27 januari 2011

Veilig in de CloudHoe kunt u uw mensen altijd en overal veilig toegang geven tot bedrijfsinformatie zonder dat u de controle over uw data verliest? En hoe kunt u voldoen aan wet- en regelgeving?

Joris GeertmanPSM S&TMicrosoftjorisgee@microsoft.com

twitter: jorisgee

Louis Jonkeradvocaat

Van Doornejonker@vandoorne.com

Hashtag 360 event: #360graden

Alle Cloud Sessies vandaag

Tijd Sessie Spreker(s)

10:15 – 11:00 Cloud Scenario’s Irwin Hunter

11:15 – 12:00 Cloud Strategie Rene van Haaster

12:15 – 13:00 Office 365 Hans van der Meer

13:15 – 14:00 Cloud Confused ? Peter de Haas

Cloud Scenario’s Irwin Hunter

14:15 – 15:00 Cloud Strategie Rene van Haaster

Veilig in de Cloud Louis Jonker / Joris Geertman

15:15 – 16:00 Office 365 Hans van der Meer

16:15 – 17:00 Veilig in de Cloud Louis Jonker / Joris Geertman

Cloud Scenario’s Irwin Hunter

Gehele dag Cloud Desk Voor trial accounts en al uw cloud vragen

Cloud Desk voor al uw Cloud vragen

• Trial Accounts• Licentie-vragen• Technische-vragen• Cloud-vragen

CLOUD DESK

Twee vragen en discussie

• Is het veilig?– Welke maatregelen neemt Microsoft om ervoor te zorgen

dat online gegevens afdoende beveiligd zijn?

• Is het juridisch verantwoord?– Hoe kan ik voldoen aan wet en regelgeving?

• Discussie

De Microsoft Cloud

Microsoft Visie

ON-PREMISES

CLOUD SERVICES

TV / HOMEPC MOBIEL

Microsoft Cloud Diensten

Software as

a Service(SaaS)

Platform as

a Service(PaaS)

Infrastructure as a

Service(IaaS)

Eigen Datacenter

Private Cloud

PublicCloud

Storage

Server HW

Networking

Servers

Databases

Virtualization

Runtimes

Applications

Security & Integration

Storage

Server HW

Networking

Servers

Databases

Virtualization

Runtimes

Applications

Security & Integration

Storage

Server HW

Networking

Servers

Databases

Virtualization

Runtimes

Applications

Security & Integration

Storage

Server HW

Networking

Servers

Databases

Virtualization

Runtimes

Applications

Security & Integration

Eigen beheerManaged door Service Provider

Private(On-Premise)

Infrastructure

(as a Service)

Platform(as a

Service)

Software(as a

Service)

Service Delivery Opties

Cloud Services voor Bedrijven

BEDRIJFS APPL.SAMENWERKEN DATABASE PLATFORMBEHEERPRODUKTIVITEIT COMMUNICATIE

Significante Investeringen In Infrastructure

Meer dan $2B geinvesteerd in cloud infrastructureGeografische replicatie klantgegevensFlexibiliteit door public én private cloud30,000 engineers werkend aan clouddiensten

Commitment voor Services Excellence

Financiele SLA garantiesSAS 70 en ISO 27001 compliantContinue reductie van de CO2 footprintInnovatie door snelle iteratieve verbetering clouddiensten

Is het veilig?

Microsoft-cloud lekt bedrijfsdata van klanten

Kroes waarschuwt voor privacyrisico's cloud

Cloud Security Uitdagingen

Cloud security

Uitdagingen

Toenemende afhankelijkheid tussen

diensten, Betrouwbaarheid over Publieke en Private

Sector

Complexe, wereldwijde wet- en regelgeving en

industrie standardaarden

Nieuwe technologien, veranderende business modellen, dynamische hosting omgevingen

Toenemende complexiteit van aanvallen, grotere

bedreigingen en risico’s

CSA - Cloud Security Bedreigingen

Cloud Security Alliance:1. Misbruik van Cloud Computing2. Onveilige API’s3. Onbetrouwbare / kwaadwillende insiders4. Kwetsbaarheden door gedeelde technologie5. Verlies van gegevens6. Kapen van accounts, dienst, netwerkverkeer7. Onbekend Risico Profiel

Identityen Access

MgtHost Applicaties DataNetwerk

Defense-in-Depth

Fysiek

Security Foundation:TWC / SDL / Transparency / Audits

Security Controls… shared responsibility

IaaS

Physical Security

PaaS

Data Tagging

SaaS

Application Logging

18

“With more control, comes more responsibility”

Uitgebreid Compliance Framework

ISO/IEC 27001:2005 certificationSAS70 Type I and Type II attestations

PCI DSS certificationFISMA certification & accreditation

Certification and Attestations

Predictable Audit Schedule

Test effectiveness and assess riskAttain certifications and attestationsImprove and optimize

Examine root cause of non-complianceTrack until fully remediated

Controls Framework

Identify and integrateRegulatory requirementsCustomer requirements

Assess and remediate Eliminate or mitigate gaps in control design

Payment card industry data security standard Health Insurance Portability and Accountability Act

Industry Standards and Regulations

FISMA (NIST 800-53)Privacy laws, Sarbanes-Oxley, etc.

De Evolutie van Security van onze Online Services

Portal Era Online App Era Web Services Era

First ISO 27001 cert

1st Data Center

1989 1994-95 1997 2002 2004 2006 2008

Security Development Lifecycle

First SAS-70 cert

Trustworthy Computing Directive

Cloud Computing Era

2010

FISMA Cert

2012

Control Modules

Transparency: Control Modules

Regionale Zonering Microsoft Datacenters

ChicagoQuincyDublin

Amsterdam

Hong Kong

Singapore

Japan

"Datacenters have become as vital to the functioning of

society as power stations." The Economist 

San Antonio

Microsoft has more than 10 and less than 100 DCs worldwide

BoydtonDes Moines

Google weigert data in Europa te houden

Relevante Bronnen

• Microsoft Global Foundation Services: http://www.globalfoundationservices.com/

• Microsoft Compliance Framework: http://www.globalfoundationservices.com/documents/MicrosoftComplianceFramework1009.pdf

• Securing Microsoft’s Cloud Infrastructure:http://www.globalfoundationservices.com/security/documents/SecuringtheMSCloudMay09.pdf

• Cloud security Alliance• http://www.cloudsecurityalliance.org/

27 januari 2011

Is het juridisch verantwoord?

Veilig in de cloudHoe kunt u voldoen aan wet- en regelgeving?

Louis JonkeradvocaatVan Doornejonker@vandoorne.com

*** zonder hashcode #360graden wordt uw tweet niet serieus genomen ***

ONTWIKKELINGEN IN SOURCING:• In-house• Facilities management• Hosting• ASP• Outsourcing/outtasking/BPO• SaaS/PaaS/IaaS• Cloud computing• <…>

HOE PAST CLOUD COMPUTING BINNEN HET JURIDISCHE KADER?• Geen nieuwe juridische aandachtspunten ten opzichte van andere

uitbestedingsvormen, maar wel deels een andere focus vanwege dynamisch en grensoverschrijdend karakter van cloud computing

• Grosso modo juridisch: cloud computing = uitbesteding+

DUS AANDACHT VOOR JURIDISCHE ASPECTEN ALS:• Dienstverlening (service levels, garanties) en sancties (boete,

aansprakelijkheid)• Regie (communicatie, rapportage) en controle (audit, TPM)• Continuïteit (back-up, uitwijk, escrow)• Intellectuele eigendom en gegevensbescherming (geheimhouding,

beveiliging en privacy)• Toepasselijk recht en geschiloplossing

JURIDISCHE UITDAGINGEN BIJ CLOUD COMPUTING:• Toepasselijk recht• ‘Control’• Continuïteit• Gegevensbescherming

UITDAGING #1: TOEPASSELIJK RECHT

Uitdaging• Wet- en regelgeving bevat verschillende aanknopingspunten om te

bepalen welk recht van toepassing is:- vestiging klant of locatie middelen/cloud (EU-privacyregelgeving)- plaats van kenmerkende prestatie (wanprestatie)- plaats waar schade zich voordoet (onrechtmatige daad)

• Gebrekkige harmonisatie van lokale regelgeving

Uitdaging oplosbaar/beheersbaar• Contractuele afspraken (tenzij dwingend recht)• Regionale zonering• LET OP: geschiloplossing (gelijk hebben ≠ gelijk krijgen)

UITDAGING #2: ‘CONTROL’

Uitdaging: kan je aan je wettelijke verplichtingen voldoen?• IFRS, SOx, Tabaksblatt, … (“deugdelijk ondernemingsbestuur”)• Civielrechtelijke en fiscale bewaarplichten• Bestuurdersverantwoordelijkheid (Ceteco-uitspraak)

