Martin Vliem
National Security Officer
Hulp bij privacy- en informatiebeveiliging van Rijksgegevens in de publieke cloud
Burgers, bedrijven en overheden werken steeds vaker samen via de publieke cloud. De Rijksoverheid is overtuigd van de kracht van cloud-technologie en ministeries overwegen nu ook om kernapplicaties ernaartoe te migreren. Onze clouddiensten zijn voorbereid om vertrouwelijke departementale data te beschermen. De Rijksoverheid draagt vervolgens zelf de zorg voor het gedegen inrichten en het veilig in gebruik nemen van deze nieuwe technologie. Het is hiermee een gezamenlijke verantwoordelijkheid waarin we elkaar moeten ondersteunen.
De overheid wil haar burgers beter tot dienst zijn en dat zo efficiënt mogelijk doen. De publieke cloud geeft veel flexibiliteit, waardoor processen binnen de overheid en met burgers verbeteren. De eerdere terughoudendheid van overheidsinstanties ten aanzien van cloud-toepassingen kantelt steeds meer naar omarming ervan. De noodzaak van thuiswerken als gevolg van de lockdown heeft de ingebruikname van cloud-toepassingen als Microsoft 365 en Azure ook bij overheden in een stroomversnelling gebracht.
Een aantal gemeentes hanteert inmiddels een cloud-first strategie en ook de Rijksoverheid is breed gestart met het experimenteren met cloud-toepassingen. Dit kan ook, doordat beleidsontwikkelingen van bijvoorbeeld CIO Rijk en de Nationaal Bureau voor Verbindingsbeveiliging (NBV) steeds meer ruimte bieden voor een risicogebaseerde aanpak. Het spreekt voor zich dat de opslag en verwerking van gegevens moet voldoen aan Baseline Informatiebeveiliging Overheid (BIO) en de Algemene verordening gegevensbescherming (AVG).
De inrichting qua governance in de publieke cloud is voor veel overheidsorganisaties nieuw terrein. Eerder waren álle data en het netwerk in eigen beheer, maar bij cloud-technologie neemt de cloud-leverancier veel werk en verantwoordelijkheid uit handen op het gebied van beveiliging van de gegevens, het netwerk en de toegepaste IT-systemen. Desondanks houden overheidsinstanties de eindverantwoordelijkheid ten aanzien van privacy- en informatiebeveiliging van hun eigen data.
Dit komt onder meer door verplichtingen die voortvloeien uit de BIO en de AVG. De vraag is: hoe zorg je dat alle soorten data op de juiste manier worden beschermd? Het is duidelijk dat publieke data in de publieke cloud mag. Maar hoe zit dat met departementaal vertrouwelijke, tot zeer vertrouwelijke data? Dit zijn gegevens die te allen tijde niet mogen uitlekken of in handen mogen komen van statelijke actoren.
In gesprekken met overheden komt naar voren dat zij niet precies weten wat ze met hun gerubriceerde data mogen doen. CIO Rijk ontwikkelt mede daarom een nieuwe Verkenning Cloudbeleid voor Nederlandse Rijksdiensten, wat houvast moet bieden voor met name de omgang met meer vertrouwelijke data, zoals bijvoorbeeld Departementaal Vertrouwelijke informatie. De huidige versie van de Verkenning Cloudbeleid biedt nu al inzicht voor ministeries en Rijksdiensten in de voorwaarden voor het migreren van data en applicaties. Zo kunnen zij in een vroeg stadium de voordelen van de cloud ervaren.
Publiek toegankelijke, niet-gerubriceerde gegevens mogen zondermeer naar de publieke cloud. Dit geldt bijvoorbeeld voor data van publieke websites. Wel moet de informatie goed beveiligd zijn, zodat ze niet gemanipuleerd kunnen worden. Departementaal Vertrouwelijke informatie van het niveau BBN2 mag alleen naar de cloud als voldaan is aan hogere eisen en maatregelen zoals versleuteling. Het moet voldoen aan bijvoorbeeld de AVG, de VIRBI (Voorschrift Informatiebeveiliging Rijk Bijzondere Informatie) en diverse normen en standaarden zoals de eerder benoemde BIO.
