Partnering Trust


Elke moderne organisatie gebruikt diensten van online aanbieders. Voor e-mail, de boekhouding in de Cloud, e-commerce, logistiek of opslag van data. Tegelijkertijd brengt het gebruik van externe online diensten extra complexiteit met zich mee als het gaat om conformeren aan de verplichtingen van wet- en regelgeving.

Een online dienst van een organisatie kan bestaan uit software; een platform met een (virtuele) servers; een of meer datacenters en een netwerk infrastructuur dat afhankelijk van de benodigde capaciteit, snel kan worden veranderd. Een keten van diensten die deels virtueel en deels fysiek is.  De betreffende afnemer heeft de wettelijke verplichting om te zorgen dat de eisen op het gebied van veiligheid en privacy bij al de ketenpartners in die online diest goed worden nageleefd. Dat leidt tot veel maatwerk, herhaalde inspecties of controles bij aanbieders door elke afnemer. Of tot het in sommige gevallen ongefundeerde vertrouwen dat de claims, toezeggingen of certificaten van de leverancier alle nodige zekerheden geven. 

Partnering Trust

Partnering Trust is een privaat-publiek project met als doel het realiseren van gecodificeerde assurance. Een aanbieder van een digitale dienst kan assurance bieden aan zijn afnemers, door een EDP-auditor een conclusie te laten opstellen die er specifiek op gericht is om de beoogde gebruikers van de dienst het vertrouwen te geven dat alles wat er nodig is, onafhankelijk en op een verifieerbare manier is gecontroleerd.
Het project richt zich op aanbieders van online diensten, op organisaties die assurance keurmerken kunnen en willen ontwikkelen, op sector-organisaties die voor hun deelnemers laagdrempelige assurance-keurmerken zoeken en op een variëteit van andere stakeholders die kunnen bijdragen aan het concept van assurance.

Aanbieders van online diensten moeten in staat worden gesteld om tegen lage kosten, en EU breed, de door hun afnemers gevraagde zekerheden aan te tonen. Daartoe moeten zij de toegang krijgen tot assurance-keurmerken, moet de markt die ontwikkelen.

Afnemers moeten kunnen vertrouwen op de kwaliteit van breed erkende en onafhankelijke keurmerken en verklaringen over de diensten van leveranciers. Zodat zij op hun beurt aan de voor hen geldende wettelijke verplichtingen op het gebied van vertrouwelijkheid, juridische bewijskracht van data, continuïteit, en wettelijke eisen zoals privacywetgeving, de Europese Cybersecurity Act of andere vaak nationale of sectorale wetgeving, kunnen voldoen.

VOORUITZICHT 2020

Partnering Trust richt zich op het realiseren van het concept “gecodificeerde assurance”. Stakeholders worden geïnformeerd over de samenhang tussen de CSA, AVG en WBNI, en de noodzaak van voldoende zekerheid voor alle partijen. Dat betekent dat aanbieders, afnemers en organisaties die hen vertegenwoordigen in beweging moeten komen om vraag en aanbod van assurance te realiseren.
In 2020 richt Partnering Trust zich op die beweging.

  • Afnemers moeten worden geholpen bij het formuleren van de juiste assurance-vragen
  • Aanbieders moeten worden gemotiveerd om assurance-keurmerken te gaan hanteren
  • Partnering Trust stimuleert de ontwikkeling van assurance-keurmerken door onafhankelijke partijen
  • Overheid en toezichthouders moeten worden geïnformeerd over een werkbare invulling van assurance.
  • Partnering Trust richt zich op de werkgroepen in EU-verband die zich bezighouden met de CSA en op toezichthouders die verantwoordelijk voor de handhaving van AVG en WBNI

Een variëteit van stakeholders in publieke en private sector worden geïnformeerd over de problematiek en de oplossing

In 2020 heeft Partnering Trust de ambitie om de “Partnering Trust gedachte” te verankeren binnen de sectoren onderwijs en overheid; de “Partnering Trust werkwijze” te verankeren in de uitwerking van de EU CSA, en de Nederlandse toezichthouders Autoriteit Persoonsgegevens en Autoriteit Telecom mee te nemen in de gedachte dat assurance hun toezichtstaken kan vereenvoudigen.

