Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Cloud-managed netwerk? Vergeet databescherming niet

02 september 2021 - 14:555 minuten leestijdOpinieCloud & InfrastructuurFacebook
Jan Buis
Jan Buis

Of een bedrijf succesvol is, hangt samen met de mate waarmee het bedrijfsnetwerk en de it-infrastructuur gelijke tred houden met nieuwe vereisten. Om meer flexibiliteit aan te brengen, beheren organisaties hun netwerkinfrastructuur vanuit de cloud. Dit brengt wel compliance-risico's met zich mee.

Het netwerk of wlan van meerdere vestigingen beheren via een cloud-oplossing verhoogt de efficiëntie, flexibiliteit en controle voor bedrijven aanzienlijk. Onregelmatigheden in het netwerk kunnen via een centraal dashboard worden opgespoord en, idealiter, op afstand worden verholpen nog voordat een storing optreedt. Nieuwe vestigingen worden met slechts enkele muisklikken op het bedrijfsnetwerk aangesloten en bedrijfskritische diensten zijn binnen zeer korte tijd beschikbaar.

Nieuwe juridische situatie

Sinds de zomer van 2020 zijn de randvoorwaarden voor het gebruik van cloud-oplossingen fundamenteel veranderd. Hierbij gaat het vooral om persoonsgegevens die in de cloud, en dus buiten het bedrijf, worden verwerkt door Amerikaanse cloudproviders. Hiermee worden niet alleen de gangbare platforms en clouddiensten bedoeld, zoals Facebook, AWS of Azure. Cloud-managed bedrijfsnetwerken verwerken, afhankelijk van het type netwerk, ook persoonsgegevens van werknemers, klanten, gasten, studenten of patiënten. Denk aan mac- en ip-adressen, inloggegevens, locatiegegevens, informatie over het gebruik van diensten of namen en e-mailadressen.

Met het Schrems II-arrest heeft het Europees Hof van Justitie de wettelijke basis voor de trans-Atlantische uitwisseling van dergelijke gegevens op basis van het Privacy Shield op 16 juli 2020 afgeschaft. De rechters oordeelden dat de gegevens van EU-burgers niet voldoende beschermd waren tegen mogelijke inzage door de Amerikaanse autoriteiten. Het doet er daarbij niet toe of de gegevensverwerking op Europees grondgebied plaatsvindt. Doorslaggevend is aan welk rechtsgebied het bedrijf dat de opdracht heeft gekregen, is onderworpen.

De zogenaamde modelcontractbepalingen zijn nog steeds toegestaan als alternatief. Deze moeten echter worden ondersteund door technische en organisatorische maatregelen om een adequaat beschermingsniveau te waarborgen. Dit is vrijwel onmogelijk bij netwerken die in de cloud worden beheerd. Om het netwerk continu te optimaliseren, soms tot het eindapparaat aan toe, is er behoefte aan bruikbare en betrouwbare data. Versleuteling of pseudo- en anonimisering van de gebruikersdata is dus uit den boze.

‘Men moet begrijpen dat dit een fundamenteel juridisch conflict is’, zei privacy-activist Max Schrems onlangs tijdens een webcast van het bedrijfsinitiatief Privacy Provided, dat voorlichting geeft over privacyvraagstukken. Met zijn rechtszaak tegen Facebook had Schrems een procedure voor het Hof van Justitie in gang gezet die de krantenkoppen domineerde. ‘De kwestie zal de komende tien jaar of zelfs daarna niet verdwijnen totdat ofwel de Amerikanen hun surveillancewetten wijzigen, of wij de gegevensbescherming afschaffen in het Handvest van de grondrechten van de EU’, aldus Schrems.

Miljoenenboetes

Bedrijven die hun netwerk beheren met een cloudoplossing uit een land dat geen adequate wetgeving op het gebied van gegevensbescherming kent, zoals de VS, zijn door de uitspraak van de rechter in grote onzekerheid gebracht. Er dreigen immers boetes die in de miljoenen lopen als werknemers of klanten een rechtszaak aanspannen wegens inbreuk op de privacy en een schadevergoeding eisen.

Om dit risico te vermijden, adviseren deskundigen als Max Schrems de bedrijven om een grondige inventarisatie en risicoanalyse uit te voeren. Als oplossingen niet zijn te gebruiken op een manier die in overeenstemming is met de gegevensbescherming, dan moeten er andere opties worden overwogen, aldus Schrems. Dit kan soms zelfs goedkoper zijn dan grote bedragen te investeren in advocaten en consultants die met ingewikkelde constructies iets willen oplossen dat technisch en feitelijk gewoon onoplosbaar is.

