Overslaan naar hoofdinhoud
Pulse

Samen verantwoordelijkheid nemen voor privacy en security

Martin Vliem

Martin Vliem

National Security Officer

Leestijd, 5 min.

Hulp bij privacy- en informatiebeveiliging van Rijksgegevens in de publieke cloud

Burgers, bedrijven en overheden werken steeds vaker samen via de publieke cloud. De Rijksoverheid is overtuigd van de kracht van cloud-technologie en ministeries overwegen nu ook om kernapplicaties ernaartoe te migreren. Onze clouddiensten zijn voorbereid om vertrouwelijke departementale data te beschermen. De Rijksoverheid draagt vervolgens zelf de zorg voor het gedegen inrichten en het veilig in gebruik nemen van deze nieuwe technologie. Het is hiermee een gezamenlijke verantwoordelijkheid waarin we elkaar moeten ondersteunen.

De overheid wil haar burgers beter tot dienst zijn en dat zo efficiënt mogelijk doen. De publieke cloud geeft veel flexibiliteit, waardoor processen binnen de overheid en met burgers verbeteren. De eerdere terughoudendheid van overheidsinstanties ten aanzien van cloud-toepassingen kantelt steeds meer naar omarming ervan. De noodzaak van thuiswerken als gevolg van de lockdown heeft de ingebruikname van cloud-toepassingen als Microsoft 365 en Azure ook bij overheden in een stroomversnelling gebracht.

Overheden experimenteren in de cloud

Een aantal gemeentes hanteert inmiddels een cloud-first strategie en ook de Rijksoverheid is breed gestart met het experimenteren met cloud-toepassingen. Dit kan ook, doordat beleidsontwikkelingen van bijvoorbeeld CIO Rijk en de Nationaal Bureau voor Verbindingsbeveiliging (NBV) steeds meer ruimte bieden voor een risicogebaseerde aanpak. Het spreekt voor zich dat de opslag en verwerking van gegevens moet voldoen aan Baseline Informatiebeveiliging Overheid (BIO) en de Algemene verordening gegevensbescherming (AVG).

Wie is waar precies verantwoordelijk?

De inrichting qua governance in de publieke cloud is voor veel overheidsorganisaties nieuw terrein. Eerder waren álle data en het netwerk in eigen beheer, maar bij cloud-technologie neemt de cloud-leverancier veel werk en verantwoordelijkheid uit handen op het gebied van beveiliging van de gegevens, het netwerk en de toegepaste IT-systemen. Desondanks houden overheidsinstanties de eindverantwoordelijkheid ten aanzien van privacy- en informatiebeveiliging van hun eigen data.

Dit komt onder meer door verplichtingen die voortvloeien uit de BIO en de AVG. De vraag is: hoe zorg je dat alle soorten data op de juiste manier worden beschermd? Het is duidelijk dat publieke data in de publieke cloud mag. Maar hoe zit dat met departementaal vertrouwelijke, tot zeer vertrouwelijke data? Dit zijn gegevens die te allen tijde niet mogen uitlekken of in handen mogen komen van statelijke actoren.

Zelf duidelijkheid scheppen

In gesprekken met overheden komt naar voren dat zij niet precies weten wat ze met hun gerubriceerde data mogen doen. CIO Rijk ontwikkelt mede daarom een nieuwe Verkenning Cloudbeleid voor Nederlandse Rijksdiensten, wat houvast moet bieden voor met name de omgang met meer vertrouwelijke data, zoals bijvoorbeeld Departementaal Vertrouwelijke informatie. De huidige versie van de Verkenning Cloudbeleid biedt nu al inzicht voor ministeries en Rijksdiensten in de voorwaarden voor het migreren van data en applicaties. Zo kunnen zij in een vroeg stadium de voordelen van de cloud ervaren.

Publieke en vertrouwelijke gegevens

Publiek toegankelijke, niet-gerubriceerde gegevens mogen zondermeer naar de publieke cloud. Dit geldt bijvoorbeeld voor data van publieke websites. Wel moet de informatie goed beveiligd zijn, zodat ze niet gemanipuleerd kunnen worden. Departementaal Vertrouwelijke informatie van het niveau BBN2 mag alleen naar de cloud als voldaan is aan hogere eisen en maatregelen zoals versleuteling. Het moet voldoen aan bijvoorbeeld de AVG, de VIRBI (Voorschrift Informatiebeveiliging Rijk Bijzondere Informatie) en diverse normen en standaarden zoals de eerder benoemde BIO.