Resultaten

2019

In de zomer van 2019 heeft de CSP-Cert (Cloud Service Provider Certification )-werkgroep haar aanbevelingen gepresenteerd aan ENISA (Europees Agentschap voor netwerk- en informatiebeveiliging) en de Europese Commissie inzake een Cloud security certificatieschema. Publieke en private afgevaardigden uit diverse landen hebben zich een half jaar lang gebogen over hoe het schema eruit moet komen te zien. Tom Vreeburg, Bianca Smit en Bart Tuinsma  zijn actief betrokken geweest als schrijver en penvoerder van verschillende onderdelen van het schema.
In april 2019 heeft een plenaire sessie plaatsgevonden in Berlijn rond deze aanbevelingen. Hier heeft de CSP-Cert WG een update gegeven van hun werk tot nu toe aan de Europese Commissie en zijn de eerste twee milestones op weg naar het advies opgeleverd. [

In het najaar 2019 hebben Tom Vreeburg, Bianca Smit en Bert Tuinsma, samen met de NOREA (de beroepsorganisatie van IT-auditors) en diverse medeauteurs uit andere lidstaten, de aanbevelingen in verschillende Europese gremia onder de aandacht gebracht door presentaties en bijdrage aan gesprekken.

In oktober 2019 heeft Exact het keurmerk Zeker-Online uitgereikt gekregen. Met deze stap kan Exact deelnemen aan het pilotproject van de Belastingdienst. Exact is één van de marktleiders in de sector en was vanaf het begin nauw betrokken bij het ontwikkelen van het certificeringsschema.

Binnen Nederland is Partnering Trust actief in de werkgroep CCV (Centrum voor Criminaliteitspreventie en Veiligheid), voor het ontwikkelen van veiligheidsprofielen en certificeringen. Bij de Autoriteit Persoonsgegevens en Autoriteit Telecom vorderen er gesprekken over de rol van Partnering Trust in toezicht. Met de zorg, onderwijs en overheid zijn er pilots in voorbereiding. Partnering Trust heeft diverse presentaties gegeven, onder andere bij het iBestuur-congres en het platform zelfstandig ondernemen.

NOREA, heeft het Partnering Trust gedachtengoed geadopteerd door actief te participeren in het schrijven van CSP-CERT aanbevelingen en zitting te nemen in de Europese stakeholdersgroep die ENISA adviseert bij het ontwikkelen van een Europees certificeringsschema.

Het Forum Standaardisatie is voornemens het onderwerp assurance en de CSA (Cyber security Act) op te nemen in het jaarplan van 2020 , na presentaties en discussies over de aanstaande ontwikkelingen rond de CSA in de forumvergaderingen door Michiel Steltman. Voor het Forum is het van belang om de ontwikkelingen ronde CSA te volgen, en te beoordelen of de bijbehorende standaarden verplicht moeten of kunnen worden gesteld voor de publieke sector.

Er is intensief contact met het CIO-Platform sinds de brandbrief aan het kabinet in september 2019. Daarin stond de onzekerheid rond en de kosten van compliance met wet- en regelgeving bij het gebruik van online diensten voor grote organisaties centraal en het afbreukrisico dat dat vormt.

2018

Het Ministerie van Economische Zaken en Klimaat heeft de Roadmap Digitaal Veilige Hard- en Software uitgebracht. In de dit rapport zijn maatregelen bijeengebracht die moeten leiden tot een aanzienlijke verbetering van de digitale veiligheid van hard- en software.

In 2018 namen Tom Vreeburg, Bianca Smit en Bert Tuinsma (allen van Zeker-Online) deel aan de Europese werkgroep certificering van Enisa. Hiermee is een belangrijke stap gezet in de uniformering binnen Europa.

In juli 2018 heeft er een plenaire sessie plaatsgevonden in Parijs, waarbij twee presentaties zijn gegeven. Een over ‘One European Cloud Security Certification Scheme for the EU?’ , de ander over Certification Schemes for Cloud Computing: Results.

In navolging van de Parijs-bijeenkomst heft de CSP-Cert WG de eerste mijlpaal ‘To Agree on a Comprehensive set of Underlying Detailed Security Objectives’ bereikt voor de plenaire sessie in oktober in Rome.  Tijdens de sessie werd er een presentatie gegeven over ‘Proposal for an European Cloud Security Certification Scheme fort he EU.

Binnen Nederland zijn er grote stappen gemaakt met het bieden van zekerheid voor afnemers. Zo heeft Flexkids als eerste applicatie voor kinderopvang het keurmerk Zeker-Online in ontvangst mogen nemen.

