Blog

Datacenter Security

De 7 mythes over cloud storage

16 mrt 2018

Met de General Data Protection Regulation (GDPR) en Algemene Verordening Persoonsgegevens (AVG) in aantocht ontstaan er veel vragen rondom het opslaan en beheren van data met betrekking tot persoonsgegevens. Wat is er nu wel toegestaan en wat niet? Ook met betrekking tot het opslaan van gegevens in de cloud zijn er vraagtekens. In deze blog ontkracht ik zeven mythes over cloud storage.

Bert Hoving door Bert Hoving

1. Onze data mag alleen in Nederland worden opgeslagen

Elke organisatie binnen de Europese Unie moet voldoen aan de nieuwe privacywetgeving. Ook organisaties van buiten Europa die diensten in Europa aanbieden moeten aan de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) voldoen. De enige uitzondering zijn de politie en justitie. Deze organisaties hebben afwijkende regels als het gaat om onderzoek, opsporing en vervolging van strafbare feiten.

De wet gaat over de bescherming van persoonsgegevens én het vrije verkeer van gegevens binnen de Europese Unie. Dit wordt bereikt door de harmonisering; GDPR geldt in alle lidstaten van de EU. Het maakt dus niet uit waar in de EU de persoonsgegevens worden opgeslagen, overal geldt dezelfde wet met dezelfde sancties bij overtreding van de wet. Er is dus geen enkele wet die voorschrijft dat de data in Nederland opgeslagen moet zijn. Ook de BIR, BIG en NEN7510 schrijven het niet voor.

2. Er is geen backup meer nodig als mijn data in de cloud staat

In praktisch alle gevallen is er nog steeds een backup nodig van de data in de cloud, tenzij het zelf een backup is (of kopie van de backup). Vaak heb je als gebruiker oudere versies van bestanden tot je beschikking en een prullenmand voor de verwijderde bestanden van de laatste 30 dagen. Dit biedt onvoldoende bescherming om een langere periode te overbruggen, maar belangrijker nog: een beleid toepassen op alle gebruikers kan vaak niet. Er zijn nog meer redenen waarom je de backup in eigen hand wil houden en niet belegt bij de cloud provider:
– backup-kopie bij andere (cloud-)provider dan van de primaire data
– backup-kopie fysiek gescheiden, in ander datacenter
– in staat zijn eenvoudig te wisselen van provider en migreren van backup-data
– backup-kopie kunnen gebruiken voor disaster/recovery-doeleinden
– backup-kopie kunnen gebruiken voor search/datamining/-analyses

Om te voldoen aan de AVG/GDPR moet je als organisatie aan kunnen tonen welke persoonsgegevens waar bewaard worden én aan kunnen tonen dat persoonsgegevens verwijderd zijn op verzoek van de betreffende persoon of zodra de persoonsgegevens niet meer relevant zijn. Zonder backup- of datamanagementapplicatie is dat ondoenlijk.

3. Data in de cloud is beschermd tegen ransomware en virussen

Het maakt niet uit of data in de cloud staat of op eigen systemen in het eigen datacenter. Als er toegang is tot de data kan ook een virus toegang krijgen tot de data. Als een systeem (server of pc) geïnfecteerd is en een share, mountpoint, LUN of bucket in de cloud heeft, dan wordt de data in de cloud net zo gemakkelijk versleuteld of corrupt gemaakt. Dat data in de cloud beschermd is tegen ransomware en virussen is dus niet waar.

4. Data in de cloud is versleuteld en dus kan niemand er ongeoorloofd bij

Encryptie lijkt vaak een sleutelwoord om data te beveiligen. De term wordt vaak gebruikt als maatregel om persoonsgegevens te beschermen of om een datalek te voorkomen. Dat kan zo zijn maar het hangt er maar net van af hoe en waar encryptie wordt toegepast. De data kan ‘in transit’ over een beveiligde verbinding worden verstuurd of ‘at rest’ op het systeem waar de data opgeslagen wordt. Of er wordt een applicatie gebruikt die de data al versleutelt voordat de data naar de cloud gaat. Wie beheert de encryptiesleutels? En hoe worden de rechten verleend? Is een sleutel alleen nodig bij het opstarten van een (storage-)systeem, zoals bij het gebruik van zogenaamde self encrypted disks, of voor het kunnen ontcijferen van elk bestand? Kortom, encryptie kan een goed beveiligingsmiddel zijn, afhankelijk van het doel en mits juist geïmplementeerd.

