In het openingsartikel van deze blogreeks hebben we behandeld wat het belang is van datasoevereiniteit en hoe een soevereine Cloud datasoevereiniteit en lokale wet- en regelgeving kan ondersteunen. In dit tweede artikel gaan we kijken wat de regelgeving rond datasoevereiniteit voor gevolgen heeft voor datacompliance, databeveiliging en dataprivacy.
Datacompliance en -soevereiniteit
Dataresidentie (de fysieke locatie van een server) is een centraal aspect in de regelgeving rond datasoevereiniteit. In veel landen vereisen dataresidentie-wetten dat organisaties, die in een bepaald land opereren, data over inwoners bewaren op servers die zich binnen de landsgrenzen bevinden. Als ons voorbeeldbedrijf uit het eerste deel van deze reeks, Rotterdam Runners, schoenen verkoopt aan klanten uit België en Duitsland, wil dat zeggen dat zij hun data ook op Belgische en Duitse servers moeten opslaan. Hierdoor vormen deze dataresidentie-wetten een forse uitdaging voor multinationale bedrijven die wereldwijd medewerkers hebben en klanten bedienen.
Wet- en regelgeving rond dataresidentie verandert doorlopend en varieert van land tot land. Om te blijven voldoen aan de nieuwste lokale datagovernance-regels moeten multinationale bedrijven, zoals Rotterdam Runners, regelmatig compliance-specialisten inschakelen die op de hoogte zijn van de wetgeving in de landen waar men actief is. En omdat deze wetgeving in een oogwenk kan veranderen, is het belangrijk dat bedrijven flexibel genoeg zijn om zich staande te houden in het huidige, zwaar gereguleerde maar veranderlijke klimaat. Of zoals een Fortune 500 CISO meent: “Een wet kan veranderen en dat kan ook de manier waarop je zakendoet compleet veranderen.”1
Zo’n 76% van multinationale bedrijven beschouwt datacompliance als belangrijke Cloud-uitdaging.2 Dat sentiment wordt nog eens extra gevoed door het gebrek aan bekwaam en ervaren personeel op datacompliance-gebied. De helft van de deelnemers aan een ISACA-onderzoek meldde dat zij kennishiaten hebben ervaren rond compliance-regelgeving, maar ook rond compliance-frameworks en -beheeromgevingen. Nog eens 46% gaf aan dat zij momenteel een gebrek aan kennis van privacy-gerelateerde technologie hebben.3 Om deze uitdagingen rond datacompliance te tackelen zullen er nieuwe strategieën en tactieken ontwikkeld moeten worden.
Databeveiliging en -privacy
De veelomvattende Algemene Verordening Gegevensbescherming (AVG) ofwel General Data Protection Regulation (GDPR) van de EU heeft vele landen geïnspireerd tot vergelijkbare dataprivacyregels. Een belangrijke bepaling van de GDPR is het veilig verwerken van persoonsgebonden data. De GDPR vereist dat beveiligingsbeleid en -procedures aanwezig moeten zijn om vertrouwelijkheid, integriteit en beschikbaarheid van persoonsgebonden data te waarborgen.4
Voor het verwerken van persoonsgebonden data van uw klanten zijn robuuste databeveiligingsprocedures cruciaal. Een datalek kan leiden tot identiteitsdiefstal en vernietiging van data kan vitale financiële informatie en intellectueel eigendom uitwissen. Ook het beperken van toegang tot gevoelige data is een fundamenteel aspect van databeveiliging.
Een soevereine Cloud kan uw organisatie helpen deze strikte datatoegangsbeperkingen door te voeren. Omdat data in een soevereine Cloud voldoet aan lokale wet- en regelgeving rond dataresidentie en -soevereiniteit, is deze beschermd tegen de loerende ogen van buitenlandse mogendheden. Ook moet de beveiliging van soevereine Clouds regelmatig worden gecontroleerd met behulp van een informatiesecurity-managementsysteem (ISMS) en volgens een erkende industriestandaard gecertificeerd. Daarnaast worden soevereine Clouds beheerd door ervaren providers die goed op de hoogte zijn van de geavanceerde beveiligingsstrategieën en -tactieken die nodig zijn om uw applicaties en data te beschermen tegen de constant veranderende bedreigingen van ransomware en cyberaanvallen.
Een veelgebruikte manier om uw bedrijfsdata te beschermen is door microsegmentatie toe te passen met toegang volgens het zero-trust principe. Daarmee wordt de communicatie tussen workloads afgesloten tenzij deze expliciet is toegestaan. Verder kan een soevereine Cloud encryptie toepassen en zelfs afgesloten worden van de buitenwereld (air-gapped) om externe bedreigingen buiten te sluiten. Deze gelaagde beveiligingsaanpak van een soevereine Cloud is de beste manier om uw bedrijfsdata en -applicatie te beschermen tegen beschadiging, vernieling en verlies.
In een poging te voldoen aan de compliance-, beveiligings- en privacy-uitdagingen van lokale datasoevereiniteitsregels, heeft 81% van bestuurders uit branches die sterk gereguleerd zijn alle data en workloads of een deel ervan uit de Public Cloud teruggetrokken.5 Sommige van deze organisaties zijn overgegaan op een hybride Cloud-aanpak, terwijl anderen hun data weer op eigen, on-premises servers hebben opgeslagen. Er is echter een andere oplossing voor deze uitdagingen.
De Nederlandse soevereine Cloud van Fundaments is gebouwd op het VMware Sovereign Cloud Framework en het team van Nederlandse compliance- en digitale beveiliging-specialisten kan elk interne kennis- en vaardigheidshiaat in uw organisatie opvullen. Met Fundaments soevereine Cloud kunt u zich razendsnel aanpassen aan veranderende Nederlandse en EU-datawetgeving terwijl uw data wordt beschermd tegen geraffineerde cyberbedreigingen.
Deze reeks bestaat uit vier blog-artikelen: elke week plaatsen we een nieuwe.
- CSO, Data residency laws pushing companies toward residency as a service, januari 2022
- Flexera 2022 State of the Cloud Report
- ISACA, Privacy in Practice 2022, maart 2022
- NetSec.news, GDPR Security Checklist, bekeken augustus 2022
- IDC, in opdracht van VMware, Deploying the Right Data to the right Cloud in Regulated Industries, juni 2021