Hoe veilig is onze data en hoe gaan de bewaarders hiermee om?

De eeuwige discussie over wel of geen cloud implementeren blijft zich concentreren over hoe de bewaarders van de data omgaan met die data en welke maatregelen zij hebben getroffen om te zorgen dat data niet zomaar benaderd kan worden. Niet alleen vanuit de consumenten zijn hier zorgen over, al wordt juist die doelgroep geholpen door wetgeving, maar ook vanuit het bedrijfsleven, de business-to-business markt, ontstaan groeiende zorgen over de hoeveelheid data die geproduceerd wordt en hoe met name Cloud bedrijven die deze data in bewaring hebben, hiermee omgaan. 

Eind augustus 2015 heeft EuroCloud Nederland de resultaten gepubliceerd van de Nationale EuroCloud Monitor. In deze monitor werd vooral de huidige cloud situatie vergeleken met die van 2012, toen de monitor voor het eerst werd uitgevoerd. Vanuit de resultaten van beide monitoren konden vooral twee conclusies getrokken worden:

1. Het gaat nog niet zo hard met de implementatie van Cloud in het bedrijfsleven
2. Security en Privacy staan nog steeds onveranderd op positie 1 en 2 van zorgen

Wat in ieder geval goed is, en wat overal blijkt, is dat Cloud op de agenda's blijft staan. Er is echter een groeiend besef dat niet altijd even duidelijk is wat er met opgeslagen data in de cloud gebeurt, wat uiteindelijk weer leidt tot een voorzichtige benadering ten opzichte van Cloud en de implementatie van Cloud oplossingen binnen de onderneming. Een voorzichtige conclusie die men hieruit zou kunnen trekken, is dat de groei van cloud geremd wordt door vraagstukken over de veiligheid van de gegevens.

Maurice van der Woude

Als we denken dat het bij de consumenten beter geregeld is en dat men zich daar allerminst zorgen hoeft te maken, dan volgt ook hier een teleurstelling: Bijna de helft (48 procent) van alle consumenten is wantrouwig over de manier waarop bedrijven omgaan met hun gegevens. Een op de vijf consumenten vertrouwt geen enkel bedrijf om zijn informatie veilig op te slaan. Bedrijven hebben dan ook een lange weg te gaan om het consumentenvertrouwen op te bouwen.

Dat blijkt uit onderzoek dat Verint, leverancier van Actionable Intelligenceoplossingen, uitvoerde in 2015 in samenwerking met analyse en consultancybureau Ovum en het Britse onderzoeksbureau Opinium onder meer dan 18.000 consumenten in negen verschillende landen, waaronder Nederland.

Zoals blijkt uit bovenstaande kampen niet alleen bedrijven met vraagstukken over de veiligheid van data en de zorgen daaromtrent, consumenten hebben blijkbaar dezelfde zorgen. Maar wat kan de industrie eraan veranderen dat vertrouwen toeneemt? Moeten we ons overleveren aan wetten die onze data moeten beschermen? De nationale en Europese wetmakers zijn daar vrij helder in; waar het gaat om persoonsgegevens is bescherming wettelijk geregeld. Daar waar het gaat om veiligheid van bedrijfsdata lijken we allemaal op onszelf aangewezen. Er is echter wat verlichting op dit vlak: Het Europese parlement heeft op 15 december 2015 een voorlopig akkoord bereikt die handelt over de bescherming van bedrijfsgeheimen (http://www.europanu.nl/id/vjzvhmvxnix5/nieuws/bescherming_van_bedrijfsgeheimen?ctx=vg9pijs4vzzn). Dit komt naast de Nederlandse auteurswet en burgerlijk wetboek waarbinnen, met mogelijk een wat ruimere interpretatie, ook data diefstal verboden is. 1 januari 2016 ging de Wet meldplicht datalekken in. Deze wet behelst een breed scala aan regels die ervoor moeten zorgen dat data waarin persoonsgegevens verwerkt worden veiliger bewerkt en verwerkt worden en dat het lekken ervan, bedoeld en onbedoeld, tot forse boetes kan leiden indien het lek niet gemeld wordt. De meldplicht datalekken is vrij breed gedefinieerd, waardoor elke organisatie waar een datalek plaatsvindt, met de meldplicht te maken kan krijgen. Voorbeelden van datalekken zijn het verlies van een USB stick waarop persoonsgegevens staan, het onbedoeld delen van persoonsgegevens of, meer voor de hand liggend, een hack waarbij persoonsgegevens buit gemaakt worden. Ook het (per ongeluk) verwijderen van persoonsgegevens of verlies daarvan door schade (zoals brand) waarbij geen back-up beschikbaar is, worden gezien als datalekken. Het meest extreme voorbeeld betreft een e-mail die verstuurd wordt naar een zakelijke bekende, waarbij in de CC een adres wordt opgenomen van een persoon die bij 1 van de 2 partijen niet bekend is en die geen toestemming voor het zichtbaar maken van zijn/haar e-mailadres gegeven heeft. Formeel is dit al een datalek.

De wet datalekken is een puur Hollandse aangelegenheid en zorgt er in ieder geval voor dat bedrijven zorgvuldiger met data om dienen te gaan. Binnen diverse Europese lidstaten zit men nog steeds met de verouderde ‘data protection directive’ uit 1995 of heeft men aanpassingen gepleegd om meer aan de eisen van de huidige tijd te kunnen voldoen. Vanuit de Europese commissie is men bezig om de ‘General Data Protection Regulation’ in 2018 definitief te maken en te implementeren binnen de Europese lidstaten. Tot het zover is, zullen we in ieder geval met de wet meldplicht datalekken te maken hebben die, zoals aangegeven, voorlopig meer op het privacy vlak zit dan op algemene bedrijfsdata.

Consumenten, maar ook business users, lijken hiermee in ieder geval veilig te zijn waar het hun eigen persoonsgegevens betreft. Over de veiligheid van overige bedrijfsdata, de data die geen persoonsgegevens bevat, zoals financiële gegevens, staat momenteel nog te weinig op de agenda. Ten aanzien van het onrechtmatig verkrijgen van bedrijfsdata, kom je al snel op het domein van hacking, diefstal en dergelijke.

Bedrijven kiezen momenteel vooral voor veiligheidslabels, zoals ISO27001, de standaard voor Informatiebeveiliging, om aan te tonen dat zij veilige hoeders van data zijn. Dit label is vooralsnog een van de weinige mogelijkheden om aan de buitenwereld te tonen dat de onderneming veilig genoeg is bevonden door aan een veiligheidsnorm te voldoen. Het creëren van vertrouwen en het bieden van veiligheid van data, lijkt echter voorlopig nog steeds iets te zijn waar bedrijven vooral zelf in moeten investeren. Niet alleen in de voorzieningen en labels maar ook in de boodschap daaromtrent.

Maurice van der Woude is vicevoorzitter van Stichting EuroCloud Nederland en CEO bij BPdelivery