Dat jouw data van jou is, en blijft, als je deze in een cloud opslaat, klinkt misschien vanzelfsprekend. De realiteit ziet er echter heel anders uit. Zelfs als Business Partner Development bij een Nederlandse aanbieder van private clouddiensten word ik weleens onaangenaam verrast dat iemand met mijn persoonsgegevens aan de haal gaat. In dit blog wil ik mijn ervaringen graag met je delen.

Datasoevereiniteit houdt in dat je 100 procent controle hebt over je gegevens. Als je je data in willekeurig welke cloud hebt opgeslagen, ben je daar niet zeker van. Zelfs als je precies weet welke gegevens van jou in welke cloud zijn opgeslagen, kun je je afvragen of je er volledige zeggenschap over hebt. Weet jij wie er allemaal, en voor welke doeleinden, toegang hebben tot jouw gegevens? En hoe het zit met de beveiliging?

Weet jij hoeveel accounts je hebt?
We staan er misschien niet voortdurend bij stil hoe vaak we informatie over onszelf geven. Aan het gemeenteloket, bij de huisarts, de tandarts, je bank, je verzekeringen, je abonnementen, de school van je kinderen, voor je vakantie, enzovoorts. Weet je eigenlijk hoeveel accounts je überhaupt hebt op internet? Ik durf er een goede fles wijn om te verwedden dat als je gaat tellen, het er heel veel meer zijn dan je denkt. Geen probleem?

Uw gegevens zijn verdwenen
Een tijd geleden las ik het bericht dat er een cyberincident is geweest bij mijn tandartspraktijk. De bestanden van zowel patiënten als personeel waren niet meer toegankelijk. Dat betekent dat er een aanval met ransomware is geweest. Criminelen vragen dan losgeld aan hun slachtoffer om de bestanden weer toegankelijk te maken. Uiteindelijk heb ik vernomen dat er inderdaad een fors bedrag aan losgeld is betaald. Mijn gegevens waren dus verdwenen. In een later stadium kreeg ik te horen dat de praktijk niet zeker wist of de hackers gegevens van patiënten en personeel hebben bekeken, of nog erger, onderschept. In het laatste geval kunnen ze deze gegevens op het dark web verkopen.

Wat betekent dit concreet?
Laten we eens op een rijtje zetten om welke gegevens het gaat. Allereerst mijn naam, adres, geboortedatum en BSN. Daarnaast mijn verzekeraar, hoe ik verzekerd ben en mijn medische geschiedenis. Dat gaat verder dan alleen mijn gebit want een tandarts wil ook weten of ik gezond ben of (erfelijke) aandoeningen heb. En of, en welke, medicijnen ik gebruik. Met mijn persoonsgegevens kan een kwaadwillende identiteitsfraude plegen. Hij kan zich uitgeven voor mij, aankopen doen uit mijn naam, en mogelijk gegevens van mij wijzigen in mijn accounts. Omdat het ook om medische gegevens gaat, heeft de crimineel bijzondere persoonsgegevens over mij. Nou heb ik natuurlijk niets te verbergen maar stel dat iemand mijn medisch dossier anoniem op internet publiceert? Geen leuk idee natuurlijk. En als je als patiënt iets onder de leden hebt, wat je beslist niet aan de grote klok wilt hangen, dan ben je chantabel.

Waarin heeft mijn tandarts gefaald?
In de eerste plaats was de beveiliging duidelijk niet op orde. Anders had de hacker niet binnen kunnen komen, systemen plat kunnen leggen en gegevens ontoegankelijk maken. Er was blijkbaar geen back-up. Deze zaken zijn toch echt vastgelegd in de ISO 27001 norm: de internationale algemene norm voor informatiebeveiliging. Verder is hier de NEN 7510 norm van toepassing: deze ziet specifiek toe op de zorgsector en schrijft maatregelen voor die zorginstellingen moeten nemen om hun systemen en patiëntgegevens te beveiligen.

Wat had mijn tandarts wél moeten doen?
Als je gebruikmaakt van een cloud, zul je dus moeten weten welke data, zich waar bevindt. Verder wil je zeker weten dat je data goed beveiligd is, wie er toegang tot heeft en wie geautoriseerd is om er wijzigingen in aan te brengen. Omdat we tegenwoordig in ‘ecosystemen’ en ketens werken met klanten, partners en leveranciers, is het een uitdaging om hier altijd volledig zicht op te hebben. En dus ook volledige controle over te hebben.

Gegarandeerd volledige controle over jouw gegevens
Als eigenaar van data moet je de zekerheid hebben dat jouw data in de cloud niet gemanipuleerd kan worden. Of door onbevoegden ingezien kan worden of verwijderd. Een lokale / Nederlandse cloudprovider , zorgt er ook voor dat zijn cloud-infrastructuur en gegevensopslag volledig in overeenstemming zijn met de regelgeving. Zo beschermt hij de keuzevrijheid van zijn gebruikers en de vertrouwelijkheid en soevereiniteit van hun data. En dat betekent dat je altijd gegarandeerd volledige controle over jouw gegevens hebt.

Wil je meer informatie over een soevereine cloud, neem gerust contact met mij op: Hans Spuijbroek bel 0168 380 151 of mail.