5. Het maakt voor de regelgeving waar ik mee te maken heb niet uit waar ik mijn data in de cloud opsla.

Waar u uw data of specifiek persoonsgegevens of bijzondere persoonsgegevens ook opslaat, u blijft altijd verantwoordelijk voor de bescherming daarvan. Bovenop de AVG heeft uw organisatie misschien ook nog te maken met andere regels, zoals NEN7510, BIG of BIR. U bent in alle gevallen verplicht de cloud storage provider te controleren op de naleving van de AVG. De provider is de verwerker van de persoonsgegevens waar u de verantwoording over heeft. Voldoet uw storage provider aan minimaal dezelfde normering als uw organisatie? Het helpt zeker als uw provider al ISAE3402 gecertificeerd is.

6. Een bewerkersovereenkomst voor GDPR/AVG is niet nodig als ik mijn data in de cloud bewaar

Een bewerkersovereenkomst is nodig zodra data met persoonsgegevens voor verwerking uitbesteed wordt aan een bewerker. Een bewerker of verwerker is degene die, ten behoeve van de verantwoordelijke, persoonsgegevens verwerkt onder diens instructies en verantwoordelijkheid, zonder aan zijn rechtstreeks gezag te zijn onderworpen. Verwerking is een ruim begrip en omvat elke handeling met betrekking tot persoonsgegevens, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, verspreiden, samenbrengen en met elkaar in verband brengen. Het bewaren en opslaan van data met persoonsgegevens vereist dus een bewerkersovereenkomst tussen de verantwoordelijke (u) en de verwerker, ook voor data in de cloud.

7. Als bij een datalek de data versleuteld is dan hoef ik dat niet te melden bij de Autoriteit Persoonsgegevens

Een datalek moet altijd binnen 72 uur bij de Autoriteit Persoonsgegevens worden gemeld zodra persoonsgegevens zijn verloren of als ongeautoriseerd toegang is verkregen tot de persoonsgegevens. Ook moeten de betrokkenen worden geïnformeerd als het waarschijnlijk is dat het ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkenen. De betrokkenen zijn de personen waar de gegevens van gelekt zijn. De Autoriteit Persoonsgegevens zal bindende aanwijzingen geven met onder andere of het datalek ook aan de betrokkenen gemeld moet worden. Dit zal ook afhankelijk zijn van de (wel of niet) gebruikte encryptie. Een datalek moet dus altijd gemeld worden, ook als de data versleuteld is.

Heeft u plannen om data in de cloud op te slaan maar u wilt ook dat de data goed beschermd is? Neem dan contact met mij op. Telindus begeleidt u in het hele traject en voldoet aan de vereiste certificeringen voor gegevensbescherming.

Geïnteresseerd?

Bert Hoving
Neem contact op met onze specialist Bert Hoving

Bert Hoving is pre-sales Consultant bij Telindus. In deze functie adviseert hij vooral non-profit organisaties op het kennisgebied van storage- en datacenter infrastructuren en datamanagement- en protectie. Door de ervaring die hij gedurende tientallen jaren heeft opgebouwd rond storage en datamanagement, waarvan ruim zeven jaar bij Telindus, kan je spreken van een specialist met brede kennis van de uitdagingen in de markt, de oplossingen en de spelers. Deze kennis past hij dan ook toe bij de beantwoording van Europese Aanbestedingen voor datacenter infrastructuren en zogenaamde converged infrastructures voor gemeentes, hogescholen, universiteiten en andere instanties.

Doordat Bert de functionele behoefte van organisaties goed begrijpt, is hij als consultant uitstekend in staat deze te vertalen naar de meest optimale oplossing tegen de laagste kosten. Het resultaat hiervan is een oplossing met een lagere TCO, eenvoudiger beheer, een betere bezettingsgraad en een oplossing die klaar is voor de cloud.

Een groot deel van zijn vrije tijd besteedt Bert aan zijn drie windhonden.

geen reacties
Plaats een reactie