Gemeentelijke Cloudaanbevelingen – #3 Implementatieaanbevelingen

Omtrent de daadwerkelijke implementatie van clouddiensten zijn een aantal concretere aanbevelingen van toepassing. We hanteren hier de volgorde: belangrijkste aanbevelingen eerst. Hierbij gaan we tevens uit van de meest gebruikte basisstrategie onder gemeenten: SaaS boven PaaS boven IaaS.

Implementeer SaaS-diensten onder SSPM (SaaS Security Posture Management)
SSPM is een vrij jong begrip. Het idee is dat SaaS-diensten onder een centrale (technische) omgeving gemonitord en beheerd worden. Dit heeft tot doel configuratiefouten te voorkomen en diensten continu in de gaten te houden. De kern van deze aanbeveling is dat met de aanschaf van een SaaS-dienst de configuratie hiervan niet ‘vanzelf’ goed staat. Veel zaken omtrent security en compliance dienen wel degelijk nog goed ingeregeld te worden. Bij uitgebreide diensten als Google Workspace of Microsoft 365 is dat niet triviaal en specialistisch werk. We hanteren SSPM dan ook meer als een parapluterm hier. Voor de grotere SaaS-diensten zijn er wel vaak vendor-specifieke geautomatiseerde oplossingen. 

• Betreffende Microsoft 365: Defender for Cloud (https://www.microsoft.com/en-us/security/blog/2023/02/15/microsoft-shifts-to-a-comprehensive-saas-security-solution/
• Betreffende Google Workspace: Beveiligingscentrum (https://workspace.google.com/products/admin/security-center/)
• Betreffende ‘overige’ SaaS-diensten: definieer een duidelijke set requirements aan beheerde SaaS-diensten. Vul deze in met de leverancier(s). Denk hierbij aan de volgende thema’s:
  • 24/7 monitoring van de dienst
  • Continu draaien van security benchmarks
  • Centraal en overzichtelijk dashboard van alle gemeten aspecten
  • Detectie van uitzonderingen (logins van onverwachte locaties, pieken in gebruik, et cetera)
  • IAM integratie en overzicht wie wat mag
  • Status van encryptie van data ‘at rest’ en ‘in transit’ (data loss prevention)
  • API sleutelbeheer; externe toegang van applicaties monitoren en bovenstaande detecties kunnen doen
  • “Remediation”; mogelijkheid tot oplossen van bepaalde gedetecteerde inbreuken
  • Compliance: hoe zijn de verschillende BIO controls geïmplementeerd in de oplossing?
  • Auditeerbaarheidsmogelijkheden.

Implementeer PaaS/IaaS-diensten onder CSPM (Cloud Security Posture Management)
CSPM beoogt hetzelfde als SSPM maar dan toegesneden op PaaS/IaaS-diensten. De oplossingen hiervoor zijn specifiek per CSP (Cloud Service Provider) beschikbaar, soms ook voor ‘multi-cloud’ implementaties (Azure heeft ook CSPM-faciliteiten voor GCP/Google en AWS/Amazon). Deze oplossingen zijn vaak verregaand automatiseerbaar, zodat bijvoorbeeld vertalingen voor BIO controls als uitvoerbare code beschikbaar zijn.

• Voor Azure: https://github.com/Azure/Bio-Compliancy
• Voor AWS: in overleg met AWS Nederland in te richten
• Voor Google Workplace: in overleg met Google Nederland in te richten

Dataopslag (van clouddiensten) vindt fysiek plaats binnen de EER (tenzij…)
Vanuit de AVG wordt gesteld dat data van overheden fysiek moet worden opgeslagen binnen de EER, de Europese Economische Regio. De gedachte achter deze regel is het beschermen van de burgers tegen eventueel kwaadwillende regimes: Persoonsgegevens, en vooral bijzondere persoonsgegevens, dienen dus uitsluitend opgeslagen te worden in een regio binnen de EER waar de AVG ook daadwerkelijk geldt.

Echter, de data is niet beschermd door de AVG op het moment dat er zaken gedaan worden met partijen die de data weliswaar opslaan binnen de EER, maar onder wetgeving van een lidstaat buiten de EU vallen, zoals de VS. [1]

Dit betekent dat voor verwerking in (en mogelijke overdracht naar) de VS, dus ook bij gebruik van Azure/Microsoft 365/AWS/Google Cloud, aanvullende maatregelen noodzakelijk zijn zoals versleuteling van bijzondere persoonsgegevens met eigen sleutel. 

• Een voorbeeld van encryptie/sleutelbeheer, met het zogenaamde ‘Bring your own key’ in Microsoft Azure: https://learn.microsoft.com/en-us/azure/security/fundamentals/encryption-models#server-side-encryption-using-customer-managed-keys-in-customer-controlled-hardware
• De gehele keten van verwerkers/leveranciers, inclusief geldende jurisdictie per verwerker/leverancier moet bekend zijn
• Voor elke stap in de keten moet bepaald worden of deze verwerkt binnen de EER (met uitsluiting van overdracht naar regimes buiten de EER), of dat er aanvullende maatregelen genomen zijn
• Bijzondere persoonsgegevens die bij verwerkende partijen buiten de EER zouden kunnen worden opgeslagen en waarbij ook geen adequaatheidsbesluit geldt dienen ontoegankelijk te zijn voor de betreffende verwekende partij. Dit kan doormiddel van encryptie gerealiseerd worden, waarbij de encryptiesleutels niet door de verwerkende partij zelf beheerd worden.

Dataeigenaarschap (blijft) bij de gemeente, invloed op verwerking
Data in cloudgebaseerde systemen is en blijft eigendom en de verantwoordelijkheid van de gemeente. De gemeente moet op elk gewenst moment kunnen besluiten de data uit deze systemen te exporteren. Dataportabiliteit moet worden gegarandeerd door de leverancier: het formaat van geëxporteerde data volgt relevante standaarden en/of is voorzien van documentatie zodat deze data bruikbaar zijn.

Daarnaast is het voor gemeenten van belang om invloed te houden op keuzes en/of inzage omtrent:

• Clouddiensten met ontkoppeling van data (opslag) en applicatie (logica) genieten de voorkeur, zodat afnemers de keuze hebben om data elders onder te brengen
• Er is per dienst een duidelijk omschreven set aan vereisten aan auditeerbaarheid: niveau, frequentie en inhoud.
• Auditeerbaarheid is gewaarborgd, liefst geautomatiseerd, anders in een duidelijk plan.
• Alle audit- en monitoringrapportages komen samen in één centraal dashboard of systeem zodat er overzicht en grip ontstaat op de gehele datahuishouding.
• Alle bovenstaande genoemde zaken gelden ook voor back-ups.

---

[1] Landen die via een ‘adequaatheidsbesluit’ van de EU geschikt zijn bevonden vormen hier een uitzondering op (https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internationaal/doorgifte-binnen-en-buiten-de-eu#hoe-weet-ik-of-een-derde-land-een-passend-beschermingsniveau-heeft-1752).

De echte complexiteit in de praktijk is het gebruik van diensten van de bekende ‘Big Tech’ leveranciers uit de Verenigde Staten. Hoewel deze bedrijven uiteraard beloven niets door te spelen en hier ook juridisch voor proberen te gaan liggen, vallen zij via het hoofdkantoor gevestigd in de VS wel degelijk onder Amerikaanse wetgeving als de ‘patriot act’. De VS staan dan ook niet op de bovengenoemde lijst.

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internationaal/doorgifte-binnen-en-buiten-de-eu#wanneer-mag-ik-persoonsgegevens-doorgeven-naar-de-vs-5539