Themabijeenkomst: Cloud en datagedreven zorg
VIDEO - De focus van deze themabijeenkomst is hoe een goed gekozen IT-architectuur bij kan dragen aan goed datamanagement en passende zorg dichtbij huis.
Blog
Standaard bieden public cloud providers oplossingen zoals datalokalisatie, encryptie, identiteits- en toegangsbeheer, gegevenssegmentatie en maatregelen voor gegevensverlies waarmee wordt voldaan aan de verschillende Europese regelgevingen. Grote hyperscalers, zoals AWS, Google, en Microsoft moeten ook voldoen aan de USA CLOUD Act. En dat is precies waar de schoen wringt. De CLOUD Act, oftewel de Clarifying Lawful Overseas Use of Data Act, is door de Amerikaanse overheid in het leven geroepen om makkelijker toegang te krijgen tot gegevens die zijn opgeslagen bij deze providers, ook in het buitenland. Concreet betekent dit dat wanneer zij gegevens hebben opgeslagen in een datacentrum in Europa, de Amerikaanse autoriteiten deze gegevens kunnen opvragen zonder tussenkomst van de Europese regering in kwestie.
Door het gebruik van AWS, Google Cloud en Azure is de kans aanwezig dat ook jouw gevoelige data wordt opgevraagd door de Amerikaanse overheid. Gelukkig zijn data in transit en data in opslag versleuteld, waardoor deze niet in te zien zijn. Je loopt op één specifiek moment in dataverwerking nog risico: het moment dat een server data verwerkt. Op dat moment is deze data in use niet versleuteld. Om ook de data in use te beveiligen, is een specifieke oplossing ontwikkeld die door de hyperscalers omarmd wordt: confidential compute. Hierdoor heeft een (Amerikaanse) public cloud provider op geen enkel moment meer toegang tot onversleutelde data die uitgeleverd kan worden aan de Amerikaanse autoriteiten.
Confidential compute is geïntegreerd in de sovereign cloud, een cloudinfrastructuur die een veilige omgeving voor gegevensopslag en verwerking biedt in de publieke cloud. Met een sovereign cloud heeft de gebruiker van de cloud volledige controle over de data. Deze bepaalt wie er toegang heeft tot de gegevens, waar deze worden opgeslagen en hoe deze worden verwerkt. Hierdoor wordt het risico op datalekken en de inbreuk op de privacy van de gegevens sterk verminderd. De sovereign cloud laat je voldoen aan de verschillende wet- en regelgevingen, terwijl je tegelijkertijd de volledige controle houdt over de gegevens in de cloud. Kortom, door te kiezen voor een sovereign cloud met confidential compute profiteren organisaties van de voordelen van de cloud, zonder concessies te doen aan dataveiligheid en -privacy én wordt data uit handen van derden (lees: de Amerikaanse autoriteiten) gehouden.
De GDPR stelt strenge eisen aan de verwerking en overdracht van persoonsgegevens van EU-burgers. Organisaties moeten zorgen dat gegevens in overeenstemming met de regelgeving verwerkt en opgeslagen worden. Van belang is bijvoorbeeld datalokalisatie, waardoor gegevens binnen de EU worden opgeslagen en het risico op datalekken wordt geminimaliseerd.
Het Privacy Shield is een kader voor de doorgifte van persoonsgegevens van de EU naar de VS. Het Schrems II-arrest heeft het Privacy Shield-kader echter ongeldig verklaard, omdat het stelt dat de VS geen passend beschermingsniveau voor persoonsgegevens biedt.
Het National Institute of Standards and Technology (NIST) biedt richtlijnen voor de beveiliging van cloud computing en privacy. Het vraagt om de integratie van beveiligings- en nalevingsmaatregelen, zoals identiteits- en toegangsbeheer, encryptie, gegevenssegmentatie en maatregelen ter voorkoming van gegevensverlies.
Het DevOps Research and Assessment (DORA) model is een raamwerk voor het beoordelen van de prestaties van software delivery- en beheerteams. DORA vraagt om een gestandaardiseerd en schaalbaar platform voor softwareontwikkeling en -implementatie.