27 januari 2011

1. 27 januari 2011

2. Veilig in de Cloud Hoe kunt u uw mensen altijd en overal veilig toegang geven tot bedrijfsinformatie zonder dat u de controle over uw data verliest? En hoe kunt u voldoen aan wet- en regelgeving? Joris Geertman PSM S&T Microsoft jorisgee@microsoft.com twitter: jorisgee Louis Jonker advocaat Van Doorne jonker@vandoorne.com Hashtag 360 event: #360graden

3. Alle Cloud Sessies vandaag

4. Cloud Desk voor al uw Cloud vragen • Trial Accounts • Licentie-vragen • Technische-vragen • Cloud-vragen CLOUD DESK

5. Twee vragen en discussie • Is het veilig? • Welke maatregelen neemt Microsoft om ervoor te zorgen dat online gegevens afdoende beveiligd zijn? • Is het juridisch verantwoord? • Hoe kan ik voldoen aan wet en regelgeving? • Discussie

6. De Microsoft Cloud

7. Microsoft Visie CLOUD SERVICES TV / HOME PC MOBIEL ON-PREMISES

8. Microsoft Cloud Diensten Eigen Datacenter Private Cloud Public Cloud Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (IaaS)

9. Service Delivery Opties Private (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service) Applications Applications Applications Applications Runtimes Runtimes Runtimes Runtimes Security & Integration Security & Integration Security & Integration Security & Integration Databases Databases Databases Databases Servers Servers Servers Servers Virtualization Virtualization Virtualization Virtualization Server HW Server HW Server HW Server HW Managed door Service Provider Storage Storage Storage Storage Networking Networking Networking Networking Eigen beheer

10. Cloud Services voorBedrijven SignificanteInvesteringen In Infrastructure Commitment voor Services Excellence Financiele SLA garanties SAS 70 en ISO 27001 compliant Continue reductie van de CO2 footprint Innovatie door snelleiteratieveverbeteringclouddiensten Meer dan $2B geinvesteerd in cloud infrastructure Geografischereplicatieklantgegevens Flexibiliteit door public én private cloud 30,000 engineers werkendaanclouddiensten • PRODUKTIVITEIT • COMMUNICATIE • SAMENWERKEN • BEDRIJFS APPL. • BEHEER • DATABASE • PLATFORM

11. Is het veilig?

12. Microsoft-cloud lekt bedrijfsdata van klanten

13. Kroes waarschuwt voor privacyrisico's cloud

14. Cloud Security Uitdagingen Toenemendeafhankelijkheidtussendiensten, Betrouwbaarheid over Publieke en Private Sector Nieuwetechnologien, veranderende business modellen, dynamische hosting omgevingen Cloud security Uitdagingen Complexe, wereldwijde wet- en regelgeving en industriestandardaarden Toenemendecomplexiteit van aanvallen, groterebedreigingen en risico’s

15. CSA - Cloud Security Bedreigingen Cloud Security Alliance: • Misbruik van Cloud Computing • Onveilige API’s • Onbetrouwbare / kwaadwillende insiders • Kwetsbaarheden door gedeelde technologie • Verlies van gegevens • Kapen van accounts, dienst, netwerkverkeer • Onbekend Risico Profiel

16. Defense-in-Depth Fysiek Netwerk Identityen Access Mgt Host Applicaties Data Security Foundation: TWC / SDL / Transparency / Audits

17. Security Controls… shared responsibility “With more control, comes more responsibility”

18. Uitgebreid Compliance Framework Payment card industry data security standard Health Insurance Portability and Accountability Act • Industry Standards and Regulations FISMA (NIST 800-53) Privacylaws, Sarbanes-Oxley, etc. • Controls Framework • Identify and integrate • Regulatory requirements • Customer requirements • Assess and remediate • Eliminate or mitigate gaps in control design • Predictable Audit Schedule • Test effectiveness and assess risk • Attain certifications and attestations • Improve and optimize • Examine root cause of non-compliance • Track until fully remediated ISO/IEC 27001:2005 certification SAS70 Type I and Type II attestations PCI DSS certification FISMA certification & accreditation • Certification and Attestations

