Het lijkt wel alsof alle bedrijven er druk mee zijn. Naar de cloud of niet? Mocht je denken dat je deze keuze nog hebt, heb ik een verrassing: je zit al in de cloud, of je nu wilt of niet.
Medewerkers uit elk bedrijf maken wel gebruik van clouddiensten. Een marketingtool, online software voor enquêtes en recruitment, Microsoft Office 365, diensten van Google, enzovoort. En dat vinden we eigenlijk allemaal vanzelfsprekend.
Als zorgorganisatie volledig overstappen naar de cloud is vaak minder vanzelfsprekend. En terecht. Ook de Autoriteit Persoonsgegevens maakt zich zorgen over zorgorganisaties die de stap naar de cloud zetten, meestal met beloftes van goedkoper en ontzorgd worden. Deze overstap zorgt er niet voor dat je als zorgorganisatie nergens meer voor verantwoordelijk bent. Een zorgorganisatie blijft zelf verantwoordelijk voor de beschikbaarheid juistheid en vertrouwelijkheid van de gegevens. Hoe zorg je ervoor dat een cloudleverancier zorgvuldig omgaat met jouw gegevens?
Verantwoordelijkheid nemen voor de omgang met jouw gegevens en ontzorgd worden door de overstap naar de cloud kan in vier simpele stappen.
1. Digitale hygiëne
In het geval van incidenten is het gebrek aan digitale hygiëne vaak de belangrijkste oorzaak. Ik bedoel dan aan de ene kant de technische zaken, maar natuurlijk ook de organisatorische aspecten, zoals het proces rondom het ontdekken, signaleren en oplossen van potentiële datalekken. Een NEN 7510- en ISO 27001-certificering van uw cloudleverancier is een goede start, naast jouw eigen certificering of kwaliteitsborging. Een zeer mooie aanvulling vanuit de cloudleverancier is de jaarlijkse ISAE-verklaring. Dan weet jezeker dat de maatregelen die er op papier zijn, ook echt effectief zijn.
2. Security by design
Een tweede stap gaat over de rol van de beveiliging in de ontwerpfase van zowel de zorgapplicaties als de cloud zelf. Security by design wordt dat genoemd. Meekijken in de ontwerpfase kan uiteraard bijna nooit, maar het ontwerp onderdeel maken van de ISAE-verklaring kan natuurlijk wel. Daarnaast geven tests met onafhankelijke ethisch hackers een behoorlijke mate van zekerheid. Als jouw cloudleverancier dat niet zelf doet, kun je dit natuurlijk ook zelf organiseren.
3. Awareness, awareness, awareness
Zelfs het duurste slot op de deur is waardeloos als de sleutel onder de mat wordt bewaard. Kennis, houding en gedrag zijn essentieel in de informatiebeveiliging. Gedrag van jouw medewerkers, maar zeker ook van de cloudleverancier is dus ook een cruciale factor. Besteedt jouw organisatie tijd aan het trainen van eigen medewerkers? En hoe zit dat bij de cloudleverancier? Ga eens in gesprek met leveranciers en laat je overtuigen dat zij hun personeel regelmatig trainen en testen.
4. Heldere afspraken
Dit klinkt zo logisch hé? Natuurlijk heb je een verwerkersovereenkomst gesloten met alle leveranciers. Maar in de praktijk zijn afspraken toch vaak niet zo helder of ontbreken ze totaal. En als die afspraken er niet zijn, dan kan het zijn dat zaken helemaal niet geregeld zijn. Ook de Autoriteit Persoonsgegevens weet dat blijkbaar, want deze raadt je aan om uw cloudleverancier ook te vragen om een ISO 27017-certificaat. Dat geeft aan of deze leverancier de basis op orde heeft en geeft je helder inzicht in wat deze wel en niet voor je doet als onderdeel van hun dienstverlening in het geval van…..
En dan is het veilig?
Helaas bestaat een 100 procent veilige situatie niet. Denk dus niet zomaar dat je alles geregeld hebt, door met je hoofd (en medische gegevens) in de wolken te lopen. Continu scherp blijven is en blijft belangrijk. Maar met deze vier stappen kun je in ieder geval aantonen dat je je verantwoordelijkheid serieus neemt.