Handreiking cloud overheden_taskforce_lr

KING
KINGKING

Handreiking cloud overheden_taskforce_lr

KING
KINGKING

Handreiking cloud overheden_taskforce_lr

1 of 25
HANDREIKING CLOUD computing
inhoudsopgave Voorwoord 3 achtergrond en doel van de handreiking 5 samenvatting 9 Cloud computing, wat is het eigenlijk? 15 De voor- en nadelen van Cloud computing 21 Samenwerken als overheid 31 Belangrijke waarborgen en afspraken met leveranciers 35 Bijlage: bronnen handreiking cloud computing 39 1 2 3 4 5 + 1 Deze Handreiking Cloud computing voor medeOverheden wordt u aangeboden door: Erik Jungerius, directeur bedrijfsvoering, provincie Overijssel Maarten Schurink, gemeentesecretaris, gemeente Utrecht Paul Spaan, directeur bedrijfsvoering, waterschap Vallei en Veluwe
voorwoord Oktober 2014 Bestuurders en topmanagers van de verschillende overheidslagen, koepelorgani-saties en bij informatieveiligheid betrokken gremia hebben de afgelopen twee jaar samen met de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) samengewerkt om de sturing op en de verankering van informatieveiligheid binnen de overheid verder te brengen. Dit initiatief hebben wij als trekkers van deze handreiking vanuit onze respectievelijke overheidsposities met betrokkenheid en enthousiasme gevolgd. Het op orde brengen van informatieveiligheid vraagt een blijvende inspanning. Net zolang tot we kunnen zeggen dat het onderwerp business as usual is geworden. Als dat natuurlijk al zou kunnen, want er is geen wereld die zich zo snel ontwik-kelt als het digitale landschap. Ontwikkelingen als Big Data, Open Data, Cloud Computing, Smart Cities en zo meer, vragen op continue basis om handelingsper-spectieven. Perspectieven die ons helpen als overheid niet alleen slim, maar ook alert te zijn… en te blijven. Cloud Computing is een mooi voorbeeld van een on-derwerp, waarbij in het licht van informatieveiligheid de behoefte is gegroeid om een gezamenlijk handelingsperspectief te ontwikkelen. Daarbij speelt ongetwijfeld mee dat het gebruik van Cloud Computing inmiddels een ontwikkeling is die in rap tempo ons dagelijks leven binnentreedt (denk aan: streaming van film en mu-ziekdiensten via Netflix en Spotify). In veel overheidsorganisaties wordt bewust, maar vaak ook minder bewust, via derde partijen, dagelijks gebruik gemaakt van Cloud-diensten (denk aan Dropbox). Waarbij de kennis van (veiligheids)risico’s niet altijd voldoende aanwezig is. In de voorliggende handreiking is een aanzet gedaan voor enkele concrete handvat-ten om de kennis- en gedachtenvorming aangaande het gebruik van Cloud-dien-sten in het licht van informatieveiligheid verder aan te scherpen. Gebaseerd op de kennis van vandaag en derhalve blijvend in ontwikkeling. Laten we die ontwikke-ling vanuit bestuurlijk en ambtelijk perspectief blijven volgen en ook zelf prikkelen, te beginnen door het benutten en verder verspreiden van deze handreiking. Erik Jungerius, Maarten Schurink en Paul Spaan 2 3
van de handreiking Ach-ter-grond en doel van de hand Achtergrond en doel Deze handreiking heeft als thema ‘Cloud Computing’. De handreiking is be-doeld voor bestuurders en topmanagers van medeoverheden die de kansen en mogelijkheden die Cloud Computing biedt, willen verkennen en beter willen toepassen. Het is een handreiking voortgekomen uit de concrete behoefte van bestuurders om meer zicht te krijgen op het onderwerp Cloud Computing en de sturing daarop te verbeteren.1 Waarom? Cloud Computing is een complex onderwerp, met een diversiteit aan facetten die afhankelijk van de toepassing positief, maar ook negatief kunnen uitwerken. Bovendien kent deze technologie een aantal risico’s waar over de jaren heen nog geen of beperkte mitigerende maatregelen voor zijn bedacht. De risico’s liggen onder meer op het terrein van