Overslaan en naar de inhoud gaan
Achtergrond
3 uur geleden leestijd 3 minuten 0 reacties

NLdigital: los soevereiniteitsvraagstuk op met gedegen risicoanalyse

In de aanloop naar een hoorzitting in de Tweede Kamer over de overname van DigiD-platformleverancier Solvinity zet branchevereniging NLdigital kanttekeningen bij het streven naar soevereiniteit. Ook bij Europese leveranciers is de veiligheid van gegevens niet gegarandeerd. Risico’s die juridisch niet zijn uit te sluiten, kun je technisch beperken.

Thijs Doorenbosch
Thijs DoorenboschMeer van deze auteur
Vrouw houdt stopbord vast in een datacentrum

Als gevolg van grote geopolitieke verschuivingen wordt de discussie over cloudtoepassingen te sterk versimpeld tot ‘binnenlands is veilig' en 'buitenlands is risicovol', vreest NLdigital in een schriftelijke inbreng voor het rondetafelgesprek vandaag in de Tweede Kamer. De branchevereniging ziet liever dat er besluiten worden genomen op basis van volwassen risicomanagement dat past bij het type data en de mate waarin de toepassingen kritiek zijn.

Vraagstuk breder dan Solvinity-case

De hoorzitting is georganiseerd naar aanleiding van de commotie die is ontstaan over de voorgenomen overname van IT-leverancier Solvinity door het Amerikaanse Kyndryl, een afsplitsing van IBM. Solvinity levert het cloudplatform in het overheidsdatacentrum waarop de Nederlandse overheids-IT-dienstverlener Logius de DigiD-toepassing heeft gebouwd. De branchevereniging wil geen casussen bespreken van individuele leden, zoals Solvinity, maar wel inbreng leveren voor een bredere discussie. Cloudgebruik is immers voor veel organisaties onmisbaar en speelt een cruciale rol in de digitale economie.

Het is volgens NLdigital in het kader van digitale autonomie belangrijk om in de gaten te houden hoeveel controle je als organisatie uit handen geeft en welke risico’s dat met zich meebrengt. Daarbij zijn drie punten belangrijk:

  • Vertrouwelijkheid: wie kan bij de data?
  • Integriteit: blijven gegevens ongewijzigd en betrouwbaar?
  • Beschikbaarheid: zijn diensten toegankelijk als dat nodig is?

Bij het verwerken van data ontstaan altijd risico’s, ook als een organisatie alles in eigen beheer doet. In dat geval zijn er afhankelijkheden van hardwarecomponenten en firmware, maar ook van de beschikbaarheid van gespecialiseerde kennis die vaak internationaal wordt verkregen. Niet alle risico’s zijn echter gelijk. Het is dus belangrijk om in kaart te brengen:

  • Hoe groot is de kans dat het risico zich voordoet?
  • Wat is de impact?
  • Wat zijn de waarschuwingssignalen?

Uitbesteden brengt ook risico’s met zich mee:

  • Minder directe controle over data en systemen
  • Juridische risico’s bij buitenlandse leveranciers, zoals de Amerikaanse CLOUD Act
  • Potentiële toegang door derden tot data of systemen

De vraag bij de keuze tussen uitbesteden of processen in eigen beheer uitvoeren is dus welke optie tot het best controleerbare risiconiveau leidt. Meer controle klinkt aantrekkelijk, maar controle vraagt om investeringen in specialistische kennis, continue beveiliging, compliance en schaal om bij te blijven met snelle technologische ontwikkelingen. Lukt het niet die investeringen te doen, kan dat leiden tot grotere risico’s dan je als organisatie juist wilde vermijden.

Encryptie is de sleutel

Het juridisch kader waarbinnen leveranciers werken kan een risico opleveren zoals bij de Amerikaanse Cloud Act. Daarmee kan de Amerkaanse overheid een leverancier verplichten om toegang tot data te geven. Sommige risico’s zijn inderdaad niet juridisch uit te sluiten, stelt NLdigital, maar wél te beperken met technische maatregelen. Zo voorkomt bijvoorbeeld de inzet van encryptie dat de opgevraagde data kunnen worden ingezien als de sleutel onder strikt geheime condities wordt beheerd door de eigenaar van de data. Er zijn gevallen bekend dat de Amerikaanse overheid bijvoorbeeld data op iPhones niet kon ontsleutelen omdat de encryptiesleutel niet in handen was van de leverancier.

NLdigital wijst er ook op dat risico’s ook beperkt kunnen worden door gebruik te maken van verschillende leveranciers. Het nadeel daarvan is dat de complexiteit toeneemt, waardoor weer extra risico’s worden geïntroduceerd.

Breng risico’s in kaart

Het advies van NLdigital is daarom om niet te eenvoudig te oordelen op basis van nationaliteit van een leverancier, maar om risico’s zorgvuldig te identificeren en te adresseren. Voor elk type data gelden andere gevoeligheden. Breng bij elke uitbesteding de beheer- en de toegangsprotocollen in kaart en wees alert op het inschakelen van onderaannemers waar dezelfde risico-analyse op moet worden uitgevoerd. Verder is het belangrijk continuïteits- en exitstrategieën op te stellen en periodiek te testen, aldus NLdigital.

Gerelateerde artikelen
Gerelateerde artikelen
Gerelateerde artikelen
Meer whitepapers
MEER WHITEPAPERS

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Melden als ongepast

Door u gemelde berichten worden door ons verwijderd indien ze niet voldoen aan onze gebruiksvoorwaarden.

Schrijvers van gemelde berichten zien niet wie de melding heeft gedaan.

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in