Het beschermen van de privacy en het beveiligen van gegevens zijn twee aparte dingen, maar het ene kan niet zonder het andere. Persoonsgegevens moeten altijd beveiligd zijn om te voorkomen dat zij ‘op straat komen te liggen’ of in handen komen van onbevoegden of criminelen. Diegenen die wél toegang mogen hebben tot persoonsgegevens, bijvoorbeeld omdat zij gegevens verwerken, moeten echter ook maatregelen treffen om de privacy van mensen te waarborgen. Nu steeds meer organisaties gebruikmaken van clouddiensten rijst de vraag wie er nu precies verantwoordelijk is voor de gegevensbeveiliging en privacybescherming.
Het korte antwoord is: zowel de cloud provider als de klant dragen deze verantwoordelijkheid. In dit blog beschrijven we hoe deze verantwoordelijkheden verdeeld zijn.
Van eigen beheer naar uitbesteding naar de cloud
In het verleden waren de verantwoordelijkheden voor gegevensbeveiliging en privacybescherming duidelijk: een organisatie had de volledige IT-omgeving in eigen beheer, van de hardware tot de software en van de netwerkverbindingen tot de gegevensverwerking. Men legde een verdedigingsmuur om deze omgeving heen in de vorm van een firewall die hackers en cybercriminelen buiten de deur hield. De organisatie had de volledige controle en daardoor ook de volledige verantwoordelijkheid voor gegevensbeveiliging en privacybescherming.
In de afgelopen jaren kozen veel organisaties ervoor om het IT-beheer uit te besteden aan externe dienstverleners. Dat bracht kostenbesparingen en andere efficiëntievoordelen met zich mee. Cloud computing is de overtreffende trap van deze trend. Organisaties investeren niet meer in hardware of software, maar nemen IT-toepassingen af bij een cloud provider en betalen hiervoor naar gebruik. Daarmee geeft men het overgrote deel van de controle over de IT-omgeving uit handen, maar niet de verantwoordelijkheid voor gegevensbeveiliging en privacybescherming.
Het verschil tussen gegevensbeveiliging en privacybescherming
De termen gegevensbeveiliging en privacybescherming worden vaak door elkaar gebruikt, maar verschillen wezenlijk van elkaar. Het verschil tussen gegevensbeveiliging en privacybescherming hangt af van welke gegevens men beschermt, hoe men deze beschermt en tegen wie men deze beschermt. Daar hangt ook vanaf wie er verantwoordelijk is voor die bescherming. Gegevensbeveiliging draait om het voorkomen dat er gegevens worden blootgesteld aan bedreigingen. Bij privacybescherming moet ervoor worden gezorgd dat de gevoelige gegevens conform de privacywetgeving met toestemming van de eigenaar wordt verwerkt, opgeslagen en verstuurd. Kort gezegd: de beveiliging beschermt gegevens en de privacy beschermt identiteiten.
Nu organisaties steeds vaker andere partijen zoals cloud providers inschakelen om persoonsgegevens te verwerken, moeten deze gegevensverwerkers voldoende maatregelen treffen om de gegevensbeveiliging en privacybescherming te waarborgen. Organisaties blijven namelijk volgens de AVG zelf verantwoordelijk voor de naleving van de privacywetgeving.
Wat zeggen cloud providers over de beveiliging en privacy?
Cloud providers beschrijven hun beleid voor gegevensbeveiliging en privacybescherming in hun algemene voorwaarden. Het Britse kennisplatform LSE Business Review onderzocht in 2019 wat de cloud providers precies vermelden over wat zij doen met de gegevens die zij verzamelen. Uit dit onderzoek blijkt dat de meeste cloud providers gegevens verzamelen over de gebruikers zelf (bijv. hun naam en adres), de logbestanden van servers of cookies van browsers, gegevens over hun eigen diensten en gegevens over de mobiele apparaten van gebruikers. In de meeste gevallen (81 procent) stellen de cloud providers dat zij deze gegevens mogen delen met derden of met instellingen voor wetshandhaving of inlichtingendiensten. Hoewel de meeste providers (81 procent) gegevens delen met zakelijke partners, vereist slechts 28 procent van hen dat deze partners dezelfde maatregelen hanteren voor de gegevensbeveiliging en privacybescherming.
Volgens LSE maken de algemene voorwaarden relatief weinig woorden vuil aan privacy (gemiddeld 9,7 procent van de volledige tekst) en aan de maatregelen die cloud providers treffen voor gegevensbeveiliging en privacybescherming. In de meeste gevallen gaat het om een verklaring dat men de beveiliging en privacy beschermt. Slechts enkele cloud providers geven ook aan hoe zij dit doen, bijvoorbeeld met opgave van specifieke maatregelen zoals gegevensversleuteling en/of firewalls. Slechts 2 procent van de cloud providers die LSE onderzocht verklaart dat zij gebruikmaken van onafhankelijke auditors om de beveiligingspraktijken te toetsen.
