27 januari 2011

Veilig in de Cloud Hoe kunt u uw mensen altijd en overal veilig toegang geven tot bedrijfsinformatie zonder dat u de controle over uw data verliest? En hoe kunt u voldoen aan wet- en regelgeving? Joris Geertman PSM S&T Microsoft jorisgee@microsoft.com twitter: jorisgee Louis Jonker advocaat Van Doorne jonker@vandoorne.com Hashtag 360 event: #360graden

Alle Cloud Sessies vandaag Tijd Sessie Spreker(s) 10:15 – 11:00 Cloud Scenario’s Irwin Hunter 11:15 – 12:00 Cloud Strategie Rene van Haaster 12:15 – 13:00 Office 365 Hans van der Meer 13:15 – 14:00 Cloud Confused ? Peter de Haas 14:15 – 15:00 Veilig in de Cloud Louis Jonker / Joris Geertman 15:15 – 16:00 Hans van der Meer 16:15 – 17:00 Gehele dag Cloud Desk Voor trial accounts en al uw cloud vragen

Cloud Desk voor al uw Cloud vragen Trial Accounts Licentie vragen Technische vragen “cloud” vragen U vindt ons op de community area

Cloud Desk voor al uw Cloud vragen Trial Accounts Licentie-vragen Technische-vragen Cloud-vragen CLOUD DESK

Twee vragen en discussie Is het veilig? Welke maatregelen neemt Microsoft om ervoor te zorgen dat online gegevens afdoende beveiligd zijn? Is het juridisch verantwoord? Hoe kan ik voldoen aan wet en regelgeving? Discussie

De Microsoft Cloud

CONFIDENTIAL – FOR MICROSOFT INTERNAL USE ONLY 4/2/2017 Microsoft Visie TV / HOME PC MOBIEL CLOUD SERVICES ON-PREMISES © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Microsoft Cloud Diensten Eigen Datacenter Private Cloud Public Cloud Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (IaaS)

Service Delivery Opties Private (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service) Applications Applications Applications Applications Runtimes Runtimes Runtimes Runtimes Security & Integration Security & Integration Security & Integration Security & Integration Databases Databases Databases Databases Servers Servers Servers Servers Virtualization Virtualization Virtualization Virtualization Server HW Server HW Server HW Server HW Managed door Service Provider Storage Storage Storage Storage Networking Networking Networking Networking Eigen beheer

Cloud Services voor Bedrijven PRISM FY11 4/2/2017 Cloud Services voor Bedrijven Significante Investeringen In Infrastructure Commitment voor Services Excellence Meer dan $2B geinvesteerd in cloud infrastructure Geografische replicatie klantgegevens Flexibiliteit door public én private cloud 30,000 engineers werkend aan clouddiensten Financiele SLA garanties SAS 70 en ISO 27001 compliant Continue reductie van de CO2 footprint Innovatie door snelle iteratieve verbetering clouddiensten PRODUKTIVITEIT COMMUNICATIE SAMENWERKEN BEDRIJFS APPL. BEHEER DATABASE PLATFORM © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Is het veilig?

Microsoft-cloud lekt bedrijfsdata van klanten

Kroes waarschuwt voor privacyrisico's cloud

Cloud Security Uitdagingen Toenemende afhankelijkheid tussen diensten, Betrouwbaarheid over Publieke en Private Sector Complexe, wereldwijde wet- en regelgeving en industrie standardaarden Nieuwe technologien, veranderende business modellen, dynamische hosting omgevingen Toenemende complexiteit van aanvallen, grotere bedreigingen en risico’s Cloud security Uitdagingen

CSA - Cloud Security Bedreigingen Cloud Security Alliance: Misbruik van Cloud Computing Onveilige API’s Onbetrouwbare / kwaadwillende insiders Kwetsbaarheden door gedeelde technologie Verlies van gegevens Kapen van accounts, dienst, netwerkverkeer Onbekend Risico Profiel

TWC / SDL / Transparency / Audits 4/2/2017 Defense-in-Depth Fysiek Netwerk Identity en Access Mgt Host Applicaties Data Security Foundation: TWC / SDL / Transparency / Audits © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Security Controls… shared responsibility IaaS Physical Security Network ACLs Virtual FW Cloud Health Monitoring …. PaaS Data Tagging App AuthN Service Desc. SaaS Application Logging App AuthZ Encryption Implementation “With more control, comes more responsibility”

