De grote vraag is: als u nu de cloud in gaat, hoe adresseert u risico’s? Dat kunnen privacy-risico’s en informatiebeveiligingsrisico’s zijn. Veel draait om persoonsgegevens. Maar ook duurzaamheidsrisico’s worden steeds vaker meegenomen. Alles leidt tot de vraag: wie is eindverantwoordelijk? Ons tweede blog in de serie ‘Overheid en Publieke Cloud’.
Gedeelde verantwoordelijkheid
Het inrichten van cloud (Microsoft 365, Dynamics en Azure) voert u samen met Microsoft uit. Alleen, zodra een overheidspartij gegevens naar een cloud van Microsoft verplaatst, verandert de verantwoordelijkheid die deze partij heeft om de gegevens te beveiligen. Bij Microsoft hanteert men het ‘shared responsibility model’. Dit model houdt in dat de verantwoordelijkheid voor gegevensbeveiliging gedeeltelijk bij Microsoft ligt en voor een deel bij overheidsinstanties zelf. Dit komt onder meer door verplichtingen die voortvloeien uit de AVG (Algemene Verordening Gegevensbescherming) en de BIO. Hoe gaat Microsoft om met informatiebeveiliging? Zijn de mensen juist opgeleid? Gaat er niemand met gevoelige data vandoor? Zijn er afdoende securitymaatregelen genomen? Zomaar wat vragen die kunnen spelen. Weet dat een partij als Microsoft een enorme voorsprong in de markt heeft door alle ervaring die het bedrijf heeft opgedaan. Men heeft de zaken op orde en daardoor kunnen zij overheidspartijen veel effectiever helpen met hun informatiehuishouding.
Hebt u goed nagedacht over het authenticatie en autorisatie? Hoe rubriceer ik informatie? Moet ik versleuteling toevoegen?
Overheid X
Hoe werkt dat model in de praktijk? Stel, u bent een overheidsinstantie en u heeft een typisch cloud-project met informatie van burgers. Dan zijn er vereisten: vanuit wet- en regelgeving, eigen cloudstrategie en Rijksbreed cloudbeleid. U start met het uitvoeren van een risicoanalyse. Niets nieuws, dit zou een standaard onderdeel moeten zijn van ieder project. Niet alleen bij cloud. Zo’n risicoanalyse kan Microsoft u niet uit handen nemen. Feitelijk is Microsoft onderdeel van uw analyse. Daarom mag u wel vragen wat voor maatregelen een partner als Microsoft allemaal heeft genomen. En dat zijn er veel, zoveel zelfs dat u mag spreken van een stuk standaardisering, toegespitst op ministeries, gemeentes, provincies en zelfstandige bestuursorganen. Als u dit als CISO bij een overheidspartij uitgevoerd hebt, volgt de volgende stap: de cloud-inrichting. Moet ik Microsoft 365 speciaal configureren? Wie mag er wel of niet in mijn cloud? Hebt u goed nagedacht over het authenticatie en autorisatie? Hoe rubriceer ik informatie? Moet ik versleuteling toevoegen? En ga zo maar door. Ook hier kan Microsoft adviseren, maar het denkwerk en de inrichting ligt bij u. Samen doorloopt u het ‘shared responsibility model’. De verdere invulling en uitrol zal voldoen aan alle bestaande eisen en nieuwe eisen die eraan gaan komen. Futureproof.
Meer informatie over de risicoanalyse
Blogs
- Als overheid naar de public cloud, wat nu?
- Neem eventuele maatregelen, vraag goedkeuring en win advies in. Deze verschijnt volgende week.