19. De Evolutie van Security van onze Online Services Portal Era Online App Era Web Services Era Cloud Computing Era FISMA Cert First ISO 27001 cert First SAS-70 cert Security Development Lifecycle Trustworthy Computing Directive 1st Data Center 2012 2010 1989 1994-95 1997 2002 2004 2006 2008

20. Control Modules

21. Transparency: Control Modules

22. RegionaleZonering Microsoft Datacenters Microsoft has more than 10 and less than 100 DCs worldwide Amsterdam Dublin Chicago Quincy Japan Hong Kong Boydton Des Moines San Antonio Singapore "Datacenters have become as vital to the functioning of society as power stations." The Economist

23. Google weigert data in Europa te houden

24. Relevante Bronnen • Microsoft Global Foundation Services: http://www.globalfoundationservices.com/ • Microsoft Compliance Framework: http://www.globalfoundationservices.com/documents/MicrosoftComplianceFramework1009.pdf • Securing Microsoft’s Cloud Infrastructure: http://www.globalfoundationservices.com/security/documents/SecuringtheMSCloudMay09.pdf • Cloud security Alliance • http://www.cloudsecurityalliance.org/

25. 27 januari 2011

26. Is het juridisch verantwoord?

27. Veilig in de cloud Hoe kunt u voldoen aan wet- en regelgeving? Louis Jonker advocaat Van Doorne jonker@vandoorne.com *** zonder hashcode #360graden wordt uw tweet niet serieus genomen ***

28. ONTWIKKELINGEN IN SOURCING: In-house Facilities management Hosting ASP Outsourcing/outtasking/BPO SaaS/PaaS/IaaS Cloud computing <…>

29. HOE PAST CLOUD COMPUTING BINNEN HET JURIDISCHE KADER? Geen nieuwe juridische aandachtspunten ten opzichte van andere uitbestedingsvormen, maar wel deels een andere focus vanwege dynamisch en grensoverschrijdend karakter van cloud computing Grosso modo juridisch: cloud computing = uitbesteding+ DUS AANDACHT VOOR JURIDISCHE ASPECTEN ALS: Dienstverlening (service levels, garanties) en sancties (boete, aansprakelijkheid) Regie (communicatie, rapportage) en controle (audit, TPM) Continuïteit (back-up, uitwijk, escrow) Intellectuele eigendom en gegevensbescherming (geheimhouding, beveiliging en privacy) Toepasselijk recht en geschiloplossing

30. JURIDISCHE UITDAGINGEN BIJ CLOUD COMPUTING: Toepasselijk recht ‘Control’ Continuïteit Gegevensbescherming

31. UITDAGING #1: TOEPASSELIJK RECHT Uitdaging Wet- en regelgeving bevat verschillende aanknopingspunten om te bepalen welk recht van toepassing is:- vestiging klant of locatie middelen/cloud (EU-privacyregelgeving)- plaats van kenmerkende prestatie (wanprestatie)- plaats waar schade zich voordoet (onrechtmatige daad) Gebrekkige harmonisatie van lokale regelgeving Uitdaging oplosbaar/beheersbaar Contractuele afspraken (tenzij dwingend recht) Regionale zonering LET OP: geschiloplossing (gelijk hebben ≠ gelijk krijgen)

32. UITDAGING #2: ‘CONTROL’ Uitdaging: kan je aan je wettelijke verplichtingen voldoen? IFRS, SOx, Tabaksblatt, … (“deugdelijk ondernemingsbestuur”) Civielrechtelijke en fiscale bewaarplichten Bestuurdersverantwoordelijkheid (Ceteco-uitspraak) Uitdaging oplosbaar/beheersbaar Waarborgen van beschikbaarheid van en toegang tot (kritieke) bedrijfsgegevens (zie uitdaging #3) Waarborgen van continuïteit van bedrijfsvoering (zie uitdaging #3) Controle (verifiëren van aanwezigheid/effectiviteit van ‘controls’):- Audit (uitdaging: cloud is niet statisch, maar dynamisch)- TPM (SAS70-Type I-II, ISAE3402/SSAE-Type A-B)

