve lasten verplicht de verordening de verwerkers van persoonsgegevens (zoals cloud service providers) meer verantwoording en rekenschap af te leggen. Ernstige gegevenslekken moeten binnen 24 uur aan de nationale toezichthouder worden gemeld. De boete bij overtreding bedraagt maximaal 2% van de omzet. Verder scherpt de vordering de bestaande rechten van betrokkenen aan. Enkele doelstellingen en wijzigingen. Consumentenvertrouwen. Met het initiatief moet het consumentenvertrouwen in online-diensten worden aangewakkerd, wat de groei, werkgelegenheid en innovatie in Europa de noodzakelijke impulsen kan geven. Meldplicht. Bedrijven en organisaties moeten ernstige gegevenslekken zo snel mogelijk (binnen 24 uur) aan de nationale toezichthouder melden. De boete bij overtreding bedraagt maximaal 2% van de omzet. Eén toezichthouder. Bedrijven en organisaties die grensoverschrijdend zakendoen krijgen te maken met één nationale toezichthouder in de EUlidstaat waar zij hun belangrijkste vestiging hebben. Deze nationale gegevensbeschermingsautoriteit is tevens het aanspreekpunt voor burgers; ook als hun gegevens worden verwerkt door een bedrijf buiten de EU. Recht op toestemming. Wanneer voor de verwerking van persoonsgegevens toestemming vereist is, moet deze uitdrukkelijk worden gegeven, en niet worden verondersteld stilzwijgend te zijn gegeven (aanscherping van het bestaande toestemmingsrecht). Recht op inzagerecht. Burgers zullen gemakkelijker toegang krijgen tot hun eigen gegevens, online en gratis (versterking van het bestaande inzagerecht) STICHTING EUROCLOUD NEDERLAND, HAARLEM 12

13 Recht op dataportabiliteit. Burgers kunnen hun persoonsgegevens gemakkelijker van de ene dienstverstrekker naar de andere overdragen, mede ter vergroting van de onderlinge concurrentie. Dit recht op gegevensoverdraagbaarheid is nieuw. Recht op vergeten te worden. Mensen worden in staat gesteld hun privacy-risico s op internet beter te beheren, dat wil zeggen hun gegevens te wissen als er geen gegronde redenen zijn om ze te bewaren. Het gaat om een nieuw privacy-recht. Informatiebeveiliging verplicht Volgens de wet gaat het bij persoonsgegevens om een gegeven dat herleidbaar is naar een identificeerbaar natuurlijk persoon. U en ik. Alle persoonsgegevens moeten worden beveiligd. Zo schrijft de wet nadrukkelijk passende technische en organisatorische maatregelen voor tegen verlies of diefstal van persoonsgegevens voor. Dat is nu de regel en dat blijft ook zo. De verplichting geldt zowel de verantwoordelijke (de opdrachtgever/klant) als de verwerker (bijvoorbeeld de cloud service provider). Verantwoordelijkheid klant Nederlandse bedrijven en overheidsorganisaties die cloud-diensten afnemen in de Verenigde Staten zijn zelf eindverantwoordelijk voor de bescherming van persoonsgegevens, ondanks de Safe Harbor Agreement, aldus het College Bescherming Persoonsgegevens (CBP). De toezichthouder heeft vragen van SURFmarket in algemene zin beantwoord om daarmee een zo groot mogelijke groep van partijen (cloud service providers en hun klanten) duidelijkheid te bieden. De zienswijze van de toezichthouder heeft betrekking op de situatie van een in Nederland gevestigd bedrijf of organisatie die gebruik maakt van de cloud-diensten onder meer , agendabeheer, groepsdiscussies en relatiebeheer van een leverancier die gevestigd is in de VS. Hierin benadrukt de toezichthouder dat een belangrijk uitgangspunt is dat Nederlandse bedrijven of organisaties die cloud-diensten afnemen bij een Amerikaanse aanbieder eindverantwoordelijk zijn voor de naleving van de Wet bescherming persoonsgegevens STICHTING EUROCLOUD NEDERLAND, HAARLEM 13

