Overslaan naar hoofdinhoud
Pulse

Samen verantwoordelijkheid nemen voor privacy en security

Martin Vliem

Martin Vliem

National Security Officer

Leestijd, 5 min.

Hulp bij privacy- en informatiebeveiliging van Rijksgegevens in de publieke cloud

Burgers, bedrijven en overheden werken steeds vaker samen via de publieke cloud. De Rijksoverheid is overtuigd van de kracht van cloud-technologie en ministeries overwegen nu ook om kernapplicaties ernaartoe te migreren. Onze clouddiensten zijn voorbereid om vertrouwelijke departementale data te beschermen. De Rijksoverheid draagt vervolgens zelf de zorg voor het gedegen inrichten en het veilig in gebruik nemen van deze nieuwe technologie. Het is hiermee een gezamenlijke verantwoordelijkheid waarin we elkaar moeten ondersteunen.

De overheid wil haar burgers beter tot dienst zijn en dat zo efficiënt mogelijk doen. De publieke cloud geeft veel flexibiliteit, waardoor processen binnen de overheid en met burgers verbeteren. De eerdere terughoudendheid van overheidsinstanties ten aanzien van cloud-toepassingen kantelt steeds meer naar omarming ervan. De noodzaak van thuiswerken als gevolg van de lockdown heeft de ingebruikname van cloud-toepassingen als Microsoft 365 en Azure ook bij overheden in een stroomversnelling gebracht.

Overheden experimenteren in de cloud

Een aantal gemeentes hanteert inmiddels een cloud-first strategie en ook de Rijksoverheid is breed gestart met het experimenteren met cloud-toepassingen. Dit kan ook, doordat beleidsontwikkelingen van bijvoorbeeld CIO Rijk en de Nationaal Bureau voor Verbindingsbeveiliging (NBV) steeds meer ruimte bieden voor een risicogebaseerde aanpak. Het spreekt voor zich dat de opslag en verwerking van gegevens moet voldoen aan Baseline Informatiebeveiliging Overheid (BIO) en de Algemene verordening gegevensbescherming (AVG).

Wie is waar precies verantwoordelijk?

De inrichting qua governance in de publieke cloud is voor veel overheidsorganisaties nieuw terrein. Eerder waren álle data en het netwerk in eigen beheer, maar bij cloud-technologie neemt de cloud-leverancier veel werk en verantwoordelijkheid uit handen op het gebied van beveiliging van de gegevens, het netwerk en de toegepaste IT-systemen. Desondanks houden overheidsinstanties de eindverantwoordelijkheid ten aanzien van privacy- en informatiebeveiliging van hun eigen data.

Dit komt onder meer door verplichtingen die voortvloeien uit de BIO en de AVG. De vraag is: hoe zorg je dat alle soorten data op de juiste manier worden beschermd? Het is duidelijk dat publieke data in de publieke cloud mag. Maar hoe zit dat met departementaal vertrouwelijke, tot zeer vertrouwelijke data? Dit zijn gegevens die te allen tijde niet mogen uitlekken of in handen mogen komen van statelijke actoren.

Zelf duidelijkheid scheppen

In gesprekken met overheden komt naar voren dat zij niet precies weten wat ze met hun gerubriceerde data mogen doen. CIO Rijk ontwikkelt mede daarom een nieuwe Verkenning Cloudbeleid voor Nederlandse Rijksdiensten, wat houvast moet bieden voor met name de omgang met meer vertrouwelijke data, zoals bijvoorbeeld Departementaal Vertrouwelijke informatie. De huidige versie van de Verkenning Cloudbeleid biedt nu al inzicht voor ministeries en Rijksdiensten in de voorwaarden voor het migreren van data en applicaties. Zo kunnen zij in een vroeg stadium de voordelen van de cloud ervaren.

Publieke en vertrouwelijke gegevens

Publiek toegankelijke, niet-gerubriceerde gegevens mogen zondermeer naar de publieke cloud. Dit geldt bijvoorbeeld voor data van publieke websites. Wel moet de informatie goed beveiligd zijn, zodat ze niet gemanipuleerd kunnen worden. Departementaal Vertrouwelijke informatie van het niveau BBN2 mag alleen naar de cloud als voldaan is aan hogere eisen en maatregelen zoals versleuteling. Het moet voldoen aan bijvoorbeeld de AVG, de VIRBI (Voorschrift Informatiebeveiliging Rijk Bijzondere Informatie) en diverse normen en standaarden zoals de eerder benoemde BIO.