33. UITDAGING #3: CONTINUÏTEIT (I) Uitdaging Potentiële bedreiging: gebrekkige kwaliteit leverancier of diensten(uitvoering diensten in overeenstemming met bepaalde in overeenkomst) Potentiële bedreiging: uitwerking daarvan op bedrijfsvoering “FACT: every year, thousands of organizations experience disruption to their operations lasting longer than five working days.”(British Standards Institution)

34. UITDAGING #3: CONTINUÏTEIT (II) Uitdaging oplosbaar/beheersbaar Afstemming van aan de cloud te stellen eisen en kwaliteitsniveaus op de te ondersteunen bedrijfsvoering ‘Klassieke’ continuïteitsmaatregelen:- back-up (door leverancier of door klant), uitwijk- dynamische technology escrow?- exitassistentie ‘Verborgen’ continuïteitsmaatregelen:- “eigendom” van gegevens- hanteren van datastandaarden- concrete invulling van overmachtsbegrip- geclausuleerd opschortingsrecht leverancier bij betalingsgeschillen

35. UITDAGING #3: CONTINUÏTEIT (III) BELANGRIJKSTE CONTINUÏTEITSMAATREGEL = REGIE Gebrekkige kwaliteit van de leverancier of zijn diensten vormt niet het echte risico. In de praktijk levert veeleer de gebrekkige bekendheid met gebreken het ware risico op. Goede regieprocessen (communicatie,rapportage, verwachtingenmanagement)zijn essentieel om continuïteitsrisico’s,danwel de effecten daarvan, beheersbaarte houden. Dus ook: bekendheid met ketenpartners incloud (bijv. clausule inzake onderaanneming)

36. UITDAGING #4: GEGEVENSBESCHERMING (I) Uitdaging (I) Toegang van derden tot data in de cloud- Patriot Act …, maar grootste gevaar komt zeker niet (alleen) uit de VS (met ruim 3 miljoen opvragingen in 2009 is NL Europees koploper)- impact of vertrouwelijkheid, data-integriteit, … Uitdaging oplosbaar/beheersbaar Contractuele afspraken:- toepasselijk recht?- regie (informatie-/waarschuwingsplicht)- back-up

37. UITDAGING #4: GEGEVENSBESCHERMING (II) Uitdaging (II) Privacy:- verwerking van persoonsgegevens (HR-gegevens, klantgegevens)- naleving verplichtingen uit hoofde van Wbp: * bekendheid met locatie van persoonsgegevens * passende technische en organisatorische beschermingsmaatregelen * maximale bewaartermijnen  verplichting tot verwijderen * uitvoering controle- en correctierechten betrokkenen Uitdaging oplosbaar/beheersbaar Bewerkersovereenkomst tussen klant (verantwoordelijke) en cloud computing provider (bewerker) met heldere verdeling van taken en verantwoordelijkheden

38. UITDAGING #4: GEGEVENSBESCHERMING (III) BIJZONDERE PRIVACY-UITDAGING Grensoverschrijdende datadistributie Doorgifte van persoonsgegevens buiten EER is verboden, tenzij:- wettelijke uitzondering (toestemming, uitvoering overeenkomst)- passend beschermingsniveau of VS Safe Harbour Uitdaging oplosbaar/beheersbaar Doorgifteovereenkomst (conform modelcontracten) + vergunning MvJ Cloud computing provider als verantwoordelijke voor doorgifte ‘Neutralisatie’ van data (anonimisering, pseudonimisering, encryptie?) Regionale zonering

39. SLOTOPMERKINGEN Cloud is nieuw, maar juridisch geen onbeschreven blad. Cloud brengt geen strakblauwe hemel met zich mee, maar ook geen donkergrijs wolkendek. Praktische oplossingen zijn voor handen.