informatieveiligheid en privacy, welke garanties kunnen bijvoorbeeld op dat vlak afgegeven worden als niet bekend is waar de data staan in de Cloud van de leverancier en wie – naast de eigenaar van de dataset - nog meer onbevoegd bij de data kunnen. Wat biedt deze handreiking u concreet? Deze handreiking voor medeoverheden is een toepasbare ‘wegwijzer’ rondom de toepassing van Cloud Computing met daarbij verwijzingen naar de relevan-te beleidskaders, normenkaders en huidige richtlijnen waar overheden mee te maken hebben.2 De handreiking biedt u bovendien een handzaam kader voor gedachtevorming en tot slot een lijst met afwegingen voor een veilige en verant-woorde toepassing van Cloud Computing. De handreiking is nadrukkelijk niet bedoeld als toetsingskader dan wel vervan-ging van bestaand beleid en strategieën. Het biedt, ook voor overheden die al verder zijn in deze ontwikkeling, wel een kader dat de dialoog over Cloud bevordert. 5 ? ! 4
Niet onbelangrijk; deze handreiking biedt een eerste, niet uitputtend, overzicht gebaseerd op de huidige stand van zaken en beschikbare kennis en documentatie. Cloud Computing ontwikkelt zich snel, net als (de discussie over) de toepassing ervan, en dient dus op regelmatige basis herijkt te worden. De Europese Commissie/DG Connect heeft een onderzoek gedaan naar de toepassing van Cloud Computing bij verschillende overheden binnen de Europese Unie. Uit dit onderzoek blijkt dat veel verschillen-de keuzes zijn te maken als het gaat om het toepassen van Cloud Computing binnen de overheid, ieder met eigen voor- en nadelen.3 Dit bevestigt dat een eenduidig antwoord voor het gebruik van Cloud Computing binnen de overheid vooralsnog niet mogelijk is. DG Connect werkt onder meer samen met overheden en private partijen, aan een Code of Conduct met als doel de markt van Cloud Computing meer open en transparant te maken. 1 De Actie-Agenda Informatieveiligheid is op initiatief van de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) in februari 2014 opgesteld in samenwerking met ruim 50 bestuurders en topmanagers uit overheid en bedrijfsleven. 2 Het Rijk baseert haar huidige beleid en uitvoering ten aanzien van Cloud Computing op de Rijkscl-oudstrategie (www.rijksoverheid.nl/bestanden/documenten-en-publicaties/kamerstukken/2011/04/20/ kamerbrief-over-cloud-computing/kamerbrief-over-cloud-computing.pdf) en de i-Strategie (www.rijksoverheid.nl/bestanden/documenten-en-publicaties/kamerstukken/2011/11/15/kamerbrief-informatiseringstrategie- rijk/kamerbrief-informatiseringstrategie-rijk.pdf). 3 Cloud for the public sector Study Report (European Commission, 2013). 6 7
samenvatting Deze handreiking is een voor medeoverheden toepasbare ‘wegwijzer’ rondom de toepassing van Cloud Computing, met daarbij verwijzingen naar de relevante beleidskaders, normenkaders en huidige richtlijnen waar overheden mee te maken hebben. Het biedt ook een semantisch denkkader om hierover het gesprek aan te gaan. De handreiking is nadrukkelijk niet bedoeld als toetsingskader dan wel vervanging van bestaand beleid en strategieën. Cloud Computing is het (veelal) via het internet op aanvraag gebruik kunnen maken van hardware, software en gegevens. Cloud Computing zorgt ervoor dat gewenste dienstverlening of gegevens plaatsonafhankelijk, snel en gemakkelijk beschikbaar zijn. 4 Het verschuiven van grote investeringen naar ‘huren op maat’ en ‘besparen op onderhoudskosten’. 4 Het overal en altijd eenvoudig en zelfstandig kunnen aanvragen van ICT-diensten. 4 Het eenvoudig, snel en flexibel opschalen, dan wel afbouwen van ICT-diensten. 4 De mogelijkheid tot het delen van opslag- en rekencapaciteit met andere interne) gebruikers van de Cloud Computing. Cloud Computing kent verschillende verschijningsvormen: 4 De Publieke Cloud: dit zijn generieke Cloud-producten die in principe door elke organisatie of elke persoon gratis of via betaling kunnen worden afgenomen. 