Overslaan naar hoofdinhoud
Pulse

Samen verantwoordelijkheid nemen voor privacy en security

Martin Vliem

Martin Vliem

National Security Officer

Leestijd, 5 min.

Hulp bij privacy- en informatiebeveiliging van Rijksgegevens in de publieke cloud

Burgers, bedrijven en overheden werken steeds vaker samen via de publieke cloud. De Rijksoverheid is overtuigd van de kracht van cloud-technologie en ministeries overwegen nu ook om kernapplicaties ernaartoe te migreren. Onze clouddiensten zijn voorbereid om vertrouwelijke departementale data te beschermen. De Rijksoverheid draagt vervolgens zelf de zorg voor het gedegen inrichten en het veilig in gebruik nemen van deze nieuwe technologie. Het is hiermee een gezamenlijke verantwoordelijkheid waarin we elkaar moeten ondersteunen.

De overheid wil haar burgers beter tot dienst zijn en dat zo efficiënt mogelijk doen. De publieke cloud geeft veel flexibiliteit, waardoor processen binnen de overheid en met burgers verbeteren. De eerdere terughoudendheid van overheidsinstanties ten aanzien van cloud-toepassingen kantelt steeds meer naar omarming ervan. De noodzaak van thuiswerken als gevolg van de lockdown heeft de ingebruikname van cloud-toepassingen als Microsoft 365 en Azure ook bij overheden in een stroomversnelling gebracht.

Overheden experimenteren in de cloud

Een aantal gemeentes hanteert inmiddels een cloud-first strategie en ook de Rijksoverheid is breed gestart met het experimenteren met cloud-toepassingen. Dit kan ook, doordat beleidsontwikkelingen van bijvoorbeeld CIO Rijk en de Nationaal Bureau voor Verbindingsbeveiliging (NBV) steeds meer ruimte bieden voor een risicogebaseerde aanpak. Het spreekt voor zich dat de opslag en verwerking van gegevens moet voldoen aan Baseline Informatiebeveiliging Overheid (BIO) en de Algemene verordening gegevensbescherming (AVG).

Wie is waar precies verantwoordelijk?

De inrichting qua governance in de publieke cloud is voor veel overheidsorganisaties nieuw terrein. Eerder waren álle data en het netwerk in eigen beheer, maar bij cloud-technologie neemt de cloud-leverancier veel werk en verantwoordelijkheid uit handen op het gebied van beveiliging van de gegevens, het netwerk en de toegepaste IT-systemen. Desondanks houden overheidsinstanties de eindverantwoordelijkheid ten aanzien van privacy- en informatiebeveiliging van hun eigen data.

Dit komt onder meer door verplichtingen die voortvloeien uit de BIO en de AVG. De vraag is: hoe zorg je dat alle soorten data op de juiste manier worden beschermd? Het is duidelijk dat publieke data in de publieke cloud mag. Maar hoe zit dat met departementaal vertrouwelijke, tot zeer vertrouwelijke data? Dit zijn gegevens die te allen tijde niet mogen uitlekken of in handen mogen komen van statelijke actoren.

Zelf duidelijkheid scheppen

In gesprekken met overheden komt naar voren dat zij niet precies weten wat ze met hun gerubriceerde data mogen doen. CIO Rijk ontwikkelt mede daarom een nieuwe Verkenning Cloudbeleid voor Nederlandse Rijksdiensten, wat houvast moet bieden voor met name de omgang met meer vertrouwelijke data, zoals bijvoorbeeld Departementaal Vertrouwelijke informatie. De huidige versie van de Verkenning Cloudbeleid biedt nu al inzicht voor ministeries en Rijksdiensten in de voorwaarden voor het migreren van data en applicaties. Zo kunnen zij in een vroeg stadium de voordelen van de cloud ervaren.

Publieke en vertrouwelijke gegevens

Publiek toegankelijke, niet-gerubriceerde gegevens mogen zondermeer naar de publieke cloud. Dit geldt bijvoorbeeld voor data van publieke websites. Wel moet de informatie goed beveiligd zijn, zodat ze niet gemanipuleerd kunnen worden. Departementaal Vertrouwelijke informatie van het niveau BBN2 mag alleen naar de cloud als voldaan is aan hogere eisen en maatregelen zoals versleuteling. Het moet voldoen aan bijvoorbeeld de AVG, de VIRBI (Voorschrift Informatiebeveiliging Rijk Bijzondere Informatie) en diverse normen en standaarden zoals de eerder benoemde BIO.

