Overslaan naar hoofdinhoud
Pulse

Samen verantwoordelijkheid nemen voor privacy en security

Martin Vliem

Martin Vliem

National Security Officer

Leestijd, 5 min.

Hulp bij privacy- en informatiebeveiliging van Rijksgegevens in de publieke cloud

Burgers, bedrijven en overheden werken steeds vaker samen via de publieke cloud. De Rijksoverheid is overtuigd van de kracht van cloud-technologie en ministeries overwegen nu ook om kernapplicaties ernaartoe te migreren. Onze clouddiensten zijn voorbereid om vertrouwelijke departementale data te beschermen. De Rijksoverheid draagt vervolgens zelf de zorg voor het gedegen inrichten en het veilig in gebruik nemen van deze nieuwe technologie. Het is hiermee een gezamenlijke verantwoordelijkheid waarin we elkaar moeten ondersteunen.

De overheid wil haar burgers beter tot dienst zijn en dat zo efficiënt mogelijk doen. De publieke cloud geeft veel flexibiliteit, waardoor processen binnen de overheid en met burgers verbeteren. De eerdere terughoudendheid van overheidsinstanties ten aanzien van cloud-toepassingen kantelt steeds meer naar omarming ervan. De noodzaak van thuiswerken als gevolg van de lockdown heeft de ingebruikname van cloud-toepassingen als Microsoft 365 en Azure ook bij overheden in een stroomversnelling gebracht.

Overheden experimenteren in de cloud

Een aantal gemeentes hanteert inmiddels een cloud-first strategie en ook de Rijksoverheid is breed gestart met het experimenteren met cloud-toepassingen. Dit kan ook, doordat beleidsontwikkelingen van bijvoorbeeld CIO Rijk en de Nationaal Bureau voor Verbindingsbeveiliging (NBV) steeds meer ruimte bieden voor een risicogebaseerde aanpak. Het spreekt voor zich dat de opslag en verwerking van gegevens moet voldoen aan Baseline Informatiebeveiliging Overheid (BIO) en de Algemene verordening gegevensbescherming (AVG).

Wie is waar precies verantwoordelijk?

De inrichting qua governance in de publieke cloud is voor veel overheidsorganisaties nieuw terrein. Eerder waren álle data en het netwerk in eigen beheer, maar bij cloud-technologie neemt de cloud-leverancier veel werk en verantwoordelijkheid uit handen op het gebied van beveiliging van de gegevens, het netwerk en de toegepaste IT-systemen. Desondanks houden overheidsinstanties de eindverantwoordelijkheid ten aanzien van privacy- en informatiebeveiliging van hun eigen data.

Dit komt onder meer door verplichtingen die voortvloeien uit de BIO en de AVG. De vraag is: hoe zorg je dat alle soorten data op de juiste manier worden beschermd? Het is duidelijk dat publieke data in de publieke cloud mag. Maar hoe zit dat met departementaal vertrouwelijke, tot zeer vertrouwelijke data? Dit zijn gegevens die te allen tijde niet mogen uitlekken of in handen mogen komen van statelijke actoren.

Zelf duidelijkheid scheppen

In gesprekken met overheden komt naar voren dat zij niet precies weten wat ze met hun gerubriceerde data mogen doen. CIO Rijk ontwikkelt mede daarom een nieuwe Verkenning Cloudbeleid voor Nederlandse Rijksdiensten, wat houvast moet bieden voor met name de omgang met meer vertrouwelijke data, zoals bijvoorbeeld Departementaal Vertrouwelijke informatie. De huidige versie van de Verkenning Cloudbeleid biedt nu al inzicht voor ministeries en Rijksdiensten in de voorwaarden voor het migreren van data en applicaties. Zo kunnen zij in een vroeg stadium de voordelen van de cloud ervaren.

