GDPR voor leveranciers van clouddiensten - een overzicht

Cloudplatforms zijn een steeds belangrijker hulpmiddel geworden voor moderne bedrijven, en het is gemakkelijk te zien waarom - 85% van de Amerikaanse bedrijfsgegevens bevond zich in 2020 in cloudopslag en het volume van de publieke cloudmarkt zal tegen 2025 naar verwachting $ 679 miljard bedragen (Statista, CRN).

Maar nu bedrijven in steeds grotere aantallen de overstap naar de cloud maken, is de kwestie van de beveiliging van gegevens in cloudopslag belangrijker geworden - vooral in het licht van de strenge GDPR-vereisten die in 2018 van kracht werden.

Sommige bedrijven maken zich zorgen dat ze zich openstellen voor boetes voor GDPR-naleving door een cloudprovider te gebruiken om gegevens voor hen op te slaan.

En hoewel dit begrijpelijk is gezien het feit dat er een derde partij bij betrokken is, is er geen reden waarom opgeslagen en beheerde gegevens noodzakelijkerwijs minder veilig zouden zijn.

Wat is de cloud?

Eenvoudig gezegd is de cloud een netwerk van servers dat is ontworpen om grote hoeveelheden gegevens op te slaan.

Bedrijven kunnen deze hardware gebruiken om hun eigen gegevens op te slaan, die voor hen toegankelijk zijn via het internet.

Populaire voorbeelden zijn Dropbox, Google Cloud en Amazon Web Services.

In grote lijnen kan cloudsoftware worden ingedeeld in drie typen:

1. Public - een internet-gebaseerde clouddienst die aan meerdere organisaties wordt geleverd, gratis of met een pay-per-use abonnement
2. Private - een interne clouddienst die aan één enkel bedrijf is gewijd
3. Hybride - een mix van publieke en private cloud

Ze worden ook vaak op een andere manier uitgesplitst:

• Infrastructure-as-a-Service (IaaS) - een bedrijf betaalt om toegang te krijgen tot de computer- en opslagbronnen van een cloudprovider
• Software-as-a-Service (SaaS) - een bedrijf betaalt voor toegang tot software on-demand via het internet
• Platform-as-a-Service (PaaS) - een dienst met een ontwikkel- en implementatieomgeving die bedrijven kunnen gebruiken om applicaties te bouwen in een browser

Voordelen van de cloud voor bedrijven

Cloudopslag kan bedrijven enorme voordelen bieden tegen een beperkte prijs: het vermindert de kosten voor gegevensbeveiliging en -beheer, verbetert de communicatie en katalyseert beter teamwerk.

Bedrijven profiteren ook van verbeterde beveiliging, minder downtime als gevolg van problemen met de IT-infrastructuur, en uitstekende schaalbaarheid naarmate ze groeien.

Alles bij elkaar biedt cloud software bedrijven de extra flexibiliteit die hen een cruciaal concurrentievoordeel kan opleveren:

• 84% meldt operationele verbeteringen binnen de eerste maanden na invoering (Multisoft)
• Kleine en middelgrote bedrijven vinden het 40% kosteneffectiever om cloudplatforms van derden te gebruiken dan om een intern alternatief te behouden (Multisoft)
• 94% van de bedrijven meldt aanzienlijke verbeteringen in de online beveiliging na de migratie van gegevens naar de cloud (Salesforce)

Wat zijn de gevolgen van GDPR voor cloudsoftware?

Van cruciaal belang is dat 91% van de bedrijven van mening is dat cloudopslagplatforms een grote hulp zijn geweest bij hun compliance-werkzaamheden voor overheidsvereisten, zoals GDPR (Salesforce).

Ze zijn al lang ontworpen met veiligheid voorop en maken gebruik van geavanceerde versleuteling bij het verzenden van gegevens - wat betekent dat onbevoegde gebruikers geen toegang kunnen krijgen tot privégegevens.

GDPR heeft echter voorgoed veranderd hoe persoonsgegevens in de cloud kunnen worden opgeslagen en verwerkt, en de EDPS - de privacywaakhond van de EU - onderzoekt of AWS van Amazon en Azure van Microsoft de gegevens van burgers effectief beschermen.