Vraag naar inrichting binnen de koppelvlakken

De cloud-provider moet via verantwoordingsinformatie waarborgen dat overheidsorganisaties cloud-diensten compliant in kunnen zetten. Microsoft heeft uitgebreide technische mogelijkheden om deze waarborging vorm te geven. Er komen steeds meer vragen over wat de afnemer van die diensten zelf nog moet inrichten binnen de zogenoemde koppelvlakken. Daarbij gaat het veelal om de onderstaande vier aandachtspunten:

  • Data governance: de locatie, rubricering en de bewaartermijn van data
  • Authenticatie en autorisatie: alleen geautoriseerde personen hebben gecontroleerd toegang tot specifieke gegevens
  • Logging en monitoring: controle, loggen en auditeerbaarheid van gebruikersactiviteiten en de beveiligingsstatus van de organisatie
  • Threat management: het monitoren van cyberbeveiligingsproblemen van buitenaf en binnen de organisatie

Ministeries kunnen nu naar de publieke cloud

Data blijven altijd eigendom van de overheid. De eindverantwoordelijkheid voor het borgen van veiligheidsaspecten ligt daarom bij de overheid zelf. Microsoft biedt veel technische, organisatorische en contractuele middelen om aan deze maatregelen te voldoen en daarnaast biedt de huidige Verkenning Cloudbeleid al voldoende ruimte om over te gaan op migratie.

Dek risico’s af met een risico-evaluatie

Een eerste stap is om de beveiligingsmaatregelen van Microsoft te valideren en aan te vullen met eigen maatregelen. Ook moet er een risico-evaluatie worden opgesteld. Deze kan eventueel getoetst worden door de CISO Rijk. Vervolgens moet de secretaris-generaal deze risicoanalyse accepteren en voorzien van een finaal akkoord. De secretaris-generaal neemt deze verantwoordelijkheid pas als er, naast de toetsing van de cloud-leverancier, een goed beeld is van de verantwoordelijkheden (controls) en processen in de eigen organisatie. Hierna kunnen data en kernapplicaties van ministeries naar de publieke cloud gemigreerd worden.

Hulp bij techniek en het proces

Innovatie met Microsoft 365 en Azure helpt de overheid om burgers beter en efficiënter van dienst te zijn. Microsoft helpt bij de technische realisatie en het inrichten van de juiste processen, door de informatiebeveiliging van de publieke cloud conform wet- en regelgeving in te richten. Door duidelijk af te stemmen waar wiens verantwoordelijkheid precies ligt, wordt het voor overheden mogelijk om snel en veilig naar de cloud te migreren.

Hulp bij het inrichten van security- en privacymaatregelen

De verantwoordelijkheden van Microsoft zijn de afgelopen jaren uitgebreid gevalideerd door het Strategische Leveranciersmanagement Rijk, onder het Ministerie van Justitie en Veiligheid. Om overheidsinstanties te ondersteunen bij de inrichting van security- en privacymaatregelen, hebben we Capgemini een whitepaper laten schrijven. Hierin staan handvatten voor afnemers van onze publieke cloud.

Verantwoord, samen innoveren

In deze whitepaper is aandacht voor de verantwoordelijkheid van afnemers bij het inrichten van onze clouddiensten, waarbij zij gebruik kunnen maken van user entity controls. Dit zijn aanvullende maatregelen die afnemers zelf kunnen inrichten bij de adoptie van Microsoft cloud diensten. Met het stappenplan kunnen overheidsinstanties privacy en security borgen binnen hun cloud-adoptie traject. Met dit whitepaper scheppen we duidelijkheid voor alle partijen. Alleen door elkaar te ondersteunen, is het mogelijk om op een verantwoorde manier te innoveren.

 

Download de whitepaper

Safeguarding digital privacy

Discover the 5 ways to increase trust and empower people in our latest eBook, Safeguarding digital privacy

Ontdek meer gerelateerde artikelen per branche:

Educatie

  • Jouw Microsoft 365 onderwijs-cloud kan niet zonder extra back-up

    Jouw Microsoft 365 onderwijs-cloud kan niet zonder extra back-up

    Onderwijs is steeds vaker online, waardoor de hoeveelheid data van onderwijsinstellingen explosief toeneemt. Helaas stijgt ook het aantal geslaagde ransomware-aanvallen. Als het mis gaat, moet je weer snel bij je data kunnen zodat de lessen kunnen doorgaan. Hoe zorg je dat je je gegevens veilig bewaart en back-upt zodat je klaar bent voor het geval […]

  • Iemand die wat uitlegt aan een ander | Booking met Power Apps

    Terug naar de werkplaats: hoe organiseren wij Room Booking met Power Apps?

    Na twee jaar thuiswerken bewegen wij ons weer terug naar het kantoor, die er vaak anders uitziet dan aan het begin van de pandemie. Vaste zitplekken en dagelijks bezoek zijn verleden tijd, aangezien we gewend zijn geraakt aan de flexibiliteit en efficiëntie van het werken vanuit huis. Hybride werken blijkt de toekomst te zijn. Om […]

Financiële dienstverlening

  • Man with Surface Studio 2+

    Microsoft Surface in de financiële dienstverlening

    Een logische keuze voor een branche met specifieke eisen Dat organisaties in de financiële dienstverlening specifieke (en hoge) eisen stellen aan technologie is niet verrassend. Er worden bijvoorbeeld specifieke voorwaarden gesteld aan beveiliging en compliance. Tegelijkertijd spelen er nieuwe ontwikkelingen, zoals het hybride werken. Welke rol kan Surface hierin spelen? Een belangrijke ontwikkeling voor organisaties […]

