Cloud is een diffuus begrip. Het begrip cloud kan inhouden dat je de ICT buiten de organisatie plaatst (link), maar ook dat je als organisatie een SaaS provider inschakelt. Raet is een bekend voorbeeld in deze, die vele gemeenten kiezen als oplossing voor de personeelsdossiers. Voorafgaand aan een dergelijke beslissing, gaat vaak een aanbestedingstraject aan vooraf.

Recent onderzoek onder 100 gemeenten en gemeentelijke samenwerkingsverbanden geeft aan dat er sterke behoefte is aan uniforme inkoopvoorwaarden. Vaak wordt nu de algemene IT overeenkomst (ARBIT 2014) gebruikt. De vraag is vervolgens wat wordt dan afgesproken over cloud en hosting services, informatiebeveiliging en privacy. Dat laatste is niet onbelangrijk gezien het inwerkingtreden van de nieuwe wet op het datalekken. De ene SAAS provider is de andere niet, sommige SaaS-providers behouden zich het recht voor om van alles te doen met toevertrouwde data, comprimeren bijvoorbeeld.

Bij aanbestedingen wordt natuurlijk ook gekeken naar het informatiebeheer, van wie zijn de data bijvoorbeeld, kunnen we de data vernietigen, laten we de data alleen bij de SaaS provider staan of laden we de data ook in eigen applicaties ?

Formuleren is een, of de eisen ook zijn uit te voeren, blijkt in de praktijk (vaak) anders te zijn. Dan blijkt het vaak niet mogelijk om zelf te bepalen specifieke data te vernietigen en moet je het proces van bewaren en vernietigen toevertrouwen aan de SaaS-provider. Matcht de nieuwe selectelijst met de Saas-provider ?  Alle vertrouwelijke data in de cloud is dat wenselijk,  zeker met alle privacywetgeving die (snel) in werking treedt. Na de wet meldplicht datalekken is een Europese algemene verordening gegevensverwerking in de maak, die de wet op persoonsregistratie gaat vervangen. Is een service level agreement (SLA) voldoende ? Hoe wordt dit geaudit ? Wie doet dat ?

Allemaal vragen, die feitelijk aantoonbaar beantwoord moeten zijn, voordat de overeenkomst met een SaaS-provider wordt gesloten. De praktijk is wat weerbarstiger.

 

Eerdere blogs:

Eigendom van data in de cloud link

Personeelsdossiers scannen en RAET link

Weergaven: 973

Hierop reageren

Berichten in deze discussie

Oké, we hebben er een uitdaging bij SAAS en cloud en "waardering en vernietiging"

Het laatste woord is daar nog lang niet over gezegd.

Maar hoe zit het primair bij gemeenten als je praat over "verplichte vernietiging" maar dan in het kader van voorlopig 2 wetten zijnde "Archiefwet" =tandenloos monster en sanctieloos. Belangrijker is de WBP met College bescherming persoonsgegevens met kaken van een pittbul en financieel niet sanctieloos.

Vernietiging uit het dms/rma is nog wel te doen, maar het is wel (volgens mij) de bedoeling dat we (volgens deze wet WBP) alle persoonsinformatie verplicht vernietigen!!! ook uit alle subsystemen, Saassystemen etc. en of dat nu een backofficesysteem is of een V-schijf, mail archieven,  of een papieren afdelingswerkarchief cq centraal papieren archief. En als laatste het onvolprezen "back -up systeem" want stel dat je wat verplicht vernietigd hebt (in kader van de WBP), dan moet ICT in staat zijn om het terug te halen??

Of was het nu juist de bedoeling dat ICT dat per definitie ook niet moet kunnen?? en de SAAS provider??

Er schieten mij 2 gedachten door het hoofd:

1. informatie en wetten zijn peilers onder onze democratische rechtstaat??

2. elke lokale overheid heeft toch zeker wel een e-depot?? (lees serverruimte met software en data)

Het ontbreekt alleen nog aan de invulling van het woord "duurzaam" ( duurzaam beheer en toegankelijkheid met de toevoeging "duurzame ON-toegankelijkheid"

 

 

 

Voor wat betreft het gebruik van backups: ik ken organisaties waar in het protocol staat, dat de vernietigingsprocedure opnieuw wordt uitgevoerd wanneer een backup wordt teruggeplaatst.