Op 15 november 2018 vond het Jaarcongres van ECP plaats. Tijdens dit congres hebben Michiel Steltman, Tom Vreeburg uitgelegd hoe Partenering Trust met het keurmerk Zeker-Online heeft geholpen om aanbieders van boekhoudpaketten laagdrempelig aan te sluiten op de systemen van de Belastingdienst

2017

Tijdens de eerste dag van de One Conference in Den Haag gaven ECP-adviseur Jelle Attema, Bianca Smit (Zeker-OnLine), Michiel Steltman (DINL), Thomas Niessen (Kompetenznetzwerk Trusted Cloud) en Jeroen van Schaijk (BDO) een presentatie over ‘Partnering Trust’: het regelen van vertrouwen in de keten.
Op initiatief van Zeker-OnLine, de Belastingdienst en ECP | Platform voor de InformatieSamenleving is eind 2017 de Belastingdienst samen met verschillende softwareleveranciers en het keurmerk Zeker-OnLine een proef begonnen ‘Betalen, boekhouden en belastingaangifte doen in één’. De proef heeft als doel te toetsen of zzp’ers meer gemak en zekerheid ervaren bij het gebruik van een online boekhoudapplicatie. Hierdoor kunnen zzp’ers gemakkelijker hun eigen belastingzaken regelen. De eerste resultaten hebben laten zien dat zzp’ers meer gemak, overzicht en duidelijkheid ervaren. De gebruikersonderzoeken lopen tot eind november 2019.

In december 2017 werd tijdens de Digital Single Market (DSM) Cloud Stakeholder-bijeenkomst in Brussel de aftrap gegeven door cloud-experts en professionals voor het opstellen van een ‘self-regulatory code of conduct for data porting and switching cloud providers and on a cloud security certification scheme’. Hier werd de presentatie gegeven ‘Certification Schemes for Cloud Computing’ .

 

2016

In de governance zijn in 2016 belangrijke stappen gezet: door deelnemende partijen is gekozen voor governance door de Stichting Zeker-OnLine: de statuten en reglementen zijn aangepast. Met de NOREA (de beroepsorganisatie van IT-auditors ) is in 2016 een compromis bereikt zodat IT-auditors de auditstandaard mogen gebruiken en op elkaars verklaringen mogen steunen: een cruciaal element in Partnering trust. Gebruik wordt gemaakt van de “best practice” bij DigiD-audits, waar gemeenten niet meer elk een auditor de opdracht hoeven te geven een datacentrum te inspecteren, maar ook op de verklaring van derden mogen leunen. Op het gebied van software zijn portalen en salaris het certificeringstraject in gegaan.

Tijdens de tweede Frans – Duitse conferentie over digitale economie in Berlijn in december hebben de keurmerken Zeker-OnLine (Nederland), Label Cloud (Frankrijk) en Trusted Cloud (Duitsland) een overeenkomst getekend voor samenwerking. Doel van de overeenkomst is om MKB-ers in Europa zekerheid te geven over de kwaliteit en betrouwbaarheid van online diensten. Samen met de Europese Commissie werken deze landen aan Europese harmonisatie van eisen aan online diensten.

 

2015

In 2015 lag de focus op het opstellen van generieke veiligheidseisen, het vaststellen van een baseline aan infrastructuur en platform en op het ontwikkelen van de auditstandaard waarmee garanties kunnen worden afgegeven op de veiligheid van de diverse onderdelen van een dienst. In 2016 zijn deelcertificeringen op de platform- en infrastructuurlaag voor housing en hosting-partijen ontwikkeld. Op het gebied van software zijn nieuwe certificeringen ontwikkeld voor portalen en salarissoftware. Voor MKB-ers is een keuzetool gepubliceerd op veiliginternetten.nl, waarin de voor ondernemers relevante aspecten bij de keuze van een clouddienst zijn benoemd. Denk daarbij aan aspecten als ‘wat gebeurt er met uw data als uw bedrijf failliet gaat en u niet meer kunt betalen?’ of ‘zijn er afdoende maatregelen getroffen zodat u geen hinder ondervindt wanneer een andere klant van het datacenter wordt gehackt?’. In de keuzetool wordt duidelijk wat de relevante vragen zijn en wat de rol van certificeringen is bij het beantwoorden van deze vragen.

 

2013

Mede op initiatief van de Belastingdienst en ECP | Platform voor de InformatieSamenleving is de Stichting Zeker-Online opgericht. Het doel van de stichting is het opzetten en beheren van een keurmerk voor cloudoplossingen.

Digitaal Veilig

Veiligheid van onze samenleving vraagt meer dan politie op straat en dijken om het water buiten te houden. De Nederlandse maatschappij en economie zijn  inmiddels volledig afhankelijk geworden van digitale middelen. Aanvallen op ... + Meer over Digitaal Veilig


Betrokken ECP'ers

Jelle Attema


Agenda

Er zijn geen agendapunten voor dit project.

Nieuws

Er zijn geen nieuwspunten voor dit project.

Publicaties

Er zijn geen publicaties voor dit project.