Vraag naar inrichting binnen de koppelvlakken

De cloud-provider moet via verantwoordingsinformatie waarborgen dat overheidsorganisaties cloud-diensten compliant in kunnen zetten. Microsoft heeft uitgebreide technische mogelijkheden om deze waarborging vorm te geven. Er komen steeds meer vragen over wat de afnemer van die diensten zelf nog moet inrichten binnen de zogenoemde koppelvlakken. Daarbij gaat het veelal om de onderstaande vier aandachtspunten:

  • Data governance: de locatie, rubricering en de bewaartermijn van data
  • Authenticatie en autorisatie: alleen geautoriseerde personen hebben gecontroleerd toegang tot specifieke gegevens
  • Logging en monitoring: controle, loggen en auditeerbaarheid van gebruikersactiviteiten en de beveiligingsstatus van de organisatie
  • Threat management: het monitoren van cyberbeveiligingsproblemen van buitenaf en binnen de organisatie

Ministeries kunnen nu naar de publieke cloud

Data blijven altijd eigendom van de overheid. De eindverantwoordelijkheid voor het borgen van veiligheidsaspecten ligt daarom bij de overheid zelf. Microsoft biedt veel technische, organisatorische en contractuele middelen om aan deze maatregelen te voldoen en daarnaast biedt de huidige Verkenning Cloudbeleid al voldoende ruimte om over te gaan op migratie.

Dek risico’s af met een risico-evaluatie

Een eerste stap is om de beveiligingsmaatregelen van Microsoft te valideren en aan te vullen met eigen maatregelen. Ook moet er een risico-evaluatie worden opgesteld. Deze kan eventueel getoetst worden door de CISO Rijk. Vervolgens moet de secretaris-generaal deze risicoanalyse accepteren en voorzien van een finaal akkoord. De secretaris-generaal neemt deze verantwoordelijkheid pas als er, naast de toetsing van de cloud-leverancier, een goed beeld is van de verantwoordelijkheden (controls) en processen in de eigen organisatie. Hierna kunnen data en kernapplicaties van ministeries naar de publieke cloud gemigreerd worden.

Hulp bij techniek en het proces

Innovatie met Microsoft 365 en Azure helpt de overheid om burgers beter en efficiënter van dienst te zijn. Microsoft helpt bij de technische realisatie en het inrichten van de juiste processen, door de informatiebeveiliging van de publieke cloud conform wet- en regelgeving in te richten. Door duidelijk af te stemmen waar wiens verantwoordelijkheid precies ligt, wordt het voor overheden mogelijk om snel en veilig naar de cloud te migreren.

Hulp bij het inrichten van security- en privacymaatregelen

De verantwoordelijkheden van Microsoft zijn de afgelopen jaren uitgebreid gevalideerd door het Strategische Leveranciersmanagement Rijk, onder het Ministerie van Justitie en Veiligheid. Om overheidsinstanties te ondersteunen bij de inrichting van security- en privacymaatregelen, hebben we Capgemini een whitepaper laten schrijven. Hierin staan handvatten voor afnemers van onze publieke cloud.

Verantwoord, samen innoveren

In deze whitepaper is aandacht voor de verantwoordelijkheid van afnemers bij het inrichten van onze clouddiensten, waarbij zij gebruik kunnen maken van user entity controls. Dit zijn aanvullende maatregelen die afnemers zelf kunnen inrichten bij de adoptie van Microsoft cloud diensten. Met het stappenplan kunnen overheidsinstanties privacy en security borgen binnen hun cloud-adoptie traject. Met dit whitepaper scheppen we duidelijkheid voor alle partijen. Alleen door elkaar te ondersteunen, is het mogelijk om op een verantwoorde manier te innoveren.

Safeguarding digital privacy

Discover the 5 ways to increase trust and empower people in our latest eBook, Safeguarding digital privacy

Ontdek meer gerelateerde artikelen per branche:

Educatie

Financiële dienstverlening

  • Kansen voor de moderne boekhouder

    Kansen voor de moderne boekhouder

    De wereld van boekhouding is sinds de digitalisering snel en rigoureus veranderd. Juist die ontwikkelingen bieden de boekhouder van nu veel kansen. Je zult vaak merken dat je klanten steeds meer zelf kunnen, met dank aan de digitalisering. Neem populaire boekhoudprogramma’s als Moneybird en Gekko. Zelf facturen sturen, bonnen inboeken, btw-aangiftes berekenen én jaarrekeningen maken: […]

  • Tips van financiële koplopers over de cloud

    Tips van financiële koplopers over de cloud

    Steeds meer boekhouders en administratiekantoren gaan over naar de cloud om hun werk te doen. 216 Accountants deelt in deze blog een aantal inzichten en tips. Zo kun je een zo groot mogelijk succes maken van de overstap naar de cloud – voor jou én je klanten. E-mails, gezamenlijke spreadsheets, vergaderingen, agenda’s, todo-lijsten, aantekeningen, scans: […]

Government

  • Gemeente Katwijk in een kwartier over op Microsoft Teams Phone

    Gemeente Katwijk in een kwartier over op Microsoft Teams Phone

    Binnen enkele minuten belde de gemeente Katwijk met Microsoft Teams in plaats van de traditionele PBX-centrale. “De overgang was de snelste die ik ooit zag!” Projectleider ICT Gemeente Katwijk Steven Shukrula kijkt tevreden terug hoe soepel de ommekeer verliep en hoe goed het communicatie- en samenwerkingsplatform zijn collega’s nu en in de toekomst ondersteunt.   […]

Overheid

Productie

Retail

  • AVG en de detailhandel: Vier AVG-vereisten en hoe Microsoft daarbij kan helpen

    AVG en de detailhandel: Vier AVG-vereisten en hoe Microsoft daarbij kan helpen

      Ontdek hoe we je kunnen helpen om te voldoen aan de AVG-vereisten met oplossingen van nu: Je huidige risicoprofiel evalueren “Hoe weet ik waarmee ik al voldoe aan de vereisten en waarop ik me nu moet richten?” Dit is één van de meest gestelde vragen van detailhandelaren over de AVG. Het is ook één van […]

  • Wat hebben sokken, onderbroeken en IT met elkaar te maken?