Government

  • Gemeente Katwijk in een kwartier over op Microsoft Teams Phone

    Gemeente Katwijk in een kwartier over op Microsoft Teams Phone

    Binnen enkele minuten belde de gemeente Katwijk met Microsoft Teams in plaats van de traditionele PBX-centrale. “De overgang was de snelste die ik ooit zag!” Projectleider ICT Gemeente Katwijk Steven Shukrula kijkt tevreden terug hoe soepel de ommekeer verliep en hoe goed het communicatie- en samenwerkingsplatform zijn collega’s nu en in de toekomst ondersteunt.   […]

Overheid

  • Two people walking with Surface

    Surface voor overheidsinstanties

    De voordelen van Surface De overheid heeft te maken met verschillende veranderingen op de werkvloer. Zo wordt vaker ingezet op het hybride werken. Een mooie ontwikkeling, maar medewerkers hebben hiervoor wel de juiste ondersteuning nodig. Ook kijken meer overheidsinstanties kritisch naar de kernprocessen, met als doel de dienstverlening aan burgers te verbeteren. Overheidsmedewerkers zijn steeds […]

  • een mens die zich voor een computer bevindt

    Sneller en efficiënter burgers van dienst zijn dankzij Power Apps

    De samenleving maakt een digitale groeispurt door en overheidsinstellingen moeten aan de nieuwe verwachtingen van burgers voldoen. Een interne gestroomlijnde, digitale organisatie, beslissen op basis van data en een 24/7 persoonlijke dienstverlening zijn een must. Dat vraagt om snelle digitale innovatie. Met een nieuw software platform lukt dat nu veel sneller en goedkoper. We doen […]

Productie

  • iemand zit aan een bureau met een laptop op tafel

    Mijn menselijk leiderschaps kompas in tijden van somberheid

    Microsoft’s Max Tchapeyou biedt een zeer persoonlijk standpunt, verwijzend naar de zes manieren waarop hij effectiever – en positiever – met zijn team heeft gewerkt.

  • Surface in manufacturing, man with Surface Duo

    Surface in Manufacturing

    The benefits of Surface In a manufacturing environment, like a factory, users often have stringent demands for their hardware. In developing Surface, we pay close attention to the different environments in which Surface can be used and seek to ensure that people can work optimally with the right technology. What can Surface do for manufacturing? […]

Retail

  • Foto van iemand die van achteren gezien wordt terwijl hij een Teams-vergadering bijwoont met 2 collega's waarbij een stof voor meubels wordt besproken.

    Zuiver: ondersteuning van de bedrijfsvoering en cultuur door middel van technologie

    “Sinds de verhuizing naar de cloud gelden er geen beperkingen meer. Zonder deze technologie hadden we de groei die we nu hebben zeker niet gezien.” Jaap Landsaat, CFO en Head of IT bij de Nederlandse meubelontwerper Zuiver, vertelt over de diepgaande impact die technologie heeft gehad op het bedrijf waarvan hij meer dan twintig jaar […]

  • Surface in retail, man and woman at counter

    Surface in Retail

    The benefits of Surface Retail organizations face many different changes and challenges, but encounter lots of opportunities too. Good examples include e-commerce opportunities, as well as relatively new retail formulas such as pop-up stores and pick-up locations, which all come with their own technological requirements. Surface truly comes into its own in these situations. The […]

Zorg

  • Een foto van het Savant kantoor

    Het Barbapapa-model van Savant Zorg

    Flexibiliteit en veilig werken met Office 365 en Enterprise Mobility en Security Automatisering behoort werknemers niet te belemmeren bij de uitvoering van hun taken, maar hun werkzaamheden juist te vereenvoudigen. Bij Savant Zorg zijn ze daar met hulp van Cloud Life en Microsoft uitstekend in geslaagd. Joris van den Eijnden, Manager ICT en Functionaris Gegevensbescherming: […]

  • Enterprise team achieving in modern workplace.

    Zorgverlener Abrona: privacy groter dan de AVG

    Abrona nam het belang van privacy en databescherming al eerder op in zijn it-visie.

Ontdek meer gerelateerde artikelen per dossier:

Digitale transformatie

Klantverhalen

Partners

  • Dad baking with kids using HPSpectrex360

    We are here for our partners

    At Microsoft, as part of our response to the impact of COVID-19, we have shifted tens of thousands of employees to working remotely. Many of our partners and customers have asked us to share the details of how we enable remote work for such a large workforce. We wanted to share with you some of […]

Pers / Nieuws

Security & Privacy

Tips

Webinars

  • Security Events

    Security Events

    Graag nodigen we jou en jouw team uit om kosteloos deel te nemen aan een van onze workshops De eerste workshop geeft inzicht in informatiebeheer en de tweede workshop focust op openbaarheid en WOO-verzoeken met Microsoft 365. Deze workshops zijn ontworpen om jou te laten ervaren hoe technologie kan helpen om als organisatie te voldoen aan voorschriften, wetten en […]