14 Bij het sluiten van een overeenkomst voor cloud-diensten zal een bedrijf of organisatie zelf moeten onderzoeken en vergewissen dat de toepasselijke wettelijke regels zijn afgedekt. Dat vraagt zo nodig om aanvullende afspraken in de overeenkomst met de Amerikaanse cloud service provider. In ieder geval geldt dat voor de beveiliging van de in de Cloud verwerkte persoonsgegevens. Doorgifte van persoonsgegevens naar de VS is mogelijk als de betreffende Amerikaanse cloud service provider zich heeft verplicht tot naleving van de zogeheten Safe Harbor Principles. De Europese Commissie heeft namelijk bepaald dat in dat geval sprake is van een passend beschermingsniveau. Het CBP benadrukt in zijn zienswijze dat hierdoor doorgifte weliswaar mogelijk is, maar dat dit echter niet garandeert dat de daadwerkelijke verwerking van persoonsgegevens in de VS ook voldoet aan alle eisen van Europese en Nederlandse privacywet. Wettelijke meldplicht datalekken en inbreuken Wettelijke meldplichten zijn niet nieuw. Zo kennen we een (strafrechtelijke) meldplicht bij schending van staatsgeheimen. Voor ter beurze genoteerde ondernemingen bestaat een meldplicht ten aanzien van koersgevoelige informatie en van belangen. Maar de trend is stijgend. Zowel de Nederlandse als de Europese wetgever richten zich namelijk in toenemende mate op nieuwe wettelijke verplichtingen voor wat wordt genoemd datalekken en andere digitale veiligheidsincidenten (security breaches). Telecomwetgeving Allereerst gaat het om de nieuwe Telecommunicatiewet, die op 5 juni 2012 van kracht werd. De wet bevat een verplichting voor aanbieders van telecommunicatiediensten inbreuken op de continuïteit van hun dienst (storingen) te melden bij het Agentschap Telecom van het ministerie van ELI. Bovendien moeten deze leveranciers van digitale transportdiensten inbreuken op de beveiliging waarbij persoonsgegevens zijn gelekt, eveneens aangeven bij hetzelfde agentschap, die deze meldingen vervolgens aan de OPTA doorgeeft. Als het datalek naar verwachting ongunstige gevolgen heeft voor de persoonlijke levenssfeer moet de betrokkene (u en ik) ook nog eens direct op de hoogte worden gesteld STICHTING EUROCLOUD NEDERLAND, HAARLEM 14

15 Deze meldplicht wordt smal genoemd, omdat deze alleen op aanbieders van telecommunicatiediensten (een wettelijk begrip in de Europese telecomwetgeving) van toepassing is. Denk aan Internet Service Providers (ISPs) en telecommunicatiebedrijven. Wet bescherming persoonsregistraties Nederland wil verder een algemene ( brede ) meldplicht invoeren voor alle verantwoordelijken voor de verwerking van persoonsgegevens (de zogenoemde data controllers ) in geval van gebleken doorbrekingen van de getroffen maatregelen ter beveiliging van persoonsgegevens. Daarvoor zal een nieuwe bepaling (Artikel 34a) in de Wet bescherming persoonsgegevens worden opgenomen, die gekoppeld is aan de bekende beveiligingsmaatregelen van Artikel 13 WBP ( passende maatregelen zijn voorgeschreven). Met dit wetsvoorstel, dat nu in consultatie is, wil men bereiken dat bedrijven en overheidsorganisaties aan het College Bescherming Persoonsgegevens gaan melden wanneer zij zijn geconfronteerd met een lek in de beveiliging van hun geautomatiseerde verwerking van persoonsgegevens. Ook betrokkenen moeten worden geïnformeerd ( brede meldplicht). Europees privacyrecht Ondertussen heeft de Europese Commissie in januari jl. een voorstel voor een geheel nieuwe privacyverordening (met een rechtstreekse werking in alle 27 lidstaten) ingediend bij het parlement, waarin eveneens een meldplicht ter zake is opgenomen. Vitale infrastructurenrecht Nieuw betreft verder de ophanden zijnde uitbreiding van de meldplicht in het kader van de bescherming van vitale infrastructuren, naar aanleiding van de Motie Hennis-Plasschaert, die zijn grondslag vindt in de DigiNotarzaak. Het gaat bij de meldplicht om security breaches die de continuïteit van de eigen of andermans dienstverlening in belangrijke mate kunnen verstoren en die leiden tot (potentieel) maatschappelijke ontwrichting. In een dergelijk geval is het van belang dat de overheid de beschikking heeft over oplopende sectorale interventie-mogelijkheden om snel en kundig handelen mogelijk te maken. Benoemd zijn de sectoren elektriciteit, gas, 2013 STICHTING EUROCLOUD NEDERLAND, HAARLEM 15