Elke organisatie dient daarom de algemene voorwaarden van de cloud providers goed door te lezen. Zo bleken de algemene voorwaarden van Microsoft (de Microsoft Business Services Agreement, MBSA) voor het gebruik van online diensten door de Rijksoverheid te veel tekortkomingen te bevatten. SLM maakte daarom afspraken met Microsoft om deze aan te passen. Deze afspraken zijn vastgelegd in een amendement. Zodoende ontstond een rijksbrede MBSA die ervoor zorgt dat Microsoft de privacywetgeving naleeft en de producten en online diensten van Microsoft door overheidsorganisaties gebruikt kunnen worden in overeenstemming met de AVG.
Verantwoordelijkheden ten aanzien van de gegevensbeveiliging
Een cloud provider stelt voor zijn diensten de benodigde infrastructuur beschikbaar. Dit zijn de hardware en software, de processen en klantgegevens die nodig zijn om de dienst te kunnen leveren. De klant neemt binnen deze infrastructuur een ‘ruimte’ af. Dit kan gaan om een eigen fysieke server of een deel van een virtuele server. Binnen deze ruimte kan men gegevens opslaan en verwerken met applicaties die men daarvoor zelf installeert of afneemt via de ‘marktplaats’ van de cloud provider. In een traditioneel datacenter is de eigenaar verantwoordelijk voor de gegevensbeveiliging en privacybescherming binnen de hele omgeving. Dus ook wat betreft de applicaties, de fysieke servers, het gebruikersbeheer en zelfs de fysieke beveiliging van het gebouw. In een cloudomgeving neemt de cloud provider een aantal van deze operationele taken over van de gebruiker.
Beide partijen verzamelen en verwerken bedrijfs- en persoonsgegevens. De gegevensbeveiliging en privacybescherming vormen daarom een gedeelde verantwoordelijkheid tussen de cloud provider en de klant. Welke verantwoordelijkheden bij de klant liggen en welke bij de cloud provider, hangt af van de vorm van cloud computing die men afneemt: Software as a Service (SaaS), Platform as a Service (PaaS), Infrastructure as a Service (IaaS) of een datacenter in eigen beheer.
De grote hyperscalers, zoals Microsoft Azure, Google Cloud Platform en Amazon Web Services, hanteren een zogenoemd ‘shared responsibility’-model (model voor gedeelde verantwoordelijkheid) ten aanzien van gegevensbeveiliging. Dit omschrijft wie verantwoordelijk is voor welke beveiligingsmaatregelen. Elke partij moet daarbij de volledige controle kunnen behouden over dat deel van de apparaten, applicaties, processen en functies waarvoor men verantwoordelijk is. In theorie moet dit model zorgen voor duidelijkheid en transparantie. Het is echter raadzaam voor elke organisatie om het model van de cloud provider grondig te bestuderen om vast te stellen of en hoe men voldoet aan de regels van de AVG.
Afbakenen van de grenzen binnen een shared responsibilitymodel
In het shared responsibilitymodel dragen klanten ook verantwoordelijkheden voor de gegevensbeveiliging en privacybescherming van de applicaties, gegevens, containers en taken die zij naar de cloud verplaatsen. Cloud providers nemen dus wel enige verantwoordelijkheid, maar niet alle. Het vaststellen van de grens tussen deze verantwoordelijkheden is essentieel voor het verminderen van de kans op kwetsbaarheden in publieke, hybride en multicloudomgevingen.
Het is niet altijd duidelijk waar de verantwoordelijkheid voor de ene partij eindigt en voor de andere partij begint. In zijn shared responsibility-model heeft AWS bijvoorbeeld de verantwoordelijkheid voor “het beschermen van de hardware, software, netwerken en faciliteiten waarop de clouddienst van AWS draait”. Microsoft Azure neemt de verantwoordelijkheid op zich voor de beveiliging van “fysieke hosts, netwerken en datacenters”. Zowel AWS als Azure verklaren dat de klant afhankelijk van de gekozen diensten verantwoordelijkheden op zich neemt voor de beveiliging.
De verantwoordelijkheid van de klant
Welke vorm de clouddienst ook heeft (SaaS, IaaS, PaaS, etc.), de klant is altijd verantwoordelijk voor de beveiliging van alles waarover men directe controle heeft, zoals:
- Bedrijfsgegevens: De klant behoudt de controle over informatie en gegevens en bepaalt hoe en wanneer de gegevens worden gebruikt. De klant dient deze gegevens daarom zelf te beveiligen.
