Innovatie & Strategie

Cloud
cloud

Hoe pak je angst en wantrouwen rond databeveiliging aan?

Onbekend maakt onbemind, maar ondoorzichtig maakt ook onbemind.

19 juni 2020

“Alles ritselt voor wie in angst leeft", schreef Sophocles meer dan 2500 jaar geleden. Aan het begin van de jaren 2020 geldt dit filosofische inzicht ook nog steeds voor IT-beveiliging en vertrouwelijkheid van gegevens. Ondernemers verdienen beter dan geritsel: feiten, transparantie en toegang tot technologieën die hen in staat stellen om toezicht op hun gegevens uit te oefenen, zijn veel efficiënter om vooruitgang te boeken in deze IT-sleutelkwesties. Zo kunnen ze met een gerust hart volop kansen uit hun data putten.

Naast de reële angst voor cyberaanvallen, spitst de angst voor de veiligheid van bedrijfsdata zich vooral toe op de Cloud Act. Die angst wordt vaak nog extra aangewakkerd door opiniemakers, terwijl de realiteit veel genuanceerder is. De Cloud Act – die overigens overal aan data gelinkt is en niet alleen betrekking heeft op cloud computing – behelst heel wat beschermingsconstructies die vaak over het hoofd worden gezien.

Liever een kader dan onduidelijkheid

Hoewel de Cloud Act extraterritoriaal van toepassing is, krijgt die binnenkort een wettelijke Europese tegenhanger in de vorm van het voorstel tot e-Evidenceverordening. Die verordening lijkt de Europese en Amerikaanse visie met elkaar te willen verenigen; het gaat hierbij om de fundamentele kwestie van de vraag van overheden om toegang te krijgen tot data die gelokaliseerd en opgeslagen is in andere landen. 

Daarbij is de Cloud Act opgesteld door een democratisch land waar de scheiding der machten duidelijk is vastgelegd en wordt gecontroleerd. Daar is een grondig juridisch inzicht voor nodig. De juridische structuur die de Act voorstelt, is duidelijk omschreven en gecontroleerd. Hierdoor is de samenwerking tussen landen in het kader van strafonderzoeken strikt omlijnd.

Die structuur houdt rekening met een technologische realiteit: data wordt op verschillende plaatsen in de wereld bewaard en gedeeld zodat bedrijven en burgers er snel en veilig toegang toe hebben. Er is echter meer nodig dan mooie beloftes zoals deze. Aanbieders van IT-diensten moeten transparant handelen en de juiste technologische oplossingen aanbieden die iedereen in staat stellen om controle over zijn of haar eigen data uit te oefenen. 

Transparantie geeft vertrouwen

Om angst bij ondernemers tegen te gaan, is transparantie op alle niveaus een must. Door transparant te werk te gaan, win je het vertrouwen van ondernemers. Het is in eerste instantie aan de IT-sector om open te communiceren over de gehanteerde procedures en het aan te geven wanneer een gerechtelijke instantie vraagt om data met één of meerdere derde partijen te delen. De sector moet ook garanderen dat deze procedures in overeenstemming zijn met de Amerikaanse en Europese wettelijke bepalingen en regels.

Naast deze procedures moeten diezelfde aanbieders ook regelmatig en transparant communiceren over het aantal, de frequentie en de herkomst van deze verzoeken. Een andere essentiële factor voor de transparantie is het opstellen van duidelijke en strikte regels over de beveiliging en de vertrouwelijkheid van data. Deze regels moeten voor alle betrokken partijen bindend zijn. Dat vertrouwen kan nog verder groeien als bedrijven en binnen- of buitenlandse overheden die rechtstreeks informatie uitwisselen ook uitleggen wanneer en waarom ze toegang tot data vragen. 

Beschermingsplicht

Angst kan ook worden bestreden door het inzetten van de juiste technologie op een relevante manier. Data moet zo goed mogelijk beschermd zijn en zo snel mogelijk toegankelijk voor de betreffende eigenaar. Bovendien is het belangrijk dat er bescherming is tegen interne en externe cyberaanvallen, zoals vastgelegd in de AVG-wetgeving. Het is aan de techbedrijven om de best mogelijke oplossingen te bieden en bedrijven te informeren over hoe ze zich het beste kunnen wapenen tegen cyberdreigingen.

Zo is het belangrijk dat de identiteit van gebruikers beschermd is en dat data te allen tijde beveiligd en versleuteld is – of het nu gaat om data die wordt uitgewisseld of data die opgeslagen staat op een server. Het gebruik van deze oplossingen kan contractueel worden vastgelegd, net zoals het feit dat geen enkele derde partij er via een achterdeur toegang toe mag hebben. Deze contractuele verplichting versterken de betrokkenheid en het vertrouwen tussen de ondernemer en zijn IT-leverancier. 

Meer controle en overzicht, minder angst

Het onbekende, of onzichtbare, roept angst op. Dit geldt zowel in ons dagelijks leven als voor onze data. Een begrijpelijke reactie, die je desalniettemin op een concrete en rationele manier kan aanpakken. Een bedrijf moet zelf kunnen controleren en beslissen wie op verzoek van een externe partij toegang kan hebben tot zijn al dan niet versleutelde data. Bedrijven moeten ook een volledig overzicht hebben van wat er met hun data gebeurt. Niet alleen om operationeel te blijven, maar ook om inzicht te hebben in eventuele dreigingen.

Dat overzicht moet ook aansluiten op de interne en externe controle van erkende leveranciers, die om strikt omschreven reden toegang tot bepaalde data geven. Het is aan IT-spelers om hierbij te helpen en alle technologische middelen en service ter beschikking te stellen, zodat die de controle over deze gegevens kan houden.

Angst is een slechte raadgever. De voordelen van cloud-technologieën en 'intelligent' databeheer zijn zo belangrijk voor het functioneren en de groei van bedrijven dat ze zich niet door irrationele angst mogen laten afremmen. Om die angst weg te nemen en data op een intelligente, onafhankelijke manier te benutten, bestaan er regels die steeds worden geüpdatet en technologische middelen die een betere beveiliging en controle mogelijk maken. Het is een plicht om die mogelijkheden ter beschikking te stellen, te gebruiken en toe te passen om in volledig vertrouwen innovatie te realiseren.

Reactie toevoegen