16 drinkwater, telecommunicatie, keren en beheren oppervlaktewater en transport (mainports Rotterdam en Schiphol). De meldplicht zal ook gelden voor de financiële sector en de overheid zelf STICHTING EUROCLOUD NEDERLAND, HAARLEM 16

17 Bijlage: Overzicht normen Bron: Michiel Steltman van Dutch Hosting Providers association (DHPA) Receptuur voor escrow voor opzet en opstart van diensten: waarborging continuïteit waarbij in een cloud klant B diensten van klant A kan overnemen: DHPA: Voor Normen het NIST (National Insitute of Standards and Technology) Terminologie in Cloud Computing: document NIST SP op bovengenoemde website Cloud services reference architecture: documentnistsp computing/pub/cloudcomputing/referencearchitecturetaxonomy/nist_sp_ _- _ pdf DHPA: aanpak van controls via een keurmerk: ng-werkt-aan-keurmerk.html Soorten risico s in de Cloud Bron: Koos Ziere, EDP-auditor ISACA: norm voor Cloud Computing: Center/Research/ResearchDeliverables/Pages/IT-Control-Objectives-for-Cloud- Computing-Controls-and-Assurance-in-the-Cloud.aspx Het bestand is tegen betaling van $ 50,00 (of voor leden van ISACA gratis) te downloaden. Wel kunnen de eerste twee hoofdstukken via Internet worden ingezien. Bron: Maurice van der Woude, bestuurslid EuroCloud Nederland EuroCloud Europa: certificeringsprogramma s voor Cloud geschikt voor kleine én grotere bedrijven en verschillende gradaties (1 tot 5 sterren) STICHTING EUROCLOUD NEDERLAND, HAARLEM 17

18 Bron: John van Huijgevoort van Cloud Security Alliance Whitepaper over risico s in Cloudcomputing van de National Cyber Security Centerhttps:// Achtergrondinformatie mbt cloud-certificering vanuit de Cloud Security Alliance (CSA) en de Nederlands CSA Chapter website vind je hier: CCSK staat voor Certificate of Cloud Security Knowledge. Is een door CSA self-proclaimed certificering voor individuen op het gebied van cloud security. Examen is online en kan door iedereen op ieder moment afgenomen worden tegen een fee van US$295, bestaat uit 50 vragen in 60 minuten met open boek.gebaseerd op: CSA Guidance: ENISA: Info STAR Staat voor Security, Trust & Assurance Register. Zie Het doel is om cloud service providers uit te nodigen om op vrijwillige basis een van de volgende twee rapporten (of beiden) in te vullen en te laten registeren op de STAR website. Deze site is dan toegankelijk voor iedereen die meer inzicht wil krijgen in hoe een cloud provider nu precies relevante cloud security zaken aanpakt. De achterliggende gedachte is meer transparantie aan eindgebruikers te bieden om zodoende meer vertrouwen in de cloud-dienstverlening van de desbetreffende cloud provider te kweken. A. The Consensus Assessments Initiative Questionnaire (CAIQ) ( This which provides industry-accepted ways to document what security controls exist in IaaS, PaaS, and SaaS offerings. The questionnaire (CAIQ) provides a set of over 140 questions a cloud consumer and cloud auditor may wish to ask of a cloud provider. Providers may opt to submit a completed Consensus Assessments Initiative Questionnaire. B. The Cloud Controls Matrix (CCM) ( which provides a controls framework that gives detailed understanding of security concepts and principles that are aligned to the Cloud Security Alliance guidance in 13 domains. As a framework, the CSA CCM provides organizations with the needed structure, detail and clarity relating to information security tailored to the cloud industry. Providers may choose to submit a report documenting compliance with Cloud Controls Matrix STICHTING EUROCLOUD NEDERLAND, HAARLEM 18

19 Zie ook: Bron: Peter H.J. van Eijk Certificering van medewerkers in de Cloud door opleiding tot CompTIA Cloud Essentials Professional ( en Overzicht van certificeringen in de Cloud: Bron: Andre Kwakernaat, oprichter Twinfield Initiatief van SaaS leverancier voor samenvoeging van bestaande certificeringen en normen: Bron: Theo Loth, oprichter en bestuurslid EuroCloud Nederland Code of Conduct van de Cloud Computing Industrie in Nieuw Zeeland Bron: Ton van Bergeijk, standaardisatie consultant, NEN Normcommissie (NC) Distributed Application Platforms and Services Cloud Computing. De normcommissie is opgericht in 2011, volgt de internationale formele standaardisatieontwikkelingen bij ISO/IEC JTC 1/SC 38 Distributed Application Platforms and Services. Aan de hand van de ontwikkeling van de normenwegwijzer Cloud computing, en onderkende zorgpunten is elk half jaar een vergadering met officiële stemmingen. Tussendoor zijn er werkafspraken. De commissie is op 7 september 2012 formeel gestart met de ontwikkeling van een Nederlandse praktijkrichtlijn (NPR 5317) Cloud Computing. Het proces is te volgen via de bovenstaande koppeling. Relevante ISO en ISO/IEC normen zijn openbaar en kunnen nog in 2012, via een NEN Connect abonnement, online worden ingezien STICHTING EUROCLOUD NEDERLAND, HAARLEM 19

20 Conclusie Breed gedragen normering en certificering zijn belangrijk voor de verantwoorde en veilige toepassing van cloud computing. Gebruikers willen immers weten wat de kwaliteit is van de cloud dienstverlener. Die kwaliteit dient aan de hand van erkende normen en standaards getoetst te zijn door een onafhankelijke organisatie. Cloud computing heeft tal van dimensies en aspecten. Dat maakt het lastig om tot cloud-brede, generieke normen en daarmee samenhangende certificeringen te komen. Normen en certificeringen op deelgebieden zijn deels nog volop in ontwikkeling, deels voltooid. Er is nog geen toetsingsorganisatie naar voren gekomen die cloud breed wil dan wel kan certificeren. Evenmin bestaat er een accreditatieorganisatie voor cloud die op haar beurt certificeringsinstellingen beoordeelt en toetst. In specifieke deelgebieden van cloud, bijvoorbeeld met betrekking tot datacenters, ligt dat echter anders. Er wordt op meerdere fronten gewerkt aan verdere normering. Die fronten zijn: de (Europese) wet- en regelgeving; de techniek, en de kennisopbouw. Europese wet- en regelgeving raakt niet alleen de aanbieder, maar ook de gebruiker. Met name het verantwoord omgaan met persoonsgegevens stelt eisen aan de gebruiker. Voor verdere normering en certificering van de technische voorzieningen van cloud computing is in de ICT veel voorwerk gedaan. Bestaande ICT normeringen en certificeringen kunnen een basis zijn voor een meer op cloud gericht stelsel van normen en toetsingen. Certificering van cloud kennis is al ver gevorderd op de weg naar volwassenheid. Diverse organisaties zijn actief om de kennis van professionals te toetsen en te certificeren. Onderwijl speelt gezond verstand een belangrijke rol bij de keuze van de cloud service. Wat is de track record van de dienstverlener, hoe transparant 2013 STICHTING EUROCLOUD NEDERLAND, HAARLEM 20