@Paul, dank voor de tip !

Ergens gevonden: werken met SAAS

  1. De gemeente is en blijft verantwoordelijk voor de gegevens en diensten die zij in de Cloud laat opslaan en gebruikt, en dient een afgewogen keuze te maken of een informatiesysteem in de Cloud gebruikt mag en kan worden.
  2. Uitbesteding is goedgekeurd door de voor het informatiesysteem verantwoordelijke lijnmanager/systeemeigenaar.
  3. De gemeente (verantwoordelijke lijnmanager) blijft verantwoordelijk voor de betrouwbaarheid (beschikbaarheid, en vertrouwelijkheid) van uitbestede diensten.
  4. Op basis van een risicoanalyse wordt bepaald wat de beschikbaarheids eis van een ICT-voorziening is en wat de impact bij uitval is. Afhankelijk daarvan worden maatregelen bepaald, zoals automatisch werkende mechanismen om uitval van (fysieke) ICT-voorzieningen, waaronder verbindingen op te vangen. Bijvoorbeeld de controle op aanwezigheid van een component en metingen die het gebruik van een component vaststellen.
  5. Beveiligingskenmerken, niveaus van dienstverlening en beheers-eisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in elke overeenkomst voor netwerkdiensten, zowel voor diensten die intern worden geleverd als voor uitbestede diensten.
  6. Op basis van voorspellingen van het gebruik wordt actie genomen om tijdig de benodigde uitbreiding van capaciteit te bewerkstelligen. Dit dient beschreven te zijn in de SLA.
  7. Er zijn bedrijfscontinuïteitsplannen voor het herstel van incidenten, zoals aanvallen met virussen waarin minimaal maatregelen voor back-ups en herstel van gegevens en programmatuur zijn beschreven.
  8. Bij transport van vertrouwelijke informatie over onbetrouwbare c.q. oncontroleerbare netwerken, zoals het internet, dient altijd geschikte encryptie te worden toegepast.
  9. Gegevensuitwisseling tussen vertrouwde en niet vertrouwde zones dient inhoudelijk geautomatiseerd gecontroleerd te worden op aanwezigheid van malware.
  10. Er worden met de cloud leverancier afspraken gemaakt over de inhoud van rapportages, zoals over het melden van incidenten en autorisatiebeheer.
  11. De in de bewerkersovereenkomst of dienstverleningscontracten vastgelegde betrouwbaarheidseisen worden gemonitord. Dit kan bijvoorbeeld door audits of rapportages en gebeurt minimaal eens per jaar (voor ieder systeem).[1]
  12. Er zijn voor beide partijen eenduidige aanspreekpunten.
  13. In het geval van verwerken van persoonsgegevens is er een bewerkersovereenkomst waarin helder alle rechten en plichten van de leverancier en gemeente zijn vastgelegd. De vastgelegde beveiligingsmaatregelen worden jaarlijks door de gemeente geaudit bij de leverancier (zie ook 11).

Het gebruik van openbare cloud oplossingen zoals Dropbox en Google Drive is niet toegestaan. Deze oplossingen vallen onder de Amerikaanse wetgeving en zijn dus ongeschikt voor het opslaan van alle vertrouwelijke (zoals persoons) informatie.



[1] Daarnaast kan men met de leverancier afspreken dat met een TPM (third party mededeling) kan worden voldaan aan de auditeis, echter dan moet deze wel dezelfde dekking hebben als de afspraken met de gemeente.

Goed overzicht, Henk! Dank!

Henk, bedankt voor het overzicht. Nuttig!

Wat betreft je 2de gedachte: helaas is het nog niet zo dat iedere lokale overheid een e-depot heeft. Wat dat betreft loopt de organisatie waar jij werkt voorop.

Antwoorden op discussie

RSS

© 2024   Gemaakt door Marco Klerks.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden