Continuïteit van de business is afhankelijk van infrastructuren die door derden worden aangeboden. Als je dat goed wil managen, wil je de zekerheid dat jouw dienstverlener die kan bieden en vooral ook vertrouwen. Hoe dit in Nederland en Europa concreet vorm moet krijgen is het grote vraagstuk waar de Online Trust Coalitie (OTC) zich op heeft gestort. Waarom werkt de traditionele manier van denken over continuïteit en zekerheden niet in de nieuwe informatiewaardeketen?
Uit recent onderzoek van de DHPA [1] blijkt dat 75% van de Nederlandse mkb-ondernemers één of meer clouddiensten gebruikt. En over twee jaar is er volgens de onderzoekers geen bedrijf meer te vinden dat IT nog volledig in eigen beheer organiseert. De coronacrisis, met daarbij het massale thuiswerken, versnelt die ontwikkeling. We zijn steeds meer afhankelijk van de cloud. Ook de Europese commissie herkent het groeiend belang van clouddiensten voor innovatie en digitalisering. Zij zet stevig in op ontwikkeling en gebruik van clouddiensten van Europese bodem, mede vanuit de wens voor meer autonomie.
Om clouddiensten te gebruiken heb je alleen een internetaansluiting en een creditcard nodig. Maar voor de doorsnee afnemer is het een stuk minder eenvoudig om zekerheid te krijgen dat het met die cloud goed zit. Vaak worden simpele vragen gesteld zoals ‘is het veilig’, of ‘waar staat mijn data’. Maar zekerheid gaat om het hele pakket: vertrouwelijkheid, informatiebeveiliging, beschikbaarheid en continuïteit, integriteit en uiteraard ook conformiteit met de AVG. Daar komt bij dat de afnemer zelf ook het een en ander moet doen om de bekende CIA-triade plus de wettelijke conformiteit van het geheel met de wet te borgen. Vaak is onvoldoende duidelijk wat dat dan inhoudt. Nog ingewikkelder wordt het als de afgenomen clouddiensten worden gebruikt als onderdeel van eigen onlinediensten, iets dat bij digitalisering volop gebeurt. De afnemer wordt dan onderdeel van een keten en heeft te maken met vragen zowel als doorgeven en
aggregeren van zekerheden naar ‘boven’.
Welke clouddienst is geschikt?
Aanbieders van clouddiensten beloven zonder uitzondering dat die zaken bij hen prima geregeld zijn. In de meeste gevallen is dat ook zo. Toch gaan afnemers, zeker de grotere, er in de praktijk niet altijd van uit dat de claims, verklaringen of certificaten van providers voldoende zekerheid geven. Dat komt doordat managementsystemen en certificaten ontworpen en bedoeld zijn om de aanbieder, en niet afnemers zekerheid te geven. Daarom is het erg ingewikkeld en duur voor afnemers om te kunnen beoordelen of een clouddienst geschikt is voor hun situatie, en of die past bij hun risicoprofiel. Deze kwestie wordt nog urgenter doordat het Europese Hof onlangs het Privacy Shield [2] ongeldig heeft verklaard. Afnemers van clouddiensten kunnen er niet langer op rekenen dat in ketens waarin Amerikaanse aanbieders zijn betrokken hun data conform de Europese privacywet wordt beschermd. Afnemers constateren daardoor dat de claims van hun leveranciers en hun auditors niet helemaal juist bleken te zijn, los van wiens schuld dat is. Tot overmaat van ramp leggen de Europese en Nederlandse privacy-autoriteiten dat probleem volledig bij de afnemers neer. Met het advies om uit te zoeken bij wie en waar data terecht kan komen en hoe het met de wetgeving bij die bedrijven en landen is geregeld. Bij twijfel moeten ze het gebruik van die diensten zelfs onmiddellijk stoppen.
Die verplichting om dit alles voor de tientallen clouddiensten die een gemiddeld bedrijf gebruikt uit te zoeken, te controleren en te regelen, en de oproep om clouddiensten bij twijfel dan niet meer te gebruiken, zijn onuitvoerbaar. Het CIO Platform Nederland, een samenwerking van onder andere ITmanagers van 130 grote organisaties, stelde vorig jaar in een brandbrief aan de privacy-autoriteiten dat het auditen van clouddiensten en hun leverancierketens ondoenlijk is. Zeker als dit ook nog eens periodiek herhaald zou moeten worden. Daarbij komt dat het idee dat bedrijven zomaar de stekker uit hun clouddiensten kunnen trekken volstrekt onrealistisch is.
Cloud is een buitenbeentje
Het onderliggende probleem is dat ‘de cloud’ een buitenbeentje is in de AVG, maar ook in de praktijk van certificeringen. Beiden gaan uit van het COBIT-model dat stamt uit de periode voor de cloud. Afnemers hebben dan zelf de volledige regie over hun IT, want computers en software werden gekocht en beheerd binnen de eigen organisatie. Of hooguit door ingehuurde leveranciers, maar daardoor nog steeds onder eigen regie. Inmiddels bestaat de digitale economie uit een omgekeerde keten van control. Niet de afnemer maar de aanbieder bepaalt de functionaliteit, de beveiliging, privacy en andere eigenschappen van een clouddienst. De afnemer heeft slechts de keuze: is een dienst wel of niet geschikt. En moet deze afweging maken op basis van moeilijk toegankelijke of onvolledige informatie; informatie die daar eigenlijk niet voor is bedoeld. En zonder hulp van de privacy-autoriteiten. Kortom, de vermeende topdown-regie over onlineketens is fictie en afnemers krijgen die regie ook niet meer terug.
Zekerheid
Ruim twintig organisaties vanuit de overheid, bedrijfsleven en wetenschap hebben dit probleem herkend en zijn gestart met de Online Trust Coalitie (OTC). De OTC wil laagdrempelige, standaardmethoden ontwikkelen die de afnemers van clouddiensten duidelijkheid geven over de betrouwbaarheid en veiligheid, en die voor aanbieders eenvoudig te hanteren zijn. De essentie is dus niet de betrouwbaarheid zelf, zoals ontwikkelen van het zoveelste framework, maar het zorgen voor de betere methoden en informatie over betrouwbaarheid in digitale ketens. Deelnemers in de OTC zijn momenteel betrokken in Europese werkgroepen rond certificering en er zijn contacten gelegd met het Duitse project Gaia-X [4]. Later dit jaar publiceert de OTC een whitepaper met aanbevelingen voor relevante stakeholders.
Goede methoden om afnemers zekerheid te geven over de betrouwbaarheid van clouddiensten maakt het gebruik ervan, en daarmee digitalisering, laagdrempeliger. Dat is hard nodig voor de ambitie van Nederland om digitale koploper in Europa te worden.
De Online Trust Coalitie roept organisaties op om deel te nemen en met elkaar de digitale economie van Nederland in de internationale context te versterken. Aanmelden kan via: info@ onlinetrustcoalitie.nl.
Referenties
[1] www.trustedcloudexperts.nl/driekwart-van-nl-bedrijfsleven-heeft-saasapplicaties/
[2] Het EU-U.S. Privacy Shield is een overeenkomst tussen het Amerikaanse ministerie
van Economische Zaken en de Europese Commissie over de uitwisseling van
persoonsgegevens tussen bedrijven in de EU en de VS.
[3] https://ecp.nl/timeline/lancering-otc/
[4] www.dhpa.nl/gaia-x/