- Door
- Jeroen Mulder
- geplaatst op
- 16 januari 2017 08:00 uur
Wat een veehouder gemeen heeft met een hoster? Niks, op het eerste gezicht. En ook weer alles als je denkt in termen van ketens. Wie een stuk vlees koopt in de winkel, vertrouwt erop dat die winkel er alles aan heeft gedaan om te controleren of de productie van dat vlees conform allerlei wetten en regels is gegaan. De consument gaat niet zelf bij de boer controleren. Dat zou ondoenlijk zijn. Toch gaan we dit over een jaar, per mei 2018, wel opleggen aan klanten van hostingproviders. Een provider die vervolgens niet kan aantonen dat hij volgens bepaalde regels werkt, heeft een groot probleem. Hij voldoet dan niet aan GDPR: de General Data Protection Regulation van de Europese Unie. Michiel Steltman van DINL pleitte deze week voor een andere benadering in de vorm van ‘circles of trust’.
GDPR kon wel eens een grote impact hebben op de Nederlandse hostingmarkt. De regelgeving werd in april 2016 door de Europese Commissie aangenomen en zal volgend voorjaar van kracht worden in alle lidstaten. De hele regeling is bedoeld om Europese burgers meer zekerheid te geven over de veilige opslag van hun persoonsgegevens. Bedrijven die dergelijke gegevens verzamelen, dienen aan strikte eisen te voldoen. Helaas is de bepaling voor meer dan één uitleg vatbaar. Wie verzamelt de persoonsgegevens? Is dat het bedrijf die de gegevens uitvraagt via bijvoorbeeld een website of is dat de hoster? Of gaat het nog verder terug en hebben we het dan over de cloudprovider of het datacenter waar de gegevens worden bewaard?
Inmiddels is er in de IT-markt en onder auditors een hele discussie ontstaan over de uitleg van GDPR. Dat is nu nog een volstrekt academische discussie, omdat de regeling nog niet effectief is en er dus nog geen jurisprudentie bestaat. Maar IT Systems Auditors zijn het over het algemeen wel eens dat GDPR een ketenregeling is. Volgens GDPR is de persoon of organisatie die gegevens verzamelt verantwoordelijk. Dit betekent dat deze persoon moet kunnen aantonen dat hij volledige controle heeft over de veilige opslag van die gegevens. Dat kan maar op één manier en dat is door de schakels binnen de keten te monitoren en te auditen, bijvoorbeeld de hoster die de gegevens daadwerkelijk op zijn servers heeft staan. Klanten van hosters moeten dit dus zelf controleren en hebben daarmee een auditplicht bij die hosters.
Bij grote bedrijven en instanties is dit al lang een bekend gegeven: zij laten al regelmatig audits uitvoeren, vaak ingegeven door regelgeving over bewaren van financiële gegevens, chemische data of patenten. Hiervoor zijn frameworks als ISAE3402 bedoeld. ISAE3402 regelt dat organisaties die processen uitbesteden aan derde partijen, kunnen controleren of deze uitbestede processen voldoende beheerd worden zodat onbevoegden bijvoorbeeld niet bij data kunnen. Dit zijn kostbare audits die alleen door gecertificeerde auditors mogen worden uitgevoerd. Auditplicht is dus sowieso een enorme financiële drempel, maar audit wordt wel verplicht zodra GDPR van kracht is.
Als de data direct bij de cloudprovider of de hoster staat, dan is een audit op die partij voldoende. Maar er zijn in ons land nog legio kleine hostingpartijen die op hun beurt weer capaciteit huren bij een colo of een externe datacenterleverancier. De klant moet de hele toeleveringsketen controleren, maar op zijn beurt moet de hoster ook haar leverancier controleren – tenminste: als je GDPR heel scherp interpreteert en vooralsnog is er geen enkele aanleiding om dat niet te doen. Heel veel kleine hosters zullen niet de kennis in huis hebben om dit te doen, laat staan dat ze bekend zijn met ISAE3402. GDPR kan voor die partijen dus wel eens de nekslag worden. Want voldoe je niet en data komt op straat te liggen na een DDOS-je, dan ben je ook direct goed zuur. Dat risico moet je als klein bedrijfje niet willen nemen.
Maar hoe doen grote providers dit dan? Klanten van bijvoorbeeld Microsoft Azure kunnen hun systemen in Azure niet auditen. Bij een audit krijgt de klant een verklaring van de auditor van Microsoft, afgetekend door een bevoegde partij. Alle grote partijen doen dit op dezelfde manier. Het kan met letterlijk duizenden klanten ook niet anders. Deze partijen stellen hun eigen security-eisen en laten klanten met die eisen akkoord gaan. Te allen tijde: als je zaken doet met Amazon, ga je akkoord met de securityregels van Amazon. Daar is geen speld tussen te krijgen. Kleinere hosters – eigenlijk alle partijen die niet tot de hypercloudproviders horen – kunnen niet op deze manier werken. Zelfs grote system integrators niet: zij moeten in de regel audits toestaan. Het wordt niet zelden in contracten afgedwongen. Voor nog kleinere partijen wordt het bijna onwerkbaar.
Dat kan niet de bedoeling zijn, stelt Michiel Steltman in zijn bijdrage zoals deze week verscheen op de site van DHPA. Volgens hem kan de uitvoering van GDPR tot onnodige regeldruk en zelfs schijnveiligheid leiden. “Het is niet in het belang van de Nederlandse hosting- en cloudproviders en overigens ook niet van hun klanten. Niemand zit te wachten op extra papierwerk en een klantrelatie die voor een deel gebaseerd is op wantrouwen, wat impliciet toch in de GDPR besloten ligt.” De oplossing: Circles of Trust. “Vertrouwen is de basis waarop je met hosting- en cloudproviders in die circles zaken kan doen. Als de SLA’s en bewerkersovereenkomsten in orde zijn, en de partijen hun veiligheid verifieerbaar hebben geregeld, is er geen reden om met iedere klant steeds opnieuw afspraken te moeten maken. We moeten daarvoor standaardmodellen hebben waarop zowel de sector als hun klanten kunnen vertrouwen.”
Het ministerie van Economische Zaken heeft de handschoen inmiddels opgepakt en een projectorganisatie in het leven geroepen die de mogelijkheden moet gaan onderzoeken. Namens de DHPA doet Stichting DINL mee in dat project.