- Applicaties: De klant is verantwoordelijk voor de beveiliging van de eigen applicaties die men op de cloudomgeving installeert en van alle bedrijfssystemen die daarmee verbonden zijn. Dit zijn onder meer de eigen infrastructuur, de apparaten van gebruikers, netwerken en applicaties, de verbindingen tussen interne en externe gebruikers, met de cloud en naar elkaar. De klant moet ook zelf een systeem opzetten voor het monitoren op, waarschuwen voor en reageren op aanvallen en incidenten.
- Toegang: De klant is verantwoordelijk voor alle facetten van identity & access management (IAM) voor het beheer van toegang tot de systemen. Men dient bijvoorbeeld mechanismes te implementeren voor authenticatie en autorisatie, single sign-on (SSO), multi-factorauthenticatie (MFA), toegangssleutels en -tokens, certificaten en processen voor het aanmaken van gebruikers en het wachtwoordbeheer.
- Configuraties: De klant beheert zijn eigen cloudomgeving die zich bevindt op een eigen, fysieke server of op een virtuele server in het datacenter van de cloud provider. Een fysieke server vereist meer handmatig beheer van de beveiliging en vraagt om het versterken van besturingssystemen en applicaties, het onderhouden van beveiligingsupdates en -patches, etc. Deze situatie is eigenlijk hetzelfde als bij een fysieke server op de eigen locatie. Voor virtuele omgevingen biedt het beheerpanel van de cloud provider toegang tot de omgeving en is de klant verantwoordelijk voor het veilig configureren van de virtuele server en alle applicaties die daarop geïnstalleerd zijn.
De verantwoordelijkheid van de cloud provider
De cloud providers blijven volledig verantwoordelijk voor de beveiliging van:
- De virtualisatielaag: De voorziening van serverruimte door middel van virtualisatie zoals de segmentatie van processoren en schijfruimte, opslag en geheugen om gebruikers, applicaties en gegevens te beschermen. Deze laag fungeert als een toegangspoort tot de omgeving en als een hekwerk daarom heen. De cloud provider is daarom verantwoordelijk voor de beveiliging tegen potentieel misbruik of inbraak, zowel vanuit de gebruikersomgeving van de klant als vanuit het datacenter van de cloud provider.
- De fysieke omgeving: De cloud providers zijn verantwoordelijk voor de bescherming van hun datacenters en alle hardware en software die zich daarin bevindt. Dat gaat niet alleen om beveiliging tegen aanvallen en inbraken op de infrastructuur. Het gaat ook om fysieke beveiliging en maatregelen om verstoring van de dienstverlening te voorkomen en oplossingen te bieden voor met maken van back-ups en herstellen van gegevens.
Verantwoordelijkheden ten aanzien van privacybescherming
Het shared responsibility-model draait vooral om gegevensbeveiliging. Zoals gezegd kan privacybescherming niet zonder gegevensbeveiliging, maar er is meer nodig om ervoor te zorgen dat de integriteit van persoonsgegevens gewaarborgd blijft en dat misbruik wordt voorkomen. Ook in dit geval delen de klant en de cloud provider verantwoordelijkheden. De klant bepaalt als gegevensverantwoordelijke de doeleinden waarvoor en de middelen waarmee de cloud provider als gegevensverwerker met de persoonsgegevens omgaat.
Het is daarom ook voor privacybescherming raadzaam om de algemene voorwaarden van de cloud provider nog eens door te lezen. Dat geldt ook voor de contracten en service level agreements (SLA’s). Deze beschrijven soms meer dan alleen een garantie van hulp en ondersteuning in het geval van een incident. Een cloud provider kan zichzelf aanmerken als gegevensverantwoordelijke op basis van diens algemene voorwaarden, contracten, SLA en de addenda die daaraan zijn toegevoegd..
De cloud provider verwerkt als gegevensverwerker persoonsgegevens echter uitsluitend namens de gegevensverantwoordelijke, oftewel de klant. De taken die de gegevensverwerker ten behoeve van de gegevensverantwoordelijke uitvoert moeten in de verwerkersovereenkomst worden gespecificeerd. Zo moet in deze overeenkomst bijvoorbeeld worden aangegeven wat er met de persoonsgegevens gebeurt na beëindiging van de overeenkomst. Deze overeenkomst stelt ook de regels op voor het uitbesteden van taken door de gegevensverwerker aan een subverwerker. SLM heeft dat voor de Rijksoverheid met Microsoft goed geregeld, maar met Google is men nog niet zo ver.