Toelichting generieke DPIA’s voor clouddiensten van Microsoft, AWS en Google

Inleiding

CISO’s, FG’s en cloud implementatieteams van gemeenten kunnen gebruik maken van generieke DPIA’s voor clouddiensten. Hieronder wordt toegelicht wat een generieke DPIA inhoud en volgens welke stappen gemeenten deze kunnen hergebruiken.

Vanuit Strategisch Leveranciers Management van de Rijksoverheid (SLM Rijk) en VNG wordt een aantal generieke DPIA’s beschikbaar gesteld voor diensten van cloud service providers (CSP’s) zoals Microsoft, Amazon, Oracle en Google. Generieke DPIA’s worden op systeem niveau uitgevoerd en kunnen bijvoorbeeld geciteerd worden in proces DPIA’s wanneer de verwerking in dat proces op een generiek systeem plaats vindt. Een generieke DPIA bestaat uit een juridisch en technisch onderzoek om de risico’s vast te stellen en waar mogelijk de maatregelen om de risico’s te mitigeren.
De generieke DPIA’s zijn bedoeld als startpunt voor  gemeenten bij het uitvoeren van een eigen, specifieke DPIA. Belangrijk is dat de generieke DPIA gecontroleerd wordt en aangevuld wordt waar nodig. Per individuele gemeente kunnen immers specifieke risico’s van toepassing zijn afhankelijk van de door de gemeente gemaakte keuzes. In de generieke DPIA zijn aandachtspunten opgenomen die door uw eigen organisatie nader moeten worden bepaald.
Om een risicoanalyse uit te voeren neemt u eerst kennis van centraal vastgestelde risico’s en maatregelen. Vervolgens maakt u een inventarisatie van de implementatie van centraal vastgestelde door uw organisatie te nemen mitigerende maatregelen. Tenslotte analyseert u uw organisatie-specifieke risico’s en eventuele aanvullende mitigerende maatregelen.

Adviezen voor gemeenten: Wat moet een organisatie zelf doen?

Werkzaamheden die de organisatie zelf uitvoert zijn gericht op de inventarisatie van eventuele organisatie-specifieke risico’s en maatregelen. Daarbij kunnen de volgende stappen worden gehanteerd:

1. Kennis nemen van centraal vastgestelde risico’s en maatregelen door de CSP

  • In de generieke DPIA is getoetst of de CSP aan de maatregelen voldoet.
  • Uitgangspunt van de generieke DPIA’s is dat de producten zijn afgenomen onder de voorwaarden van het betreffende GT Framework, omdat hiermee juridisch een aantal essentiële onderdelen zoals de geografische locatie van data en toegang tot de omgeving zijn geregeld.  Zo’n framework is beschikbaar voor Microsoft en in de nabije toekomst voor AWS, Google en Oracle.

2. centraal vastgestelde mitigerende maatregelen te nemen door gemeentelijke organisatie

  • Gemeentelijke organisaties moeten zelf een aantal maatregelen nemen om de in de DPIA genoemde risico’s te beperken. Voor een aantal DPIA’s is een specifieke handleiding beschikbaar (zie overzicht). 

3. organisatie-specifieke risico’s en eventuele mitigerende maatregelen

  • Uitvoeren Baselinetoets BBN BIO. Met behulp van deze toets stelt u vast wat het Basis Beveiligings Niveau (BBN) is van de informatie binnen het systeem. De uitkomsten kunnen dan worden gebruikt om te bepalen of er meer maatregelen nodig zijn voor een proces en onderliggende informatiesystemen. Deze maatregelen kunnen worden verkregen uit een voorgedefinieerde lijst met maatregelen bovenop de baseline, of door een aanvullende diepgaande risicoanalyse.
  • Als de scores van de  Baselinetoets BBN BIO hiertoe aanleiding geven inventariseert u de individuele  risico’s van uw organisatie. Dit kan bijvoorbeeld worden uitgevoerd met behulp van de handreiking diepgaande risicoanalyse-methode. De DRA wordt uitgevoerd na de Baselinetoets BBN BIO, als de scores van de Baselinetoets BBN BIO hiertoe aanleiding geven.

4. Opstellen lokale DPIA

  • Voor processen waarbij gebruik wordt gemaakt van een aantal producten is het zaak dat er op lokaal niveau nog altijd een risicoafweging plaats vindt. Het is goed denkbaar dat in bepaalde processen waar gebruik wordt gemaakt van deze generieke DPIA’s er verwerkingen plaatsvinden die mogelijk DPIA plichtig zijn. Hiervoor is het raadzaam om een pre DPIA toets uit te voeren.
  • Voor het opstellen hiervan stelt de IBD een sjabloon en diverse handreikingen beschikbaar, zoals het “IBD Sjabloon pre-DPIA”, hiermee stelt u handig vast of het proces DPIA-plichtig is.

Direct naar: