2017 is een keerpunt jaar geweest als het aankomt op Cloud oplossingen en dit jaar zullen er nog meer Clouddiensten worden afgenomen. Maar wanneer of hoe beslis je of je al dan niet naar de Public Cloud gaat? En wat is nu die GDPR waar iedereen over spreekt? En wat voor impact heeft dit op jouw bedrijf?
Is er een duidelijke evolutie te zien in het aantal Cloud toepassingen?
Sinds 2017 is er een gestage groei qua Cloud adoptie in België (zie ook onze Cloud Barometer) waarbij er inmiddels een op de vijf applicaties rechtstreeks vanuit de Cloud draaien. In 2017 zagen we dat bijna elke KMO of MKB zich steeds meer in Cloud oplossingen verdiept, of zich laat begeleiden door hun IT-huisleverancier met als opdracht het maximale van de voordelen van Cloud oplossingen te benutten. Vaak krijgen we de vraag om daarin te adviseren aangezien de Cloud nog niet voor iedereen even duidelijk is.
Maar wat is dat nu, die Public Cloud?
Velen beseffen het zelf niet, maar de meeste KMO’s of MKB’s zitten al lang in de Public Cloud. Bijna elke werknemer heeft ondertussen wel een eigen privé e-mail of Dropbox account die hij/zij ook gebruikt op sociale media zoals Facebook, WhatsApp of LinkedIn. Dit bewijst vooral dat het gebruik van toepassingen uit de Cloud allang zijn ingeburgerd en dat de meeste ervan afkomstig zijn van Public Cloud providers uit de Verenigde Staten.
Als antwoord op dit fenomeen heb ik ooit ergens in de wandelgangen van een fabrikant het volgende gezegde opgevangen: “Amerika vindt het uit (lees Amazon), China kopieert het (lees Alibaba) en Europa regulariseert het (lees GDPR).
Zeer toepasselijk als je ziet dat de grootste Public Cloud providers allemaal uit Amerika komen (Big 5) en al een decennia lang hun diensten aanbieden, maar nu gaat Europa hier dus een stokje voor steken onder de noemer GDPR (General Data Protection Regulation). Je kunt geen ICT-website of vakblad openslaan of je leest wel ergens iets over deze nieuwe regelgeving en vaak met de wijzende vinger of zelfs doemdenkers scenario’s. Want als je niet conform deze regelgeving bent, zijn de boetes niet mals!
Wat houdt GDPR in?
De General Data Protection Regulation (GDPR) houdt de gemoederen behoorlijk bezig. Deze door de EU vastgesteld reglement moet gaan toezien op hoe er met de persoonlijke data van de Europese burger wordt omgesprongen. Voor België zal er officieel moeten worden voldaan aan de eisen van GDPR vanaf 25 mei 2018, dus als je dit nog niet hebt gedaan dan is het de hoogste tijd geworden om orde op zaken te stellen voordat je een Cloud Provider kan selecteren.
Voor GDPR komt er in het kort op neer dat:
1) Alle bedrijven transparant moeten zijn over hoe data wordt verzameld en verwerkt en burgers expliciet toestemming moeten geven
2) Dat burgers zonder gedoe gegevens van de ene naar de andere dienstverlener over moeten kunnen zetten en geen data hoeven te delen die niet relevant is
3) Het recht hebben om vergeten te worden en hun data kunnen opvragen
4) Dat bedrijven een meldplicht voor datalekken opgelegd krijgen.
Op wie is deze wetgeving van toepassing?
Als KMO of MKB moet je kunnen aantonen dat je aan deze hierboven vermelde verplichtingen voldoet. Blijf je in gebreke op een van de onderdelen van GDPR, dan kan er een boete opgelegd worden van enkele miljoenen of maximaal vier procent van jouw wereldwijde omzet als bedrijf. Vooral als het gaat om Clouddiensten, is de GDPR een heet hangijzer, omdat de data van jouw bedrijf en jouw gebruikers dan continu ‘buiten het bereik’ opgeslagen wordt.
Het nieuwe kader legt niet enkel verplichtingen op aan de verantwoordelijke voor de verwerking, maar ook aan partijen die verder in de keten de persoonsgegevens verwerken voor data-analytics, opslag, facturatie, … Dit laatste is toch een belangrijke nieuwigheid voor ICT-dienstverleners en meer specifiek de aanbieders van Clouddiensten. Deze privacy verordening voorziet dat men contracten zal moeten aanpassen en data protection policies zal moeten opzetten, conform aan de vereisten van de verordening.
