Niet elk land tilt even zwaar aan de bescherming van data en privacy. Ook gelden in ieder land andere wetten en regels, die bepalend zijn voor wie bij welke data kan én met welke gevolgen. Om nog maar te zwijgen over compliance. De soevereine cloud biedt uitkomst: organisaties die hun data verhuizen naar een soevereine cloud worden beschermd volgens de Nederlandse wet- en regelgeving. Maar wat is een soevereine cloud eigenlijk?
Wat is een soevereine cloud?
Laten we bij het begin beginnen: wat betekent soeverein?
Soevereiniteit betekent dat je 100% controle hebt over, in dit geval, je data in de cloud. Je bent baas over eigen data en hebt volledige zeggenschap over waar je data wordt opgeslagen en wie er -voor welke doeleinden- bij kan.
Data soevereiniteit en soevereiniteit in de cloudomgeving is een onderwerp dat voor organisaties in Nederland (en Europa) steeds belangrijker wordt. In ons land hechten wij veel waarde aan de bescherming van gevoelige gegevens en daarom moet hier het gebruik van de cloud voldoen aan wettelijke voorschriften. Als je kiest voor een soevereine cloud, kies je voor een cloud op Nederlandse bodem en weet je zeker dat je voldoet aan Nederlandse wet- en regelgeving over privacy en dataopslag.
Voor wie biedt de soevereine cloud een uitkomst?
Voor álle organisaties die over gevoelige gegevens beschikken en in het bijzonder de zogenaamde mission critical organisaties die 24/7 beschikbaar moeten zijn, zoals overheidsinstanties, financiële instellingen, de gezondheidszorg, energiemaatschappijen of vervoersbedrijven. In deze organisaties telt elke seconde, uitval kan een ontwrichtende werking hebben. En dat stelt hoge eisen aan een cloudoplossing.
Voor hen is volledige transparantie noodzakelijk, zij willen precies weten wie welke data waar kan bewerken en opslaan. De verantwoordelijken voor security, privacy en compliance in deze organisaties hebben veel baat bij een soevereine cloud, aangezien daar alles in het werk is gesteld om het opslaan en bewerken van data inzichtelijk te maken.
Wat zijn de risico’s als je werkt met een cloud die niet soeverein is?
Wie aan publieke cloudproviders denkt, denkt aan bekende tech-reuzen als Amazon, Microsoft en Google. Deze bedrijven hebben minimaal één ding gemeen, en dat is dat zij in de Verenigde Staten gevestigd zijn. En hierin schuilen precies de risico’s voor organisaties die moeten voldoen aan de Nederlands/Europese wet- en regelgeving over privacy en dataopslag.
Neem bijvoorbeeld de Amerikaanse CLOUD Act van 2018, die Amerikaanse federale wetshandhavingsinstanties in staat stelt om in de VS gevestigde technologiebedrijven via een bevel of dagvaarding te dwingen de gevraagde data te verstrekken die zijn opgeslagen op bedrijfsservers, ongeacht of de data zijn opgeslagen in de VS of op buitenlandse bodem[1].
Volgens de Nederlandse wetgeving mag dit niet. Dit betekent dat als je als Nederlandse organisatie kiest voor één van deze Internationale cloudproviders, je het risico loopt de wet- en regelgeving te schenden. Dit kan met een flinke boete bestraft worden: de hoogste boete voor overtreding van de AVG tot mei 2022 was ruim € 746 miljoen[2]. Afgezien van het feit dat een niet-soevereine cloud compliance en financiële risico’s met zich meebrengt, ben je ook out-of-control over je data: je weet niet (zeker) waar deze zich bevindt, wie er toegang toe heeft en of het wel goed beschermd is. Laat staan dat je je klanten en leveranciers zeggenschap kunt geven over data die van hen is!
Waarom groeit de behoefte aan een soevereine cloud?
Het aantal cyberaanvallen is vervijfvoudigd sinds de start van de pandemie. De oorlog in Rusland en Oekraine brengt geopolitieke verschuivingen met zich mee. Mede hierdoor zijn organisaties zich steeds meer bewust van hun kwetsbare digitale veiligheid. De hoeveelheid (gevoelige) data in organisaties groeit, net als de hoeveelheid maatregelen om deze te beschermen. We zijn kritischer op waar we onze data onderbrengen -en met welke gevolgen- .
De soevereine cloud groeit aan populariteit omdat:
- data gegarandeerd bij Nederlandse entiteiten en datacenters wordt ondergebracht;
(gegevens worden in de volledige keten in Nederland beheerd: van datalocatie, hardware tot ieder proces voor beheer en beveiliging) - data streng beveiligd wordt tegen ongewenste toegang en cyberaanvallen;
- data beschermd is door de Nederlandse wet- en regelgeving;
- organisaties aantoonbaar compliant aan de wet- en regelgeving zijn, óók als deze wijzigt.
Cloud soeverein worden met TriOpSys
TriOpSys levert als eerste in Nederland een cloudoplossing met een Sovereign Cloud status. Deze status is toegekend door VMware, tevens de technologie waarop onze cloud draait. VMware levert daarmee het bewijs dat onze klanten gegarandeerd 100% de baas over hun eigen data en de toegang daartoe zijn. Ook zijn ze aantoonbaar compliant aan de Nederlandse wet- en regelgeving.
Om voor de Sovereign Cloud status in aanmerking te komen, zijn er verschillende audits verricht. Zo is onze oplossing onder meer beoordeeld op een juist gebruik van cloudproducten (zoals versiebeheer, updates en configuraties) en zaken als datalocaliteit, jurisdictie, dataverwerking en integriteit, data beveiliging en compliancy en data onafhankelijkheid. Aanvullend hebben onze Tier3 datacenters een audit ondergaan, waarbij aangetoond is waar data zich bevindt en dat we naast het hosten van data er ook afdoende continuïteit waarborgen. Gegarandeerde beschikbaarheid is van levensbelang voor de klanten met wie wij samenwerken. Daarom beschikken onze specialisten beschikken over alle systemen, protocollen en apparatuur die nodig zijn om wijzigingen of upgrades toe te passen zónder de bedrijfsprocessen te onderbreken. Er worden ook initiatieven geboden worden voor back-up en uitwijkdiensten.
Borging compliance
Het opslaan en bewerken van data verloopt volgens een aantal vaste processen, waarbij we werken met onder meer de ISO27001 en ISAE3402 frameworks. De soevereiniteit van de operatie wordt hieraan getoetst, naast dat techniek bekeken wordt. Alle certificeringen worden doorlopend gecontroleerd vanuit het Deming Cycle (plan-do-check-act). Daarnaast worden de certificeringen jaarlijks getoetst, waarin de wijzigingen in wetgeving automatisch worden meegenomen.
Soeverein worden: what’s next?
Hoewel de Europese Unie wereldwijd koploper op het gebied van dataregulering is, staat deze ontwikkeling pas in de kinderschoenen. De eerste stap is gezet: de AVG en GDPR beschermen onze gegevens en de soevereine cloud geeft hierover volledige controle.
De volgende stap draait om het delen van informatie. Op een veilige manier. Hoe dat het beste kan, wordt momenteel volop onderzocht door initiatieven van de overheid, het bedrijfsleven en de wetenschap. Samen onderzoeken deze partijen hoe je enerzijds de infrastructuur en anderzijds de datadeling zou moeten reguleren. Dit biedt eindeloze kansen: door data te delen kun je tijd winnen, efficiënter en sneller werken en nieuwe diensten ontwikkelen.
De soevereine cloud faciliteert veilig cloudgebruik en moedigt nieuwe initiatieven aan te volgen door de zorgen op het gebied van compliance uit de weg te ruimen.
Wil je meer weten over de soevereine cloud?
[1] Wikipedia, CLOUD Act, accessed August 2022
[2] Tessian, 30 Biggest GDPR Fines So Far (2020, 2021, 2022), Accessed August 2022