De GDPR-vereisten voor aanbieders van clouddiensten zijn als volgt:

• Ontwikkel beginselen voor de verwerking van persoonsgegevens
• Zorg ervoor dat het proces voor gegevensverwerking de 8 rechten van de GDPR-datasubjecten respecteert
• Stel eisen aan privacy by design voor iedereen die betrokken is bij gegevensverwerking en controleactiviteiten
• controles invoeren op de eigendom van gegevens en het recht op gegevensoverdraagbaarheid
• beveiligingsmaatregelen invoeren die de privacy van gegevens waarborgen
• beginselen vast te stellen voor de verwerking van gegevens aan internationale partijen
• beleid en procedures ontwikkelen om inbreuken op gegevens te beheren
• Beleidslijnen ontwikkelen voor het opstellen van contractuele overeenkomsten, bewaartermijnen voor gegevens en andere toepasselijke vereisten

Wat is de verantwoordelijkheid van een bedrijf voor gegevens die in de cloud worden bewaard?

Veiligheidskwesties van derde partijen zijn een belangrijk punt van zorg van de GDPR, ook wanneer een cloudplatform van een derde partij gegevens opslaat namens een klantbedrijf.

GDPR maakt onderscheid tussen "gegevensbeheerders" en "gegevensverwerkers" als het gaat om de verantwoordelijkheid voor de beveiliging van persoonlijke gegevens.

In deze context is het bedrijf de gegevensbeheerder, terwijl de aanbieder van cloudsoftware de gegevensverwerker is - wat betekent dat het bedrijf dus verantwoordelijk is voor het veilig bewaren van persoonsgegevens, ongeacht of deze zijn opgeslagen op hun eigen servers of niet.

Waar u aan moet denken bij het kiezen van een cloudplatform

Voordat bedrijven naar de cloud migreren, is het raadzaam om ervoor te zorgen dat hun persoonlijke gegevensstroom goed in kaart is gebracht en om een privacy impact assessment uit te voeren.

Centraal hierbij staan de volgende overwegingen:

• Gegevenssoevereiniteit GDPR-regelgeving schrijft voor dat gegevens in de Europese Unie moeten worden opgeslagen. Gelukkig zijn er veel leveranciers van clouddiensten die u laten kiezen waar de gegevens worden opgeslagen, zodat u er een kunt kiezen die gebruikmaakt van datacenters in Europa.
• Gegevensbeveiliging Controleer welke beveiliging het cloud-opslagplatform biedt, en kies er een die end-to-end-encryptie biedt. Uiteindelijk moet u ervan overtuigd zijn dat de provider adequate beveiligingsprocedures hanteert.
• Respect voor gegevenssubjecten Kies een cloudaanbieder die zich houdt aan de acht privacyrechten van gegevenssubjecten in de EU - deze informatie moet gemakkelijk door cloudbedrijven kunnen worden verstrekt.
• Gegevensbescherming door ontwerp en standaard Zorg ervoor dat het cloudbedrijf beveiliging heeft geïntegreerd in zijn ontwerp en procedures - bijvoorbeeld door gebruik te maken van zer0-kennisversleuteling die de toegang tot gevoelige informatie beperkt. Dit is van groot belang, aangezien inbreuken op gegevens uiteindelijk de verantwoordelijkheid van uw bedrijf zijn

GDPR-naleving vereist voortdurend werk

Zodra een bedrijf gegevens naar de cloud heeft gemigreerd, is het verstandig om regelmatig audits uit te voeren om ervoor te zorgen dat de operationele procedures en processen blijven voldoen aan de GDPR.

Het is ook raadzaam om regelmatig te controleren of het cloudplatform blijft voldoen aan alle gegeven veiligheidsgaranties.

Dit werk wordt gewoonlijk uitgevoerd door onafhankelijke waakhonden of beoordelingssites van derden, die moeten worden geverifieerd voordat een beslissing wordt genomen over de te kiezen optie.