- Door
- Rashid Niamat
- geplaatst op
- 16 februari 2015 08:01 uur
De gehele Tweede Kamer heeft zich vorige week geschaard achter het wetsvoorstel dat de meldplicht voor datalekken regelt. Nu moet alleen de Eerste Kamer het voorstel nog goedkeuren en dan is er een wet bijgekomen waar ook de ISPam-lezers mee te maken gaan krijgen.
De impact van dit wetsvoorstel is tot op heden niet breed in de pers behandeld. Natuurlijk heeft wel bijna iedereen geschreven dat door het CBP boetes tot 810.000 euro mogen worden opgelegd, maar echte details ontbreken nog. Die constatering zie je onder andere terug in dit bericht van de DDMA. Maar ook zonder de details is een ding al duidelijk. Deze wet zal ertoe gaan leiden dat partijen beter inzicht moeten hebben in, en verschaffen over, de processen die zij doorvoeren. Zeker met de pittige boetes zal het zaak zijn dat jij als hoster, provider, datacenter alles hebt gedaan om een datalek te voorkomen en dat ook kunt aantonen naar klanten, eindafnemers en toezichthouder.
Waar we het dan vooral over hebben, is – niet voor de eerste keer trouwens – compliance. Beschrijf wat je doet en doe wat je beschreven hebt, zodat daar tenminste nooit onduidelijkheid over kan ontstaan. Dat klinkt logisch. Makkelijk is het zeker niet altijd. Toevallig ook deze week zijn er twee blogposts verschenen over compliance die goed aansluiten op bovengenoemde Nederlandse situatie . Chad Woolf van AWS wijst in een blogpost op een publicatie van Enisa die antwoord moet geven op de vraag: “aan welke compliance regels moet ik me houden?” Het spreekt voor zich dat de AWS policies in elk opzicht aan deze Enisa-richtlijnen voldoen. Waar Woolf enigszins met een boog omheen gaat zijn “regional, country, and niche programs”. En het zal niet verbazen dat ‘onze’ wet datalekken daar een voorbeeld van is. Dus wie gebruik maakt van AWS-diensten doet er goed aan nog zelf uit te zoeken of je hier geen risico loopt.
De andere blogpost die aansluit op de compliance vraag, is van Kelley Katsanos en deze werd onder de aandacht gebracht door IBM for Midsize Business. Hier lezen we dat de snelle adoptie van hybride cloud gepaard gaat met het toenemend inzicht dat bestaande SLA’s niet toereikend zijn. Op dit moment wordt volgens Katsanos nog te veel uitgegaan van een SLA die gebaseerd is op traditionele IT of een die 100% cloud is. Gevolg: delen van de dienstverlening – die bij hybride cloud veel vaker maatwerk betreffen dan bij ‘reguliere’ cloudtoepassingen – zijn niet afgedekt. En op welke punten schieten die onjuiste SLA’s vooral te kort: security en inderdaad compliancy.
De huidige status van het wetsvoorstel datalekken en beide blogposts vormen samen niets minder dan een call to action om je toch even serieus te verdiepen in de materie (vooral de “protocolplicht” kan tricky worden!). Daarbij maakt het niet uit of je nu een cloudbouwer bent of een reseller, deze wet raakt ons allemaal.