Publieke en vertrouwelijke gegevens

Publiek toegankelijke, niet-gerubriceerde gegevens mogen zondermeer naar de publieke cloud. Dit geldt bijvoorbeeld voor data van publieke websites. Wel moet de informatie goed beveiligd zijn, zodat ze niet gemanipuleerd kunnen worden. Departementaal Vertrouwelijke informatie van het niveau BBN2 mag alleen naar de cloud als voldaan is aan hogere eisen en maatregelen zoals versleuteling. Het moet voldoen aan bijvoorbeeld de AVG, de VIRBI (Voorschrift Informatiebeveiliging Rijk Bijzondere Informatie) en diverse normen en standaarden zoals de eerder benoemde BIO.

Vraag naar inrichting binnen de koppelvlakken

De cloud-provider moet via verantwoordingsinformatie waarborgen dat overheidsorganisaties cloud-diensten compliant in kunnen zetten. Microsoft heeft uitgebreide technische mogelijkheden om deze waarborging vorm te geven. Er komen steeds meer vragen over wat de afnemer van die diensten zelf nog moet inrichten binnen de zogenoemde koppelvlakken. Daarbij gaat het veelal om de onderstaande vier aandachtspunten:

  • Data governance: de locatie, rubricering en de bewaartermijn van data
  • Authenticatie en autorisatie: alleen geautoriseerde personen hebben gecontroleerd toegang tot specifieke gegevens
  • Logging en monitoring: controle, loggen en auditeerbaarheid van gebruikersactiviteiten en de beveiligingsstatus van de organisatie
  • Threat management: het monitoren van cyberbeveiligingsproblemen van buitenaf en binnen de organisatie

Ministeries kunnen nu naar de publieke cloud

Data blijven altijd eigendom van de overheid. De eindverantwoordelijkheid voor het borgen van veiligheidsaspecten ligt daarom bij de overheid zelf. Microsoft biedt veel technische, organisatorische en contractuele middelen om aan deze maatregelen te voldoen en daarnaast biedt de huidige Verkenning Cloudbeleid al voldoende ruimte om over te gaan op migratie.

Dek risico’s af met een risico-evaluatie

Een eerste stap is om de beveiligingsmaatregelen van Microsoft te valideren en aan te vullen met eigen maatregelen. Ook moet er een risico-evaluatie worden opgesteld. Deze kan eventueel getoetst worden door de CISO Rijk. Vervolgens moet de secretaris-generaal deze risicoanalyse accepteren en voorzien van een finaal akkoord. De secretaris-generaal neemt deze verantwoordelijkheid pas als er, naast de toetsing van de cloud-leverancier, een goed beeld is van de verantwoordelijkheden (controls) en processen in de eigen organisatie. Hierna kunnen data en kernapplicaties van ministeries naar de publieke cloud gemigreerd worden.

Hulp bij techniek en het proces

Innovatie met Microsoft 365 en Azure helpt de overheid om burgers beter en efficiënter van dienst te zijn. Microsoft helpt bij de technische realisatie en het inrichten van de juiste processen, door de informatiebeveiliging van de publieke cloud conform wet- en regelgeving in te richten. Door duidelijk af te stemmen waar wiens verantwoordelijkheid precies ligt, wordt het voor overheden mogelijk om snel en veilig naar de cloud te migreren.

Hulp bij het inrichten van security- en privacymaatregelen

De verantwoordelijkheden van Microsoft zijn de afgelopen jaren uitgebreid gevalideerd door het Strategische Leveranciersmanagement Rijk, onder het Ministerie van Justitie en Veiligheid. Om overheidsinstanties te ondersteunen bij de inrichting van security- en privacymaatregelen, hebben we Capgemini een whitepaper laten schrijven. Hierin staan handvatten voor afnemers van onze publieke cloud.

Verantwoord, samen innoveren

In deze whitepaper is aandacht voor de verantwoordelijkheid van afnemers bij het inrichten van onze clouddiensten, waarbij zij gebruik kunnen maken van user entity controls. Dit zijn aanvullende maatregelen die afnemers zelf kunnen inrichten bij de adoptie van Microsoft cloud diensten. Met het stappenplan kunnen overheidsinstanties privacy en security borgen binnen hun cloud-adoptie traject. Met dit whitepaper scheppen we duidelijkheid voor alle partijen. Alleen door elkaar te ondersteunen, is het mogelijk om op een verantwoorde manier te innoveren.