Uitgebreid Compliance Framework Payment card industry data security standard Health Insurance Portability and Accountability Act Industry Standards and Regulations FISMA (NIST 800-53) Privacy laws, Sarbanes-Oxley, etc. Controls Framework Identify and integrate Regulatory requirements Customer requirements Assess and remediate Eliminate or mitigate gaps in control design Predictable Audit Schedule Test effectiveness and assess risk Attain certifications and attestations Improve and optimize Examine root cause of non-compliance Track until fully remediated ISO/IEC 27001:2005 certification PCI DSS certification SAS70 Type I and Type II attestations FISMA certification & accreditation Certification and Attestations

De Evolutie van Security van onze Online Services 4/2/2017 De Evolutie van Security van onze Online Services Portal Era Online App Era Web Services Era First ISO 27001 cert 1st Data Center 1989 1994-95 1997 2002 2004 2006 2008 Security Development Lifecycle First SAS-70 cert Trustworthy Computing Directive Cloud Computing Era 2010 FISMA Cert 2012 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Control Modules

Transparency: Control Modules

Regionale Zonering Microsoft Datacenters Microsoft has more than 10 and less than 100 DCs worldwide Amsterdam Dublin Quincy Chicago Japan Hong Kong Boydton Des Moines San Antonio Singapore "Datacenters have become as vital to the functioning of society as power stations." The Economist 

Google weigert data in Europa te houden

Relevante Bronnen Microsoft Global Foundation Services: http://www.globalfoundationservices.com/ Microsoft Compliance Framework:  http://www.globalfoundationservices.com/documents/MicrosoftComplianceFramework1009.pdf Securing Microsoft’s Cloud Infrastructure: http://www.globalfoundationservices.com/security/documents/SecuringtheMSCloudMay09.pdf Cloud security Alliance http://www.cloudsecurityalliance.org/

27 januari 2011

Is het juridisch verantwoord?

Veilig in de cloud Hoe kunt u voldoen aan wet- en regelgeving? Louis Jonker advocaat Van Doorne jonker@vandoorne.com *** zonder hashcode #360graden wordt uw tweet niet serieus genomen ***

ONTWIKKELINGEN IN SOURCING: In-house Facilities management Hosting ASP Outsourcing/outtasking/BPO SaaS/PaaS/IaaS Cloud computing <…>

HOE PAST CLOUD COMPUTING BINNEN HET JURIDISCHE KADER? Geen nieuwe juridische aandachtspunten ten opzichte van andere uitbestedingsvormen, maar wel deels een andere focus vanwege dynamisch en grensoverschrijdend karakter van cloud computing Grosso modo juridisch: cloud computing = uitbesteding+ DUS AANDACHT VOOR JURIDISCHE ASPECTEN ALS: Dienstverlening (service levels, garanties) en sancties (boete, aansprakelijkheid) Regie (communicatie, rapportage) en controle (audit, TPM) Continuïteit (back-up, uitwijk, escrow) Intellectuele eigendom en gegevensbescherming (geheimhouding, beveiliging en privacy) Toepasselijk recht en geschiloplossing

JURIDISCHE UITDAGINGEN BIJ CLOUD COMPUTING: Toepasselijk recht ‘Control’ Continuïteit Gegevensbescherming

UITDAGING #1: TOEPASSELIJK RECHT Wet- en regelgeving bevat verschillende aanknopingspunten om te bepalen welk recht van toepassing is: - vestiging klant of locatie middelen/cloud (EU-privacyregelgeving) - plaats van kenmerkende prestatie (wanprestatie) - plaats waar schade zich voordoet (onrechtmatige daad) Gebrekkige harmonisatie van lokale regelgeving Uitdaging oplosbaar/beheersbaar Contractuele afspraken (tenzij dwingend recht) Regionale zonering LET OP: geschiloplossing (gelijk hebben ≠ gelijk krijgen)