Oplaaiend vuur

Voor bedrijven die overwegen hun netwerkinfrastructuur in de cloud te beheren en die zich momenteel in het selectieproces bevinden, is het advies eenvoudig: investeer in een oplossing die data verwerkt in overeenstemming met de wet. Anders, zo concludeert Schrems, zal het thema gegevensbescherming een eindeloos oplaaiend vuur blijven voor compliance- en juridische afdelingen.

Concreet betekent dit dat bedrijven er goed aan doen om bij het plannen van hun cloudgebaseerde netwerkinfrastructuur al rekening te houden met compliance en gegevensbescherming. Wie het netwerk van zijn vestigingen of het lan en wlan op de desbetreffende locatie met behulp van een cloud-oplossing wil beheren, moet zich afvragen welke gegevens het lokale netwerk verlaten. Maar ook: aan welke wetgeving is de aanbieder van de oplossing onderworpen? Voldoet de oplossing aan zijn eigen compliance-vereisten en aan de Europese voorschriften inzake gegevensbescherming? Hanteert het land waar de data wordt bewaard dezelfde mate van gegevensbescherming als het land waar de data wordt verzameld?

Bij niet-Europese cloudoplossingen moeten gebruikers zich ervan bewust zijn dat persoonsgegevens niet alleen het lokale netwerk verlaten, maar ook het hier geldende rechtsgebied. Bij Amerikaanse providers belandt die data rechtstreeks in de handen van een rechtsstelsel dat, met wetten zoals FISA en de Cloud Act, niet strookt met de vereisten van de AVG/GDPR. De gegevensoverdracht is daarom onwettig.

Aan de veilige kant

Europese oplossingen voor netwerkbeheer die aan de strenge eisen van de AVG/GDPR voldoen, bieden daarentegen rechtszekerheid en helpen van begin af aan compliance-risico’s te voorkomen. Op die manier profiteren de gebruikers niet alleen van een bedrijfsnetwerk dat flexibel reageert op nieuwe bedrijfsbehoeften en dankzij de cloud gemakkelijk te beheren is, maar wordt ook geen afbreuk gedaan aan de gegevensbescherming.

Meer over

ComplianceEncryptieMacNetwerkenPrivacySocial mediaWifi

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Computable.nl

    De weg van dataverzameling naar impact

    Iedere organisatie heeft data, maar niet iedereen weet hoe je het goed gebruikt. Hoe zet je waardevolle informatie om in actie?

    Computable.nl

    Well-Architected: slim bouwen en beheren in de cloud

    Een paper met concrete handvatten om cloud-architectuur naar een hoger niveau te tillen.

    Meer lezen

    OpinieSecurity & Awareness

    Goede voorbereiding is halve bescherming

    OpinieData & AI

    Dit moet je weten over Kubernetes en databescherming

    Eén reactie op “Cloud-managed netwerk? Vergeet databescherming niet”

    1. Een Oudlid schreef:
      17 oktober 2021 om 10:27

      Angst verkoopt alleen lijkt het nog niet storm te lopen met die boetes, met zo’n 1000 gerechtelijke uitspraken sinds 2019 is de noodzaak om te voldoen aan privacy wetgeving nog niet zo urgent. Er is dus vooral veel afwachtendheid en persoonsgegevensbescherming blijft hierdoor nog wel even een compliance vraagstuk welke zal leiden tot juridische conflicten want profilering op basis van het gedrag is nu eenmaal op meerdere manieren interessant. Zo helpt het nauwlettend in de gaten houden van het gebruik niet alleen bij het voorspellen van de vraag maar ook bij het voorkomen van ongewenst gedrag. En in dat kader is pseudo- en anonimisering van de gebruikersgegevens inderdaad niet erg handig maar ook deze surveillance kent strikte regels in het kader van compliance zoals blijkt uit de adviezen van Autoriteit Persoonsgegevens. Het recht om onbespied te leven houdt niet op als je begint te werken of gaat winkelen, juridische conflicten hierover zijn niet zo spraakmakend als het succes van Schremm maar er is meer jurisprudentie waar rekening mee gehouden moet worden.

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs