Maatregelen borgen veilige toepassing in de cloud voor de Woo

De angst lijkt er bij veel gemeenten en anders overheidsinstanties inmiddels goed in te zitten. Hoe ontworstel je je aan (Amerikaanse) techreuzen als Microsoft, Google en Amazon en zorg je voor een veilige opslag van je data? ‘Begrijpelijke vragen, maar juist de cloud is de veiligste omgeving,’ meent Hans Willers, adviseur bij Reveal-ZyLAB. Hij hoopt bij instanties op pragmatisme. ‘Vooralsnog lijkt de US Cloud Act niet meer dan een papieren tijger in de la.’

Is de cloud gevaarlijk? Het spook van de Amerikaanse grip op onze data waart rond bij bestuursorganen. ‘Er wordt volop ingespeeld op de angst,’ merkt Hans. Hij verwijst naar de US Cloud Act, waar veel over wordt geschreven. Kan Amerika hiermee via de Amerikaanse big tech bedrijven gemakkelijk onze data in handen krijgen en ook zomaar ons mailverkeer stilleggen? Moeten we daarom niet als een haas in een Nederlandse of Europese cloud zien te komen? ‘Hierover bestaan veel onterechte angstbeelden, versterkt door de media. Dat de Amerikanen door de Act automatisch en gemakkelijk toegang hebben, klopt bijvoorbeeld niet. Het is wél logisch dat je een en ander op papier regelt voor wanneer het uit de hand loopt. En wat dat betreft beschermt de Act je vooral. Daar komt bij dat tot op heden geen enkel verzoek via de Act is gehonoreerd door Microsoft. En als er een verzoek komt, soms ook vanuit Nederland vanuit opsporingsperspectief, gaat dat altijd via verschillende schijven, waarbij de data tot op het laatst versleuteld blijft. Amerika kan er dan dus nog steeds niets mee,’ aldus Hans.

Verantwoordelijkheid van de cloudprovider

De discussie over datasoevereiniteit gaat niet alleen over waar de data staat, maar vooral over hoe partijen ermee omgaan. Hans meent dat je van een professionele cloudprovider actieve maatregelen mag verwachten om gegevens te beschermen, ongeacht de locatie van de infrastructuur. Hij legt uit: ‘Een van de kernonderdelen daarvan is vergaande versleuteling van data, zowel tijdens transport als bij opslag. Door data te versleutelen terwijl deze over netwerken wordt verzonden, voorkom je dat informatie onderweg kan worden onderschept of gelezen. Dit gebeurt via beveiligde verbindingen, waarbij cliënt en server eerst cryptografische sleutels uitwisselen en afspraken maken over de gebruikte encryptiemethoden. Pas daarna wordt data automatisch versleuteld verzonden en aan de ontvangende kant weer gecontroleerd ontsleuteld. In combinatie met encryptie van opgeslagen data zorgt dit ervoor dat informatie ook bij ongeautoriseerde toegang onleesbaar blijft. Zulke maatregelen maken duidelijk dat datasoevereiniteit in de cloud niet primair draait om emotie of geopolitiek, maar om aantoonbaar verantwoord datamanagement door de cloudprovider zelf.’

Relativering

Eerlijk is eerlijk, een feilloos systeem bestaat niet en veiligheidsprotocollen zijn van groot belang. ‘Daarom verplichten wij ons tot de BIO(2)-normering. Die gaat over de Baseline Informatiebeveiliging Overheid. Wij voldoen voor onze Woo-software aan alle regelgeving, zoals ISO, SOC2, encryptie, toegangscontrole en tijdige patching,’ aldus Hans, die evengoed voor enige relativering pleit. ‘Bij de afhandeling van Woo-aanvragen heb je weliswaar te maken met informatie die gevoelig kan zijn, maar bij Reveal-ZyLAB gaat het niet om een basissysteem waar alle correspondentie doorheen gaat en waar altijd gegevens van burgers in staan, zoals een lijst met burgerservicenummers. Onze software is geen gegevensdatabase, maar een beoordelingssysteem om Woo-documenten mee af te handelen.’

Lange vragenlijsten

De oproep tot enige relativering brengt Hans op de lange vragenlijsten en uitgebreide due-diligence-trajecten die hij tegenkomt bij bestuursorganen. ‘Op zich begrijpelijk. Gemeenten en andere bestuursorganen dragen een grote verantwoordelijkheid voor gevoelige informatie en willen zekerheid dat leveranciers hun zaken op orde hebben. Die zorgvuldigheid is terecht. Tegelijkertijd is het belangrijk dat zulke vragenlijsten gericht zijn op de daadwerkelijke toepassing die bestuursorganen afnemen en op de risico’s die met die toepassing samenhangen.’ Volgens Hans dragen vragen die losstaan van de functionaliteit, van het type data of van de rol van de applicatie in het IT-landschap niet alleen weinig bij aan een betere beveiliging, ze zorgen ook voor extra complexiteit en vertraging. ‘Een pragmatische benadering, waarin wordt gekeken naar wat er echt toe doet voor de specifieke software en het gebruik ervan, helpt ons en het bestuursorgaan om veiligheid, compliance en werkbaarheid met elkaar in balans te brengen. Uiteindelijk is datasoevereiniteit niet gebaat bij zoveel mogelijk vinkjes, maar bij relevante vragen en aantoonbare maatregelen die passen bij het doel van de applicatie.’