    Wat hebben sokken, onderbroeken en IT met elkaar te maken?

    Ondernemers ondersteunen in hun business-uitdagingen; dat is waar Microsoft en haar partners graag een rol in spelen. De ambities en passies van ondernemers vormen de basis van verhalen die wij hier graag met jou delen. Hiermee willen wij jou inspireren en laten zien hoe technische oplossingen ondernemers helpen om alle elementen in hun bedrijf te […]

Zorg

  • Een foto van het Savant kantoor

    Het Barbapapa-model van Savant Zorg

    Flexibiliteit en veilig werken met Office 365 en Enterprise Mobility en Security Automatisering behoort werknemers niet te belemmeren bij de uitvoering van hun taken, maar hun werkzaamheden juist te vereenvoudigen. Bij Savant Zorg zijn ze daar met hulp van Cloud Life en Microsoft uitstekend in geslaagd. Joris van den Eijnden, Manager ICT en Functionaris Gegevensbescherming: […]

  • logo

    Waarom vertrouwen de belangrijkste factor is in de digitale transformatie van de gezondheidszorg

    Al wekenlang ging mijn telefoon bijna constant over. En nu weer.  “Veronica”, zei de beller, “we hebben een idee!”  Ik wist meteen wie het was: ik ken Carlo Tacchetti al bijna net zo lang als ik bij Microsoft werk. Hij is een hoogleraar aan de Vita-Salute San Raffaele Universiteit en de directeur van het Experimentele Imaging Centrum van IRCCS San Raffaele, een van […]

Ontdek meer gerelateerde artikelen per dossier:

Digitale transformatie

Klantverhalen

  • een landweg tussen akkers

    Hoe ProMobility duurzame voordelen van samenwerkingstechnologie heeft ontdekt

    Net als veel andere bedrijven over de hele wereld heeft de Nederlandse autoleasemaatschappij ProMobility zich in deze onzekere tijden moeten aanpassen: de medewerkers van het bedrijf werken sinds half maart 2020 op afstand vanuit hun huis. Maar volgens Dick Dekker, mede-oprichter en directeur van het kantoor van ProMobility in Zaanstad (ten noorden van Amsterdam), hebben […]

Partners

  • Woman executive working on Surface Hub 2S in Whiteboard with Surface Hub 2 Pen

    Ontdek de Surface reseller website

      Ontdek hoe je onze Surface reseller website gebruikt, en volg onze instructies om soepele inlog mogelijk te maken. Haal voordeel uit de Surface reseller website Speciaal voor al onze Surface resellers hebben we een unieke Surface website ontwikkelt. Deze website geeft naast meer informatie over onze devices, ook assets voor marketing en informatie over […]

Pers

  • CEO leading a meeting

    VNG en Microsoft werken samen aan ontwikkeling moderne veilige overheidswerkplek

    De gezamenlijke campagne tussen VNG en Microsoft is van start gegaan, beiden partijen hebben de nieuwe gemeentelijke voorwaarden ondertekend. Goed nieuws vanaf 1 februari kunnen alle Nederlandse gemeenten gebruik maken van de VNG overheidswerkplek. De overheidswerkplek bestaat uit nieuwe juridische gemeentelijke voorwaarden, een op maat gemaakte VNG-Microsoft overheidswerkplek en gunstige commerciële voorwaarden. Het doel van […]

Pers / Nieuws

Security & Privacy

Tips

  • een man in een gestreept overhemd kijkt naar de camera

    9 manieren waarop Microsoft IT hun medewerkers helpt bij thuiswerken

    Van Milaan tot Puget Sound zijn tienduizenden Microsoft-medewerkers thuis aan het werk als gevolg van de COVID-19-uitbraak. Veel klanten hebben ons gevraagd hoe we samenwerking en werken op afstand mogelijk maken voor zo’n groot aantal medewerkers. Hier zijn de negen belangrijkste factoren vanuit het oogpunt van compliance en beveiliging: 1. Gebruikersidentiteit en -toegang Het begint allemaal met […]

Webinars

  • Vanuit huis en kantoor weer gelijkwaardig vergaderen

    Vanuit huis en kantoor weer gelijkwaardig vergaderen

    ‘Niemand werkt nog vijf dagen op kantoor, mensen werken vijf dagen thuis.’ Als iemand dit meer dan twee jaar geleden zo ter discussie had gesteld, waren we nu nog niet uitgepraat. Ook wij niet. De manier waarop we werken als gevolg van de pandemie is 180 graden veranderd. Gelukkig is er inmiddels een betere ‘hybride’ […]