IDC Trusted Cloud: data-soevereiniteit en digitale transformatie

19 augustus 2022
Partner: AWS

Beeld: AWS

IDC voorspelt dat 70% van de CEO’s van grote Europese organisaties zal worden aangemoedigd om tegen 2025 minstens 40% van hun inkomsten digitaal te genereren, wat betekent dat ze hun digitale transformatie moeten versnellen. Uit een IDC-onderzoek uit 2022 onder CEO’s in heel Europa bleek dat 46% van de Europese CEO’s de verschuiving naar de cloud als hun meest strategische IT-initiatief in 2022 zien.

In de whitepaper Trusted Cloud biedt IDC perspectieven over de manier waarop operationele effectiviteit, digitale investeringen en uiteindelijk bedrijfsgroei in evenwicht moeten worden gebracht met de voorschriften op het gebied van de gegevenssoevereiniteit. IDC definieert gegevenssoevereiniteit als “een subset van digitale soevereiniteit. Het is het concept van data die onderworpen zijn aan de wetten en bestuursstructuren binnen het land waar het wordt verzameld of waar het betrekking op heeft.”

IDC biedt inzicht in een aantal van de huidige discussies over de soevereiniteit ten aanzien van cloudgegevens, waaronder het extraterritoriale bereik van buitenlandse inlichtingendiensten op grond van nationale veiligheidswetten, en het niveau van privacybescherming van individuen in het land of als ze bezig zijn met grensoverschrijdende gegevensoverdracht. Het besluit van Schrems II en de implicaties daarvan voor overdracht van persoonsgegevens tussen de Europese Economische Ruimte (EER) en de VS hebben veel organisaties laten worstelen vanwege hun wettelijke vereisten bij het overdragen van gegevens buiten de EER.

IDC biedt de volgende achtergrond bij beheersmaatregelen in de cloud:

  • Cloudproviders hebben geen onbeperkte toegang tot klantgegevens in de cloud. Organisaties behouden alle eigendomsrechten van en controle over hun gegevens. Via de instellingen voor identiteit- en toegangsbeher is de klant de beheerder en kan de klant bepalen wie toegang heeft tot zijn of haar gegevens.
  • Cloudproviders gebruiken een rigoureuze reeks organisatorische en technische beheersmaatregelen op basis van het least privilege beginsel om gegevens te beschermen tegen ongeautoriseerde toegang en ongepast gebruik.
  • De meeste activiteiten in de cloud, waaronder onderhoud en probleemoplossing, zijn volledig geautomatiseerd. Als menselijke toegang tot klantgegevens vereist is, wordt deze tijdelijk gegeven en beperkt tot wat nodig is om de gecontracteerde service aan de klant te leveren. Alle toegang moet strikt worden geregistreerd, bewaakt en gecontroleerd om te beslissen of de activiteit geldig en conform is.
  • Technische mogelijkheden zoals encryptie en sleutelbeheer worden belangrijker. Versleutelen van opgeslagen gegevens en tijdens het transport daarvan wordt als fundamenteel beschouwd voor de beste gegevensbescherming en wordt ten zeerste aanbevolen door toezichthouders. Versleutelde gegevens kunnen in memory worden opgeslagen en verwerkt in een gespecialiseerde hardware- en firmware-omgeving. Dergelijke vertrouwelijke computeromgevingen kunnen zorgen over regelgeving wegnemen door gevoelige informatie ontoegankelijk te maken voor cloudproviders. Het AWS Nitro System, het onderliggende platform waarop Amazon EC2-instanties worden uitgevoerd, is een branche-voorbeeld van zulke beveiligingsmogelijkheden.
  • Onafhankelijke accreditatie volgens officiële normen is een erkende basis voor het beoordelen van de naleving van privacy- en beveiligingsprocedures. Erkend door de European Data Protection Board, biedt de EU Cloud Code of Conduct en de Europese Gedragscode Gegevensbescherming voor Cloud Infrastructure Service Providers (CISPE-code) een aansprakelijkheidskader om te helpen aantonen dat de verplichtingen van de verwerker volgens het AVG-artikel 28 worden nageleefd. Hoewel dit niet vereist is voor AVG-conformiteit, eist CISPE dat geaccrediteerde cloudproviders aan hun klanten de mogelijkheid bieden om alle persoonlijke gegevens in hun klantengegevens in de EER te bewaren.
  • Een betere gegevenscontrole en -beveiliging worden vaak genoemd als een drijfveer voor het houden van gegevens binnen de landsgrenzen. IDC merkt echter op dat de fysieke locatie van de gegevens geen invloed heeft op het beperken van gegevensrisico’s voor cyberdreigingen. De verblijfplaats van gegevens kan indruisen tegen de doelstellingen van een organisatie op het gebied van beveiliging en robuustheid. Steeds meer Europese organisaties vertrouwen de cloud om hun beveiligingsbehoeften te bevredigen, omdat veel organisaties eenvoudigweg niet over de middelen en expertise beschikken om dezelfde beveiligingsvoordelen te bieden als grote cloud providers.

Meer informatie

Lees voor meer informatie over de omzetting van uw wensen op het gebied van data-soevereiniteit naar een bruikbare bedrijfs- en IT-strategie het volledige IDC-witboek Trusted Cloud: Het overwinnen van het spanningsveld tussen data-soevereiniteit en versnelde digitale transformatie. U kunt ook meer lezen over de AWS-verbintenissen om de gegevens van EU-klanten te beschermen op onze EU data protection webpage.

Als u feedback wilt leveren op dit artikel, neem dan hier contact met ons op.

Wilt u meer nieuws over AWS Security? Volg ons dan op Twitter.