De cloud-provider moet via verantwoordingsinformatie waarborgen dat overheidsorganisaties cloud-diensten compliant in kunnen zetten. Microsoft heeft uitgebreide technische mogelijkheden om deze waarborging vorm te geven. Er komen steeds meer vragen over wat de afnemer van die diensten zelf nog moet inrichten binnen de zogenoemde koppelvlakken. Daarbij gaat het veelal om de onderstaande vier aandachtspunten:
Data blijven altijd eigendom van de overheid. De eindverantwoordelijkheid voor het borgen van veiligheidsaspecten ligt daarom bij de overheid zelf. Microsoft biedt veel technische, organisatorische en contractuele middelen om aan deze maatregelen te voldoen en daarnaast biedt de huidige Verkenning Cloudbeleid al voldoende ruimte om over te gaan op migratie.
Een eerste stap is om de beveiligingsmaatregelen van Microsoft te valideren en aan te vullen met eigen maatregelen. Ook moet er een risico-evaluatie worden opgesteld. Deze kan eventueel getoetst worden door de CISO Rijk. Vervolgens moet de secretaris-generaal deze risicoanalyse accepteren en voorzien van een finaal akkoord. De secretaris-generaal neemt deze verantwoordelijkheid pas als er, naast de toetsing van de cloud-leverancier, een goed beeld is van de verantwoordelijkheden (controls) en processen in de eigen organisatie. Hierna kunnen data en kernapplicaties van ministeries naar de publieke cloud gemigreerd worden.
Innovatie met Microsoft 365 en Azure helpt de overheid om burgers beter en efficiënter van dienst te zijn. Microsoft helpt bij de technische realisatie en het inrichten van de juiste processen, door de informatiebeveiliging van de publieke cloud conform wet- en regelgeving in te richten. Door duidelijk af te stemmen waar wiens verantwoordelijkheid precies ligt, wordt het voor overheden mogelijk om snel en veilig naar de cloud te migreren.
De verantwoordelijkheden van Microsoft zijn de afgelopen jaren uitgebreid gevalideerd door het Strategische Leveranciersmanagement Rijk, onder het Ministerie van Justitie en Veiligheid. Om overheidsinstanties te ondersteunen bij de inrichting van security- en privacymaatregelen, hebben we Capgemini een whitepaper laten schrijven. Hierin staan handvatten voor afnemers van onze publieke cloud.
In deze whitepaper is aandacht voor de verantwoordelijkheid van afnemers bij het inrichten van onze clouddiensten, waarbij zij gebruik kunnen maken van user entity controls. Dit zijn aanvullende maatregelen die afnemers zelf kunnen inrichten bij de adoptie van Microsoft cloud diensten. Met het stappenplan kunnen overheidsinstanties privacy en security borgen binnen hun cloud-adoptie traject. Met dit whitepaper scheppen we duidelijkheid voor alle partijen. Alleen door elkaar te ondersteunen, is het mogelijk om op een verantwoorde manier te innoveren.
| Download de whitepaper |
Veelgehoord: wat kunnen we nu wel/niet met de publieke cloud?
Als overheid naar de cloud gaan, kan dat zomaar? Veel lijkt onduidelijk, maar is het uiteindelijk niet. Er zijn gewoon regels. Volgens het Rijksbrede cloudbeleid 2022 mogen overheidsdiensten ‘onder voorwaarden’ publieke clouddiensen inzetten. Daarbij zijn veiligheidsrisico’s vooraf altijd leidend. Wat voor risico loop je? In het geval van staatsgeheimen mag er nooit gebruik worden gemaakt […]
Microsoft Nederland
Microsoft Nederland
Security Events
Graag nodigen we jou en jouw team uit om kosteloos deel te nemen aan een van onze workshops De eerste workshop geeft inzicht in informatiebeheer en de tweede workshop focust op openbaarheid en WOO-verzoeken met Microsoft 365. Deze workshops zijn ontworpen om jou te laten ervaren hoe technologie kan helpen om als organisatie te voldoen aan voorschriften, wetten en […]
Julie van Loef
Go To Market Manager Security, Compliance & Identity
Microsoft Security: Iedereen is ICT’er – blog overzicht.
Hieronder staat het totale overzicht van al onze blogs. Klik op de titel om het blog te lezen. Aan wie vertrouw jij je data toe? Hackers hoeven niet te hacken, ze loggen gewoon in Opeen weet je het: ik word ethisch hacker! Op kantoor geen stekkertje meer in de muur Met desinformatie hack je […]
Microsoft Nederland
Microsoft Nederland
