Organisatorische en juridische risico’s - Overcloudcomputing.nl

Organisatorische en juridische risico’s

Kwaadwillende medewerkers

Organisaties zijn zich over het algemeen goed bewust van het risico dat er in hun organisatie ook kwaadwillende medewerkers zijn die schade aan kunnen richten. Het risico dat medewerkers daadwerkelijk schade aanrichten wordt automatisch groter als er geen goede scheiding van verantwoordelijkheden is. Bij cloudproviders is deze scheiding niet altijd even strak. Het beheer van de IT service en het beheer van de klantdata zijn regelmatig in dezelfde rol samengebracht. Het is voor een klant vaak onduidelijk welke processen en procedures omtrent dit beheer zijn opgezet. Daarnaast is het ook nog eens onduidelijk welke criteria cloudproviders hanteren bij het aantrekken van nieuwe medewerkers. Deze criteria kunnen veel soepeler zijn dan in de organisatie van de klant, waarmee het risico om indirect kwaadwillende medewerkers aan te nemen ook groter wordt. Het risico op wanprestaties of onrechtmatige daden binnen de cloudorganisatie doet zich vooral bij PaaS en SaaS voor, waarbij de cloudprovider zelf een concrete service ontwikkelt en beheert.

Onbeschermde persoonsgegevens

Cloud computing raakt bijna altijd de verwerking van persoonsgegevens. Dit zijn gegevens van interne medewerkers of klanten. Wanneer deze persoonsgegevens worden verwerkt voor activiteiten van Nederlandse bedrijven, dan wel een Nederlandse vestiging van een internationaal opererend bedrijf, dient te worden gehouden aan de Wet bescherming persoonsgegevens (Wbp). Deze wet beschrijft dat een organisatie die privacygevoelige data buiten de deur host, nog steeds eindverantwoordelijk is. Wanneer de privacy in het geding komt, kan dit juridische gevolgen hebben.

Dataverlies

Organisaties lopen altijd het risico dat vertrouwelijke data in verkeerde handen valt of niet bereikbaar is [CHEN10]. Dit kan drie redenen hebben:

  • Ongeautoriseerde partijen kunnen toegang krijgen en vervolgens data verwijderen, veranderen of simpelweg kopiëren. Het risico dat er iets gebeurt met data bij een cloudprovider is doorgaans groter, dan wanneer de data intern staat. Er zijn meer interfaces waarover de data moet reizen en er is minder controle over deze interfaces. Een cloudprovider heeft over het algemeen genomen ook meer kans om aan gevallen te worden, doordat deze vaker een grotere exposure hebben. Het verlies of lekken van data kan een desastreus effect hebben op de organisatie. Hierbij kan worden gedacht aan reputatieschade, verlies van vertrouwen en zelfs het verlies van intellectueel eigendom dat cruciaal kan zijn voor de bedrijfsvoering.
  • Daarnaast kunnen derden gegevens vorderen van de cloud-provider. Overheidsinstanties kunnen servers vorderen waar data van meerdere klanten opstaat. Een organisatie wordt dan de dupe van een andere klant van de cloudprovider. De vertrouwe-lijkheid van de data komt hierbij in gevaar. In extreme gevallen kan het zelfs voorkomen dat de data compleet niet meer beschikbaar is.
  • Ten slotte is het ook nog mogelijk dat de data niet meer leesbaar is. Dit kan gebeuren doordat de cloudprovider zijn diensten niet meer kan leveren en het formaat van de data door geen enkele andere applicatie wordt ondersteund.

Dit is een bijdrage van Norea, kennispartner van het ICT informatiecentrum.
Norea | Antonio Vivaldistraat 2-8 | 1083 HP Amsterdam
Tel.: +31 (0) 20 301 03 80| norea@norea.nl | norea.nl