Alle bedrijven zullen immers moeten kunnen aantonen dat zij op een verantwoorde manier omgaan met persoonsgegevens van medewerkers, klanten of toeleveranciers. Hierdoor zijn er uitdagingen op verschillende niveaus. Veel bedrijven hebben – laten we eerlijk zijn – nooit stilgestaan bij gegevensbeveiliging. Technologie kan veel, maar applicaties en processen zullen herbekeken moeten worden in het licht van deze nieuwe regelgeving.
Hoe kunnen bedrijven zich voorbereiden op deze GDPR-verplichtingen?
Ik zal een 6-tal tips meegeven die je zullen helpen om als bedrijf de nieuwe regelgeving rondom Privacy en veiligheid conform toe te kunnen passen:
- Ken de locatie waar applicaties gegevens verwerken of opslaan.
Je kan dit bereiken door alle Cloud-apps die je in jouw organisatie gebruikt in kaart te brengen en te vragen waar ze jouw gegevens hosten. Hint: het hoofdkantoor van de Cloud leverancier is zelden de plaats waar jouw gegevens worden opgeslagen. Jouw gegevens kunnen ook worden verplaatst tussen de datacenters onderling waar de applicatie gehost zal worden.
- Neem voldoende beveiligingsmaatregelen om persoonlijke gegevens te beschermen tegen verlies, wijziging of onbevoegde verwerking.
Je moet weten welke applicaties voldoen aan jouw beveiligingsnormen. Als er applicaties niet voldoen aan die normen, dan zal je maatregelen moeten nemen en extra controles moeten uitvoeren.
- Sluit een gegevens-verwerkingsovereenkomst met de Cloud Provider af die je zal selecteren.
Zodra je alle applicaties in gebruik in jouw organisatie hebt geïnventariseerd, kan je in samenspraak met de Cloud Provider een overeenkomst tekenen om ervoor te zorgen dat zij voldoen aan de gegevens-beschermingsvereisten die in de GDPR zijn vermeld.
- Verzamel alleen “benodigde” gegevens en beperk de verwerking van “speciale” gegevens.
Geef in jouw gegevensverwerkingsovereenkomst (en verifieer dit in jouw Data Policy) aan dat alleen de persoonlijke gegevens die nodig zijn om de functie van de applicatie uit te voeren, door deze app zal worden verzameld over jouw gebruikers of organisatie. Zorg dat er beperkingen zijn op het verzamelen van “speciale” data zoals ras, etniciteit, politieke overtuiging, religie enzovoort.
- Laat geen Cloud applicaties toe die persoonlijke gegevens gebruiken voor andere doeleinden.
Zorg ervoor dat je via jouw gegevensverwerkingsovereenkomst en in jouw applicatie zorgvuldig controleert dat de apps duidelijk vermelden dat je als klant de eigenaar bent van de gegevens en dat de Cloud Provider de gegevens niet zal delen met derden.
- Zorg ervoor dat je de gegevens kan wissen wanneer je de applicatie niet meer gebruikt.
Zorg ervoor dat de voorwaarden duidelijk zijn dat je jouw gegevens direct kan downloaden en dat de app jouw gegevens zal wissen zodra je de Clouddiensten hebt beëindigd. Indien mogelijk, kijk dan ook na hoe lang ervoor nodig is voor de Cloud Provider om dit te doen. Beter onmiddellijk (in minder dan een week), omdat het langdurig bewaren van de gegevens een hoger risico op blootstelling zal hebben.
Nog een laatste tip om mee te geven
Als je een aantal van deze stappen hierboven uitvoert dankzij jouw Data Policy, zorg er dan ook voor dat je ten alle tijden actie kunt ondernemen wanneer jouw gebruikers lokaal of op afstand zijn, op een laptop of mobiel apparaat of op hun eigen device. Afhankelijk van de Cloud-service die je kiest, liggen bepaalde verantwoordelijkheden binnen jouw eigen organisatie (als data-controller) of bij de Cloud-provider (als data-processor). Maar als gevolg van de GDPR, ben je als enige de eindverantwoordelijke voor de data. Dus hou hier zeker rekening mee.