Public, Private of Gov Cloud?
Als het over het gebruik van de publieke cloud gaat maken we als publieke sector geen stappen met zevenmijlslaarzen, maar hangen we meer in de sfeer van Echternach zoals de processie voor 1947 was. Een onderzoek van Gartner toont ons echter aan dat 63% van de overheidsinitiatieven op het gebied van cloudcomputing in de afgelopen jaren succesvol zijn verlopen [1]. De meest cruciale vraag – en meteen ook de uitdaging - blijft ongewijzigd; in hoeverre kan of mag een overheid gevoelige (persoons)gegevens verwerken in de (publieke) cloud? Het continu wijzigende landschap aan regels, wetten maar ook aan wereldwijde ontwikkelingen brengt hierbij heel wat uitdagingen mee, en dan vooral als het gaat over het verwerken van persoons- en/of geclassificeerde gegevens in de publieke cloud.
We hebben met de pandemie moeten vaststellen dat het (ver)snel(d) inzetten van clouddiensten waardevolle kansen heeft geboden, zoals het snel en efficiënter werken (op afstand) tot en met de (ver)beter(d)e dienstverlening aan onze burgers. Overheidsinstanties kozen massaal voor oplossingen in de publieke cloud, aangeboden door diverse hyperscalers - grote aanbieders van dit soort diensten zoals Microsoft, Google en Amazon. Zij boden schaalbare opties voor de opslag en verwerking van gegevens en online burotica oplossingen die snel inzetbaar waren in deze nieuwe situatie waarop iedereen plots thuis werkte. De snelheid waarop de omschakeling van operationele omgevingen gebeurde was net iets belangrijker, dan de digitale weerbaarheid die men heeft binnen dit soort omgevingen ten aanzien van de vertrouwde on premise of private cloud omgevingen.
In ieder geval moeten de omgevingen waarin we als overheid functioneren voor wat betreft persoonsgegevens in de cloud, een veilige en privacy vriendelijk verwerking aanbieden. Vooral als het gaat om gevoelige persoonsgegevens (sociaal, medisch, juridisch, …).
De Rijksoverheid in Nederland zal rond het gebruik van publieke clouddiensten in 2022 met richtlijnen voor de publieke sector komen, gericht op risicobeheersing. Men wenst hiermee in ieder geval meer duidelijkheid te scheppen over de verantwoordelijkheden ten aanzien van de te nemen maatregelen voor gegevensbescherming en -beveiliging. Maar ook in Vlaanderen werkt de Vlaamse Toezicht Commissie momenteel aan een advies voor het gebruik van clouddiensten. We mogen dit eind oktober verwachten, zoals we mochten vernemen op onze jaarlijkse Cyber en Information Securitydag.
We kunnen uit deze bewegingen concluderen dat overheidsorganisaties meer sturing zullen krijgen voor een start of verdere overstap naar de publieke clouddiensten – of niet.
(Logische) Classificatie door (Technische) Differentiatie.
Bij het verwerken van gegevens in de publieke cloud moet de publieke sector aan verschillende wetten en regels voldoen, zowel op landelijk als op Europees niveau. Als het gaat om gegevensbescherming in de publieke cloud, dient de Algemene Verordening Gegevensbescherming (GDPR) als uitgangspunt. Kijken we naar informatiebeveiliging als een geheel dan is de ISO 27k en al zijn afgeleide werklijsten een geschikte basis. Daarnaast zijn er uiteraard specifieke regels zoals de nog steeds in gebruik zijnde minimale veiligheidsnormen KSZ en andere regels specifiek gericht op de gegevensbron die ze beschermen.
Om optimaal te profiteren van de voordelen van veilige gegevensverwerking in de publieke cloud, moeten overheidsorganisaties hun maatregelen op het gebied van gegevensbescherming en -beveiliging afstemmen op het logisch ingedeelde vertrouwelijkheidsniveau (classificatie [2]) van deze gegevens. Geclassificeerde gegevens kunnen op hun beurt technologisch gedifferentieerd afgeschermd worden, zodat het beschermingsniveau bepalend is voor het type van technologische afscherming of bescherming die hiervoor vereist is en wordt toegepast.
Deze denkwijze komt dicht tegen de huidige bestaande hybride omgevingen, maar de soms ingewikkelde opzet hiervan doet de meeste verder nadenken over hoe het dan wel nog beter kan.
Naast het opzetten van Private G(ov)Cloudomgevingen merken we in die zin enkele mooie Europese initiatieven rond private cloud op – denken we aan GaiaX – maar zou dit bijvoorbeeld ook een opdracht kunnen zijn voor het toekomstige datanutsbedrijf. Ook voor hen zal in de toekomst door de open samenwerking met de private sector de mantra “Classificatie door Differentiatie” van belang worden.
De toekomst van gegevensbescherming voor Europese overheden: publieke of private clouds?
Door het Schrems II [3] vonnis van 16 juli 2020 (EU hof van Justitie), werd de internationale doorgifte van gegevens tussen de EU en de VS opgeschort en heerst er veel zenuwachtigheid binnen de EU over het gebruik van publieke clouddiensten bij de verwerking van gevoelige gegevens. De meeste aangehaalde public Cloud providers zijn immers Amerikaanse organisaties en het is net hun wetgeving die stelt dat de inlichtingendiensten van dat land bevoegdheden krijgen die niet in lijn zijn met de rechten van de inwoners van Europa - zoals omschreven in de GDPR.
Het is niet te verwonderen dat hierdoor de discussie tussen de EU-lidstaten (opnieuw) aanwakkerde met de open vraag in hoeverre ze gevoelige gegevens wel of niet beter in autonome private of gouvernementele cloudomgevingen moeten opslaan. De Amerikaanse hyperscalers reageerden door meer technische garantie te bieden waarbij alle (persoons)gegevens in Europa zouden blijven, maar de onzekerheid en de angst om de controle over de verwerkingsactiviteiten kwijt te raken heeft geleid tot meerdere Europese en/of landelijke initiatieven voor private cloudoplossingen [4].
Ondertussen draait de wereld natuurlijk verder en de ontwikkeling van dergelijke initiatieven verloopt langzaam terwijl het blijkt gecompliceerd te zijn om de kwaliteit van deze Amerikaanse clouddiensten te evenaren, net als hun toch wel sterke innovatievermogen op het gebied van informatiebeveiliging en gegevensbescherming.
Naast zoveel andere keuzes staat de publieke sector in ieder geval voor een dilemma bij de overstap naar een cloudomgeving - hierbij al of niet (liefst wel) ondersteund door centrale toezichthoudende autoriteiten. Gaan ze gebruik maken van innovatieve publieke cloudomgevingen en aanvaarden ze de (beperkte) risico’s ten aanzien van politieke en datasoevereiniteit, of maken ze gebruik van private clouds die minder innovatief zijn, maar wel volledige onafhankelijkheid bieden … Of gaan ze voor (Logische) Classificatie door (Technische) Differentiatie?
[1] https://www.gartner.com/smarterwithgartner/how-can-governments-scale-up-cloud-adoption
[2] https://overheid.vlaanderen.be/informatieclassificatiemodel
[3] https://iapp.org/news/a/the-schrems-ii-decision-eu-us-data-transfers-in-question/
[4] https://blogs.microsoft.com/eupolicy/2021/05/06/eu-data-boundary/