Uitdaging oplosbaar/beheersbaar• Waarborgen van beschikbaarheid van en toegang tot (kritieke)

bedrijfsgegevens (zie uitdaging #3)• Waarborgen van continuïteit van bedrijfsvoering (zie uitdaging #3)• Controle (verifiëren van aanwezigheid/effectiviteit van ‘controls’):

- Audit (uitdaging: cloud is niet statisch, maar dynamisch)- TPM (SAS70-Type I-II, ISAE3402/SSAE-Type A-B)

UITDAGING #3: CONTINUÏTEIT (I)

Uitdaging• Potentiële bedreiging: gebrekkige kwaliteit leverancier of diensten

(uitvoering diensten in overeenstemming met bepaalde in overeenkomst)• Potentiële bedreiging: uitwerking daarvan op bedrijfsvoering

• “FACT: every year, thousands of organizations experience disruption to their operations lasting longer than five working days.” (British Standards Institution)

UITDAGING #3: CONTINUÏTEIT (II)

Uitdaging oplosbaar/beheersbaar• Afstemming van aan de cloud te stellen eisen en kwaliteitsniveaus op de

te ondersteunen bedrijfsvoering• ‘Klassieke’ continuïteitsmaatregelen:

- back-up (door leverancier of door klant), uitwijk- dynamische technology escrow?- exitassistentie

• ‘Verborgen’ continuïteitsmaatregelen:- “eigendom” van gegevens- hanteren van datastandaarden- concrete invulling van overmachtsbegrip- geclausuleerd opschortingsrecht leverancier bij betalingsgeschillen

UITDAGING #3: CONTINUÏTEIT (III)

BELANGRIJKSTE CONTINUÏTEITSMAATREGEL = REGIE• Gebrekkige kwaliteit van de leverancier of

zijn diensten vormt niet het echte risico.• In de praktijk levert veeleer de gebrekkige

bekendheid met gebreken het ware risico op.• Goede regieprocessen (communicatie,

rapportage, verwachtingenmanagement)zijn essentieel om continuïteitsrisico’s,danwel de effecten daarvan, beheersbaarte houden.

• Dus ook: bekendheid met ketenpartners incloud (bijv. clausule inzake onderaanneming)

UITDAGING #4: GEGEVENSBESCHERMING (I)

Uitdaging (I)• Toegang van derden tot data in de cloud

- Patriot Act …, maar grootste gevaar komt zeker niet (alleen) uit de VS (met ruim 3 miljoen opvragingen in 2009 is NL Europees koploper)- impact of vertrouwelijkheid, data-integriteit, …

Uitdaging oplosbaar/beheersbaar• Contractuele afspraken:

- toepasselijk recht?- regie (informatie-/waarschuwingsplicht)- back-up

UITDAGING #4: GEGEVENSBESCHERMING (II)

Uitdaging (II)• Privacy:

- verwerking van persoonsgegevens (HR-gegevens, klantgegevens)- naleving verplichtingen uit hoofde van Wbp: * bekendheid met locatie van persoonsgegevens * passende technische en organisatorische beschermingsmaatregelen * maximale bewaartermijnen verplichting tot verwijderen * uitvoering controle- en correctierechten betrokkenen

Uitdaging oplosbaar/beheersbaar• Bewerkersovereenkomst tussen klant (verantwoordelijke) en cloud

computing provider (bewerker) met heldere verdeling van taken en verantwoordelijkheden

UITDAGING #4: GEGEVENSBESCHERMING (III)

BIJZONDERE PRIVACY-UITDAGING• Grensoverschrijdende datadistributie• Doorgifte van persoonsgegevens buiten EER is verboden, tenzij:

- wettelijke uitzondering (toestemming, uitvoering overeenkomst)- passend beschermingsniveau of VS Safe Harbour

Uitdaging oplosbaar/beheersbaar• Doorgifteovereenkomst (conform modelcontracten) + vergunning MvJ• Cloud computing provider als verantwoordelijke voor doorgifte• ‘Neutralisatie’ van data (anonimisering, pseudonimisering, encryptie?)• Regionale zonering

SLOTOPMERKINGEN

• Cloud is nieuw, maar juridisch geen onbeschreven blad.

• Cloud brengt geen strakblauwe hemel met zich mee, maar ook geen donkergrijs wolkendek.

• Praktische oplossingen zijn voor handen.