 

Download de whitepaper

Safeguarding digital privacy

Discover the 5 ways to increase trust and empower people in our latest eBook, Safeguarding digital privacy

Ontdek meer gerelateerde artikelen per branche:

Educatie

  • De toekomst van het hoger onderwijs: ben jij er klaar voor?

    De toekomst van het hoger onderwijs: ben jij er klaar voor?

    Onze maatschappij is in beweging en het hoger onderwijs verandert mee. Van blended learning en digitaal examineren tot back-up en beveiliging van digitale data. Hoe richt je jouw IT-omgeving hierop in? Hoe werk je schaalbaar, veilig en innovatief? In deze webinarserie staan we stil bij belangrijke technologische ontwikkelingen in het hoger onderwijs. Je leert van […]

  • Haal meer uit Microsoft Teams: bespaar kosten, tijd en verhoog gebruikersgemak

    Haal meer uit Microsoft Teams: bespaar kosten, tijd en verhoog gebruikersgemak

    Afgelopen jaar werd thuiswerken en -onderwijs een must. Docenten, onderzoekers en ondersteunend personeel moesten ineens op afstand werken en lesgeven. Dit lukte dankzij een versnelde uitrol van Microsoft Teams. Het populaire platform biedt gebruikers alle tools en informatie die zij nodig hebben om dit te kunnen doen. Maar je kunt meer uit Microsoft Teams halen! […]

Financiële dienstverlening

  • Man with Surface Studio 2+

    Microsoft Surface in de financiële dienstverlening

    Een logische keuze voor een branche met specifieke eisen Dat organisaties in de financiële dienstverlening specifieke (en hoge) eisen stellen aan technologie is niet verrassend. Er worden bijvoorbeeld specifieke voorwaarden gesteld aan beveiliging en compliance. Tegelijkertijd spelen er nieuwe ontwikkelingen, zoals het hybride werken. Welke rol kan Surface hierin spelen? Een belangrijke ontwikkeling voor organisaties […]

Government

  • Gemeente Katwijk in een kwartier over op Microsoft Teams Phone

    Gemeente Katwijk in een kwartier over op Microsoft Teams Phone

    Binnen enkele minuten belde de gemeente Katwijk met Microsoft Teams in plaats van de traditionele PBX-centrale. “De overgang was de snelste die ik ooit zag!” Projectleider ICT Gemeente Katwijk Steven Shukrula kijkt tevreden terug hoe soepel de ommekeer verliep en hoe goed het communicatie- en samenwerkingsplatform zijn collega’s nu en in de toekomst ondersteunt.   […]

Overheid

  • een groep mensen staat naast een hond

    Belgische politie voltooit veilige, mobile-first transformatie

    Het delen van informatie is nu veel gemakkelijker voor functionarissen en ondersteunend personeel – dankzij Microsoft Teams op een krachtig en veilig digitaal platform.

  • Two people walking with Surface

    Surface voor overheidsinstanties

    De voordelen van Surface De overheid heeft te maken met verschillende veranderingen op de werkvloer. Zo wordt vaker ingezet op het hybride werken. Een mooie ontwikkeling, maar medewerkers hebben hiervoor wel de juiste ondersteuning nodig. Ook kijken meer overheidsinstanties kritisch naar de kernprocessen, met als doel de dienstverlening aan burgers te verbeteren. Overheidsmedewerkers zijn steeds […]

Productie

  • Surface in manufacturing, man with Surface Duo

    Surface in Manufacturing

    The benefits of Surface In a manufacturing environment, like a factory, users often have stringent demands for their hardware. In developing Surface, we pay close attention to the different environments in which Surface can be used and seek to ensure that people can work optimally with the right technology. What can Surface do for manufacturing? […]

  • Surface in manufacturing, man with Surface Duo

    Surface voor productiebedrijven

    De voordelen van Surface Bij productiebedrijven, zoals een fabriek, worden hoge eisen gesteld aan de gebruikte hardware. Bij de ontwikkeling van Surface houden we rekening met de verschillende omgevingen waarin Surface kan worden gebruikt én zorgen we ervoor dat collega’s optimaal kunnen werken met de juiste technologie. Welke rol speelt Surface binnen productiebedrijven? Verschillende uitdagingen […]