Vraag naar inrichting binnen de koppelvlakken

De cloud-provider moet via verantwoordingsinformatie waarborgen dat overheidsorganisaties cloud-diensten compliant in kunnen zetten. Microsoft heeft uitgebreide technische mogelijkheden om deze waarborging vorm te geven. Er komen steeds meer vragen over wat de afnemer van die diensten zelf nog moet inrichten binnen de zogenoemde koppelvlakken. Daarbij gaat het veelal om de onderstaande vier aandachtspunten:

  • Data governance: de locatie, rubricering en de bewaartermijn van data
  • Authenticatie en autorisatie: alleen geautoriseerde personen hebben gecontroleerd toegang tot specifieke gegevens
  • Logging en monitoring: controle, loggen en auditeerbaarheid van gebruikersactiviteiten en de beveiligingsstatus van de organisatie
  • Threat management: het monitoren van cyberbeveiligingsproblemen van buitenaf en binnen de organisatie

Ministeries kunnen nu naar de publieke cloud

Data blijven altijd eigendom van de overheid. De eindverantwoordelijkheid voor het borgen van veiligheidsaspecten ligt daarom bij de overheid zelf. Microsoft biedt veel technische, organisatorische en contractuele middelen om aan deze maatregelen te voldoen en daarnaast biedt de huidige Verkenning Cloudbeleid al voldoende ruimte om over te gaan op migratie.

Dek risico’s af met een risico-evaluatie

Een eerste stap is om de beveiligingsmaatregelen van Microsoft te valideren en aan te vullen met eigen maatregelen. Ook moet er een risico-evaluatie worden opgesteld. Deze kan eventueel getoetst worden door de CISO Rijk. Vervolgens moet de secretaris-generaal deze risicoanalyse accepteren en voorzien van een finaal akkoord. De secretaris-generaal neemt deze verantwoordelijkheid pas als er, naast de toetsing van de cloud-leverancier, een goed beeld is van de verantwoordelijkheden (controls) en processen in de eigen organisatie. Hierna kunnen data en kernapplicaties van ministeries naar de publieke cloud gemigreerd worden.

Hulp bij techniek en het proces

Innovatie met Microsoft 365 en Azure helpt de overheid om burgers beter en efficiënter van dienst te zijn. Microsoft helpt bij de technische realisatie en het inrichten van de juiste processen, door de informatiebeveiliging van de publieke cloud conform wet- en regelgeving in te richten. Door duidelijk af te stemmen waar wiens verantwoordelijkheid precies ligt, wordt het voor overheden mogelijk om snel en veilig naar de cloud te migreren.

Hulp bij het inrichten van security- en privacymaatregelen

De verantwoordelijkheden van Microsoft zijn de afgelopen jaren uitgebreid gevalideerd door het Strategische Leveranciersmanagement Rijk, onder het Ministerie van Justitie en Veiligheid. Om overheidsinstanties te ondersteunen bij de inrichting van security- en privacymaatregelen, hebben we Capgemini een whitepaper laten schrijven. Hierin staan handvatten voor afnemers van onze publieke cloud.

Verantwoord, samen innoveren

In deze whitepaper is aandacht voor de verantwoordelijkheid van afnemers bij het inrichten van onze clouddiensten, waarbij zij gebruik kunnen maken van user entity controls. Dit zijn aanvullende maatregelen die afnemers zelf kunnen inrichten bij de adoptie van Microsoft cloud diensten. Met het stappenplan kunnen overheidsinstanties privacy en security borgen binnen hun cloud-adoptie traject. Met dit whitepaper scheppen we duidelijkheid voor alle partijen. Alleen door elkaar te ondersteunen, is het mogelijk om op een verantwoorde manier te innoveren.

 

Download de whitepaper

Safeguarding digital privacy

Discover the 5 ways to increase trust and empower people in our latest eBook, Safeguarding digital privacy

Ontdek meer gerelateerde artikelen per branche:

Educatie

Government

  • Gemeente Katwijk in een kwartier over op Microsoft Teams Phone

    Gemeente Katwijk in een kwartier over op Microsoft Teams Phone

    Binnen enkele minuten belde de gemeente Katwijk met Microsoft Teams in plaats van de traditionele PBX-centrale. “De overgang was de snelste die ik ooit zag!” Projectleider ICT Gemeente Katwijk Steven Shukrula kijkt tevreden terug hoe soepel de ommekeer verliep en hoe goed het communicatie- en samenwerkingsplatform zijn collega’s nu en in de toekomst ondersteunt.   […]

Overheid

  • Two people walking with Surface

    Surface voor overheidsinstanties

    De voordelen van Surface De overheid heeft te maken met verschillende veranderingen op de werkvloer. Zo wordt vaker ingezet op het hybride werken. Een mooie ontwikkeling, maar medewerkers hebben hiervoor wel de juiste ondersteuning nodig. Ook kijken meer overheidsinstanties kritisch naar de kernprocessen, met als doel de dienstverlening aan burgers te verbeteren. Overheidsmedewerkers zijn steeds […]

  • Verhoog je digitale weerbaarheid in 3 stappen

    Verhoog je digitale weerbaarheid in 3 stappen

    Uit het nieuwe tweejaarlijkse Dreigingsbeeld van de Informatiebeveiligingsdienst (IBD) van de Vereniging Nederlandse Gemeenten (VNG) blijkt dat de digitale weerbaarheid bij gemeenten achterblijft. Het aantal cyberaanvallen op Nederlandse gemeenten is het afgelopen jaar sterk toegenomen. Van 150 in 2021 naar 300 incidenten nu. De afgelopen twee jaar waren er zeker vijf grote cyberincidenten. Ook zijn […]

Productie

Retail

  • Headbrands klaar voor de toekomst met Microsoft 365 Business

    Headbrands klaar voor de toekomst met Microsoft 365 Business

    Sinds de oprichting in 2010 is HeadBrands voortdurend uitgebreid. Het bedrijf is snel gegroeid en is nu de leidende kappersgroothandel op de Scandinavische markt. HeadBrands had een moderne IT-oplossing nodig om de productiviteit van het bedrijf te verhogen en de samenwerking zowel binnen het bedrijf als extern te verbeteren. De oplossing was om het grootste […]

  • Retailers moeten AI inzetten, wij helpen je!

    Retailers moeten AI inzetten, wij helpen je!

    Succesvolle retailers hebben terugkerende klanten, groeiende marges en een accurate bevoorrading dankzij inzet van data. Wil jij dat ook? Breek dan bestaande datasilo’s af, bouw een data-gestuurd operating model en stop met hadnmatige data-analyse! Kunstmatige intelligentie (AI) geeft je nu grip op de resultaten van morgen. Met onze technologie, ons netwerk, training en een geïntegreerd […]

Zorg

Ontdek meer gerelateerde artikelen per dossier:

Digitale transformatie

  • Een groep mensen die aan een tafel voor een gebouw zit

    Gratis webinar: Nieuwe werkcultuur

    We bevinden ons in een periode van buitengewone culturele en technologische veranderingen. Met de komst van nieuwe generaties op de banenmarkt verandert de werkcultuur steeds meer richting het omarmen van nieuwe ideeën en nieuwe manieren van werken. Ondertussen krijgt het begrip werkplek dankzij technologie een compleet nieuw betekenis. We werken lang niet altijd meer op […]

Klantverhalen

Partners

  • Woman executive working on Surface Hub 2S in Whiteboard with Surface Hub 2 Pen

    Ontdek de Surface reseller website

      Ontdek hoe je onze Surface reseller website gebruikt, en volg onze instructies om soepele inlog mogelijk te maken. Haal voordeel uit de Surface reseller website Speciaal voor al onze Surface resellers hebben we een unieke Surface website ontwikkelt. Deze website geeft naast meer informatie over onze devices, ook assets voor marketing en informatie over […]

Pers / Nieuws

Security & Privacy

  • een vrouwenzitting bij een bureau voor een laptopcomputer

    Beveiligingswaarschuwing als digitale buienradar

    “Er bestaat geen slecht weer – alleen slechte kleding” aldus het Scandinavische gezegde. En tegenwoordig kunnen we ons daar steeds beter op voorbereiden met nauwkeurige weersvoorspellingen en buienradars die bijna tot op de minuut aangeven wanneer je de eerste druppels kunt verwachten. Ironisch genoeg is een online buienradar die waarschuwt voor nieuwe beveiligingsproblemen vaak nog […]

Tips

  • iemand zit aan een tafel en gebruikt een laptop

    Succesvol en veilig vergaderen met Microsoft Teams

    Nu veel mensen vanuit huis werken, is het belangrijker dan ooit om onze vaardigheden voor werken of afstand aan te scherpen en productief te blijven. Het aantal mensen dat succesvol en veilig samenwerkt via Microsoft Teams, is flink gestegen. Maar of je nog niet eerder met de tool hebt gewerkt of al vergaderingen houdt met Teams, […]

Webinars

  • Vanuit huis en kantoor weer gelijkwaardig vergaderen

    Vanuit huis en kantoor weer gelijkwaardig vergaderen

    ‘Niemand werkt nog vijf dagen op kantoor, mensen werken vijf dagen thuis.’ Als iemand dit meer dan twee jaar geleden zo ter discussie had gesteld, waren we nu nog niet uitgepraat. Ook wij niet. De manier waarop we werken als gevolg van de pandemie is 180 graden veranderd. Gelukkig is er inmiddels een betere ‘hybride’ […]