Voer een solide risicoanalyse uit

De grote vraag is: als je nu de cloud in gaat, hoe adresseer je risico’s? Dat kunnen privacy-risico’s en informatiebeveiligingsrisico’s zijn. Veel draait om persoonsgegevens. Maar ook duurzaamheidsrisico’s nemen we steeds vaker mee. Alles leidt tot de vraag: wie is eindverantwoordelijk?

Gedeelde verantwoordelijkheid

Het inrichten van cloud (Microsoft 365, Dynamics en Azure) kunnen we samen uitvoeren. Alleen, zodra een overheidspartij gegevens naar onze cloud verplaatst, verandert de verantwoordelijkheid die deze partij heeft om de gegevens te beveiligen. Microsoft hanteert daarom het ‘shared responsibility model’. Dit model houdt in dat de verantwoordelijkheid voor gegevensbeveiliging gedeeltelijk bij Microsoft ligt en voor een deel bij overheidsinstanties zelf. Dit komt onder meer door verplichtingen die voortvloeien uit de AVG (Algemene Verordening Gegevensbescherming) en de BIO. Hoe gaat Microsoft om met informatiebeveiliging? Zijn de mensen juist opgeleid? Gaat er niemand met gevoelige data vandoor? Zijn er afdoende security maatregelen genomen? Zomaar wat vragen die we vaak op ons afkrijgen. Wees gerust: Microsoft heeft een enorme voorsprong in de markt door alle ervaring die we hebben opgedaan. We hebben onze zaken op orde. Daardoor kunnen wij overheidspartijen veel effectiever helpen met hun informatiehuishouding.

Overheid X

Hoe werkt dat model in de praktijk? Stel, je bent een overheidsinstantie en je hebt een typisch cloud-project met informatie van burgers. Dan zijn er vereisten: vanuit wet- en regelgeving, eigen cloudstrategie en Rijksbreed cloudbeleid. Je start met het uitvoeren van een risicoanalyse. Niets nieuws, dit zou een standaard onderdeel moeten zijn van ieder project. Niet alleen bij cloud. Zo’n risicoanalyse kunnen we je bij Microsoft niet uit handen nemen. Feitelijk zijn wij onderdeel van jouw analyse. Daarom mag je ons wel vragen wat voor maatregelen wij van onze kant allemaal hebben genomen. En dat zijn er veel, zoveel zelfs dat we spreken van een stuk standaardisering, toegespitst op ministeries, gemeentes, provincies en zelfstandige bestuursorganen. Als je dit als CISO bij een overheidspartij uitgevoerd hebt, volgt de volgende stap: de cloud-inrichting. Moet ik Microsoft 365 speciaal configureren? Wie mag er wel of niet in mijn cloud? Heb je goed nagedacht over het authenticatie en autorisatie? Hoe rubriceer je informatie? Moet ik versleuteling toevoegen? En ga zo maar door. Ook hier kunnen we adviseren, maar het denkwerk en de inrichting ligt bij jou. Zo doorlopen we het ‘shared responsibility model’. De verdere invulling en uitrol zal voldoen aan alle bestaande eisen en nieuwe eisen die eraan gaan komen. Future proof.

Privacy

Privacy, GDPR en DPIA’s. Het proces met het Ministerie van Justitie en Veiligheid (MoJ) – Strategisch Leveranciersmanagement Microsoft Rijk – leidde tot een generieke (privacy)ratificatie wanneer entiteiten de contractuele voorwaarden gebruiken die met het Ministerie van Justitie zijn overeengekomen.  Dit werd met de Tweede Kamer gedeeld in een brief: Verificatie op de uitvoering van het overeengekomen verbeterplan met Microsoft | Tweede Kamer der Staten-Generaal.  Hoewel er nog veel (geopolitieke) ontwikkelingen zijn op het gebied van privacy en informatiebeveiliging, gelooft Microsoft dat het mogelijk is voor klanten uit de publieke sector om Microsoft online services op een compliant wijze te kunnen adopteren, in lijn met de eisen van de Rijksoverheid.

Nu beschikbaar

• De brief van de ministers van JenV en BZK met een verificatie op de uitvoering van het overeengekomen verbeterplan met Microsoft. Een positief advies over de inzet van Microsoft cloud […] Gezien de behaalde resultaten zoals hierboven beschreven ziet SLM Microsoft Rijk, vanuit AVG-perspectief geen bezwaren voor bij SLM Microsoft aangesloten organisaties Microsoft Office ProPlus, Windows 10 Enterprise en Azure te gebruiken […]
  https://www.tweedekamer.nl/kamerstukken/brieven_regering/detail?id=2019Z13829&did=2019D28465
• Strategisch Leveranciersmanagement Rijk (SLM) uitgevoerde Data Protection Impact Assessments (DPIA): Downloads – DPIAs – SLM Microsoft, Google Cloud en Amazon Web Services (slmmicrosoftrijk.nl)
• Teams DPIA: https://slmmicrosoftrijk.nl/?smd_process_download=1&download_id=5231
• Teams DPIA toelichting op de verwerking van bijzondere persoonsgegevens: https://slmmicrosoftrijk.nl/?smd_process_download=1&download_id=5294
• Teams Transfer Impact Assessment (DTIA): https://slmmicrosoftrijk.nl/?smd_process_download=1&download_id=5286
• Rijksamendement op de verwerkersovereenkomst (DPA) opvraagbaar bij SLM.
• Auditrapport “Profiling” door EY in opdracht van SLM: https://slmmicrosoftrijk.nl/?smd_process_download=1&download_id=3059
• Verwerkersovereenkomst, waarin de specifieke Rijksafspraken grotendeels en in materiële zin zijn geïntegreerd: https://aka.ms/dpa
• ISO 27018: Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors. Certificering beschikbaar op het service trust portal: https://aka.ms/stp
• ISO27701: Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines. Certificering beschikbaar op het service trust portal: https://aka.ms/stp
• Contractuele afspraken over gegevensverwerking zijn met SLM vastgelegd in amendement “CTM2”. Opvraagbaar bij SLM.

Verwacht

• Nieuwe model DPIA’s en Technologie verificaties gericht op Microsoft Cloud diensten

Security

Microsoft biedt uitgebreide waarborgen welke goed passen op de kwaliteits- en beveiligingseisen van de Nederlandse overheid.

Nu beschikbaar

• KPMG assessment BIO Coverage report M365 & Azure. Binnenkort online beschikbaar. Ook op te vragen bij uw Microsoft contactpersoon.
• Diverse ISO certificeringen, beschikbaar op het service trust portal: https://aka.ms/stp.
• ISO 27001: Information Security Management. De BIO is gebaseerd op ISO 27001 en ISO 27002. Beschikbaar op het service trust portal: https://aka.ms/stp
• ISO 27002: Information security, cybersecurity and privacy protection — Information security controls. De BIO is gebaseerd op ISO 27001 en ISO 27002
• ISO 27017: Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services. Beschikbaar op het service trust portal: https://aka.ms/stp
• ISO 27018: Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors. Beschikbaar op het service trust portal: https://aka.ms/stp
• SOC 2 Type II verklaringen, welke opzet, bestaan en werking van Microsoft Controls aantonen en binnen een BIO assessment worden gebruikt wanneer service providers worden geëvalueerd. Beschikbaar op het service trust portal: https://aka.ms/stp

Verwacht

• Vanuit overheid gedragen aanvullende BIO assessment op Microsoft Cloud diensten

Aanvullende documentatie

Zoals richtsnoeren voor risicobeoordeling en andere richtsnoeren

• Answering Europe’s Call: Storing and Processing EU Data in the EU. Voor alle commerciële en publieke klanten die zich in de EU bevinden, zal Microsoft de persoonlijke gegevens van klanten in de EU opslaan en verwerken, inclusief diagnostische gegevens. Answering Europe’s Call: Storing and Processing EU Data in the EU – EU Policy Blog (microsoft.com)
• Whitepaper wat we geschreven hebben rondom Cloud compliance, bevat een korte sectie in de Appendix over situatie Nederland en een lijst van 61 vragen/antwoorden rondom security, privacy en compliance. Op te vragen  via: https://aka.ms/MSCloudGovernanceEN

Dit zijn enkele openbare Microsoft-blogs over het werk dat we met o.a. het Ministerie van Justitie en Veiligheid hebben gedaan:

• Introducing more privacy transparency for our commercial cloud customers: Introducing more privacy transparency for our commercial cloud customers (microsoft.com)
• How Microsoft works with customers to keep their trust: A story from the Netherlands: How Microsoft works with customers to keep their trust: A story from the Netherlands – EU Policy Blog
• Algemeen blog “Samen verantwoordelijkheid nemen voor privacy en security (microsoft.com)” gericht op Microsoft Cloud voor Nederlandse Publieke sector
• Algemeen blog “In 4 stappen verantwoord naar de cloud | iBestuur‘