Retail

  • Surface in retail, man and woman at counter

    Surface voor retail

    De voordelen van Surface Retail-organisaties hebben te maken met verschillende veranderingen én kansen. Goede voorbeelden hiervan zijn de kansen op het gebied van e-commerce, maar ook relatief nieuwe winkelvormen, zoals pop-upwinkels en pick-uplocaties. Zulke ontwikkelingen stellen de nodige eisen aan technologie. Juist in deze situaties komt Surface goed van pas. Surface bestaat uit verschillende modellen. […]

  • Headbrands klaar voor de toekomst met Microsoft 365 Business

    Headbrands klaar voor de toekomst met Microsoft 365 Business

    Sinds de oprichting in 2010 is HeadBrands voortdurend uitgebreid. Het bedrijf is snel gegroeid en is nu de leidende kappersgroothandel op de Scandinavische markt. HeadBrands had een moderne IT-oplossing nodig om de productiviteit van het bedrijf te verhogen en de samenwerking zowel binnen het bedrijf als extern te verbeteren. De oplossing was om het grootste […]

Zorg

  • Een operatieteam in actie

    Maasstad Ziekenhuis: Werken als één medisch team tijdens een crisis

    In tijden van crisis rekent een organisatie erop dat het leiderschap het voortouw neemt. Toen COVID-19 zich begin 2020 door heel Europa verspreidde, maakte de CEO van het Maasstad Ziekenhuis Peter Langenbach zich op om de reactie op de crisis te coördineren zoals hij altijd deed, door aanwezig en zichtbaar te zijn en te vertrouwen […]

  • Iemand die voor een laptopcomputer zit

    Digitale transformatie met een oerknal en hoe je dat voor elkaar krijgt

    Tegenwoordig bestaat een ‘normale gang van zaken’ niet meer. Verandering en innovatie zijn de nieuwe norm. Denk maar aan de veranderingen die je organisatie op dit moment doormaakt met nieuwe technologie en technieken die om nieuwe houdingen en verwachtingen vragen van zowel medewerkers als klanten. Alles verandert. Het enige wat al die veranderingen gemeen hebben, […]

Ontdek meer gerelateerde artikelen per dossier:

Digitale transformatie

Klantverhalen

Partners

  • Woman executive working on Surface Hub 2S in Whiteboard with Surface Hub 2 Pen

    Ontdek de Surface reseller website

      Ontdek hoe je onze Surface reseller website gebruikt, en volg onze instructies om soepele inlog mogelijk te maken. Haal voordeel uit de Surface reseller website Speciaal voor al onze Surface resellers hebben we een unieke Surface website ontwikkelt. Deze website geeft naast meer informatie over onze devices, ook assets voor marketing en informatie over […]

Pers / Nieuws

Security & Privacy

  • een man in een gestreept overhemd kijkt naar de camera

    9 manieren waarop Microsoft IT hun medewerkers helpt bij thuiswerken

    Van Milaan tot Puget Sound zijn tienduizenden Microsoft-medewerkers thuis aan het werk als gevolg van de COVID-19-uitbraak. Veel klanten hebben ons gevraagd hoe we samenwerking en werken op afstand mogelijk maken voor zo’n groot aantal medewerkers. Hier zijn de negen belangrijkste factoren vanuit het oogpunt van compliance en beveiliging: 1. Gebruikersidentiteit en -toegang Het begint allemaal met […]

Tips

Webinars

  • Vanuit huis en kantoor weer gelijkwaardig vergaderen

    Vanuit huis en kantoor weer gelijkwaardig vergaderen

    ‘Niemand werkt nog vijf dagen op kantoor, mensen werken vijf dagen thuis.’ Als iemand dit meer dan twee jaar geleden zo ter discussie had gesteld, waren we nu nog niet uitgepraat. Ook wij niet. De manier waarop we werken als gevolg van de pandemie is 180 graden veranderd. Gelukkig is er inmiddels een betere ‘hybride’ […]