Bruins wijst zorginstellingen op dubbele versleuteling bij cloudopslag

doorSecuratis

Bruins wijst zorginstellingen op dubbele versleuteling bij cloudopslag

Door ph-cofi: Klopt het mijn veronderstelling: als de persoonsgegevens versleuteld worden vóór opslag in de cloud, zijn het geen tot de persoon herleidbare gegevens meer en is de AVG niet van toepassing? Daarmee is het een alternatief voor DPIA’s et al? Dat zou de organisaties flink geld kunnen sparen.

Het zou toegang tot de gegevens door zorgpersoneel kunnen hinderen, zeker over instellingen heen (oftewel, iedereen moet het wachtwoord weten, dat daardoor ook niet vaak kan wijzigen).

Lang antwoord, maar je moet je eerst afvragen of “de data in de cloud” wordt opgeslagen bij een SaaS-dienst of bij een IaaS/PaaS-dienst.

Om te beginnen: Zowel bij SaaS als IaaS/PaaS is de cloudprovider verantwoordelijk voor een adequate beveiliging, Onderdeel van deze adequate beveiliging is dat alles door de cloudprovider als enqrypted is (1e laag encryptie). Tenminste als je het juiste contract gesloten hebt (ik zou het nalezen, bij dezelfde cloudprovider kan door verschillende instellingen/bedrijven een ander type contract/beveiliging onderhandeld worden). Vraag dus of de overall-dienst bij de cloudprovider en iedere afgenomen sub-dienst bij de cloudprovider aan de certificeringseisen voldoet voor de betreffende bedrijfssector, en laat dit contractueel vastleggen.

Dan SaaS:
Je kan prima bij de cloudprovider de data encryted uploaden, maar dan kan je waarschijnlijk die SaaS applicatie niet meer gebruiken. Immers: Alles is onleesbaar geworden. Bij SaaS is het in dat geval nog belangrijker om echt nogmaals alle certificeringen na te lopen, onafhankelijke audits uit te voeren of audit rapporten op te vragen. En dan als instelling/bedrijf bepalen of het risico op een adequate manier afgedekt is bij de cloudprovider. En, let er op, de instelling/bedrijf blijft altijd zelf verantwoordelijk, zeker bij SaaS een attentiepunt.

IaaS/PaaS:
Dan heb je als instelling/bedrijf goed de mogelijkheid om daadwerkelijk die 2e laag encryptie toe te passen (met wat kanttekeningen/uitzonderingen). Maar je moet je als instelling/bedrijf ook realiseren dat bij IaaS/PaaS er veel meer eigen verantwoordelijkheid komt te liggen bij je zelf. O.a. dus het uitvoeren van deze 2e laag encryptie. En ook nog het beveiligingen van alle andere type toegang: Firewall, Passwords, database ConnectieStrings, Logging en Audit, Patching van OS en Applicatie, Review van je applicatie-code, Backups (gewoon nog een 3e keer encrypten), enz enz enz

https://www.security.nl/posting/627007/Bruins+wijst+zorginstellingen+op+dubbele+versleuteling+bij+cloudopslag?channel=rss

Over de auteur

Securatis administrator