UITDAGING #2: ‘CONTROL’ Uitdaging: kan je aan je wettelijke verplichtingen voldoen? IFRS, SOx, Tabaksblatt, … (“deugdelijk ondernemingsbestuur”) Civielrechtelijke en fiscale bewaarplichten Bestuurdersverantwoordelijkheid (Ceteco-uitspraak) Uitdaging oplosbaar/beheersbaar Waarborgen van beschikbaarheid van en toegang tot (kritieke) bedrijfsgegevens (zie uitdaging #3) Waarborgen van continuïteit van bedrijfsvoering (zie uitdaging #3) Controle (verifiëren van aanwezigheid/effectiviteit van ‘controls’): - Audit (uitdaging: cloud is niet statisch, maar dynamisch) - TPM (SAS70-Type I-II, ISAE3402/SSAE-Type A-B)

UITDAGING #3: CONTINUÏTEIT (I) Potentiële bedreiging: gebrekkige kwaliteit leverancier of diensten (uitvoering diensten in overeenstemming met bepaalde in overeenkomst) Potentiële bedreiging: uitwerking daarvan op bedrijfsvoering “FACT: every year, thousands of organizations experience disruption to their operations lasting longer than five working days.” (British Standards Institution)

UITDAGING #3: CONTINUÏTEIT (II) Uitdaging oplosbaar/beheersbaar Afstemming van aan de cloud te stellen eisen en kwaliteitsniveaus op de te ondersteunen bedrijfsvoering ‘Klassieke’ continuïteitsmaatregelen: - back-up (door leverancier of door klant), uitwijk - dynamische technology escrow? - exitassistentie ‘Verborgen’ continuïteitsmaatregelen: - “eigendom” van gegevens - hanteren van datastandaarden - concrete invulling van overmachtsbegrip - geclausuleerd opschortingsrecht leverancier bij betalingsgeschillen

UITDAGING #3: CONTINUÏTEIT (III) BELANGRIJKSTE CONTINUÏTEITSMAATREGEL = REGIE Gebrekkige kwaliteit van de leverancier of zijn diensten vormt niet het echte risico. In de praktijk levert veeleer de gebrekkige bekendheid met gebreken het ware risico op. Goede regieprocessen (communicatie, rapportage, verwachtingenmanagement) zijn essentieel om continuïteitsrisico’s, danwel de effecten daarvan, beheersbaar te houden. Dus ook: bekendheid met ketenpartners in cloud (bijv. clausule inzake onderaanneming)

UITDAGING #4: GEGEVENSBESCHERMING (I) Uitdaging (I) Toegang van derden tot data in de cloud - Patriot Act …, maar grootste gevaar komt zeker niet (alleen) uit de VS (met ruim 3 miljoen opvragingen in 2009 is NL Europees koploper) - impact of vertrouwelijkheid, data-integriteit, … Uitdaging oplosbaar/beheersbaar Contractuele afspraken: - toepasselijk recht? - regie (informatie-/waarschuwingsplicht) - back-up

UITDAGING #4: GEGEVENSBESCHERMING (II) Uitdaging (II) Privacy: - verwerking van persoonsgegevens (HR-gegevens, klantgegevens) - naleving verplichtingen uit hoofde van Wbp: * bekendheid met locatie van persoonsgegevens * passende technische en organisatorische beschermingsmaatregelen * maximale bewaartermijnen  verplichting tot verwijderen * uitvoering controle- en correctierechten betrokkenen Uitdaging oplosbaar/beheersbaar Bewerkersovereenkomst tussen klant (verantwoordelijke) en cloud computing provider (bewerker) met heldere verdeling van taken en verantwoordelijkheden

UITDAGING #4: GEGEVENSBESCHERMING (III) BIJZONDERE PRIVACY-UITDAGING Grensoverschrijdende datadistributie Doorgifte van persoonsgegevens buiten EER is verboden, tenzij: - wettelijke uitzondering (toestemming, uitvoering overeenkomst) - passend beschermingsniveau of VS Safe Harbour Uitdaging oplosbaar/beheersbaar Doorgifteovereenkomst (conform modelcontracten) + vergunning MvJ Cloud computing provider als verantwoordelijke voor doorgifte ‘Neutralisatie’ van data (anonimisering, pseudonimisering, encryptie?) Regionale zonering

SLOTOPMERKINGEN Cloud is nieuw, maar juridisch geen onbeschreven blad. Cloud brengt geen strakblauwe hemel met zich mee, maar ook geen donkergrijs wolkendek. Praktische oplossingen zijn voor handen.