4 De Private Cloud: dit is een Cloud-infrastructuur die voor/door één organisatie wordt beheerd en die met name interessant is voor organisaties met een grote omvang. 4 De Community Cloud: dit is een gemeenschappelijke Cloud-infrastructuur waar verschillende organisaties uit één branche en met dezelfde belangen de infrastructuur en de Cloud-diensten delen. 4 De Hybride Cloud: afhankelijk van de Cloud-dienst kan gekozen worden voor een combinatie van bovenstaande Cloud-vormen. Hierdoor kunnen dus meer Cloud-vormen met elkaar verbonden worden binnen één organisatie. 1 9 8
2. Integriteit en gegevens Waar zitten voor de gegevens van uw organisatie de belangrijkste risico’s ten aanzien van integriteit (onweerlegbaarheid)? En, welke afspraken kunt u maken met uw leverancier om deze te mitigeren? 3. Vertrouwelijkheid van gegevens Hoe belangrijk is het dat de digitale gegevens van uw organisatie vertrouwelijk blijven en niet door onbevoegden kunnen worden ingezien? In hoeverre zijn hierover afspraken te maken met uw leverancier om deze risico’s te mitigeren? Is het mogelijk met versleutelde gegevens te werken? 4. Privacy en land van vestiging leverancier Uw organisatie moet rekening houden met de privacywetgeving. Weet u waar bij uw Cloud-aanbieder de gegevens opgeslagen staan (ook in het buitenland?) en wie tot die gegevens toegang heeft? 5. Compliancy leverancier Weet u aan welke wet- en regelgeving, bijvoorbeeld met betrekking tot informatiebeveiliging, uw Cloud-leverancier voldoet? Welk beleid voert uw leverancier uit om veiligheidsrisico’s in de Cloud, zoals lekken van informatie, te voorkomen en sluit dit aan bij de normen die voor uw organisatie gelden op het gebied van informatieveiligheid en/of specifiek beleid over het gebruik van Cloud Computing? 6. Continuïteit dienstverlening Hoe belangrijk is het dat de gegevens van uw organisatie bewaard blijven en hoe erg is het wanneer deze verloren gaan? Is er een uitwijkregeling mogelijk en hoe lang duurt herstel? 7. Controle en zeggenschap over uw gegevens Weet u zeker dat de gegevens van uw organisatie ook uw gegevens blijven? Of mag uw Cloud-leverancier uw gegevens gebruiken voor andere doeleinden zonder toestemming van uw organisatie? 1 11 Cloud Computing kent enkele specifieke risico’s waardoor een overstap niet al-tijd vanzelfsprekend is. De keuze voor Cloud Computing vraagt per casus om een afweging op strategisch niveau. Lastig aspect bij deze afweging, is dat de voordelen van Cloud Computing in de meeste gevallen duidelijk en vaak kwantificeerbaar zijn in tijd en geld, terwijl de risico’s veelal kwalitatief van aard zijn en derhalve aanzienlijk minder zichtbaar. Zo kent het een aantal specifie-ke risicokenmerken van technische, organisatorische en juridische aard. Cloud-leveranciers maken vaak gebruik van verschillende (gekoppelde) servers om de Cloud-diensten te kunnen leveren. Als afnemer heeft u daardoor mogelijk min-der controle en kennis over waar ‘de eigen gegevens’ precies staan opgeslagen. Hierbij is het wel van belang een onderscheid te maken tussen het inzetten van Cloud Computing binnen de eigen ICT-infrastructuur, binnen een volledig uitbe-stede traditionele ICT-infrastructuur (zoals deze door de ‘reguliere ICT-leveran-ciers’ wordt geleverd) en binnen een Cloud-gebaseerde ICT-infrastructuur (zoals deze door ‘Cloud-leveranciers’ wordt geleverd: Amazon, Google, Microsoft, et cetera.). Dat is mede bepalend voor de mate waarin het mogelijk is om controle en kennis te hebben over waar ‘de eigen gegevens’ precies staan opgeslagen. Daarbij wordt er in alle gevallen gevraagd om passende afspraken en waarbor-gen. Samenwerking stelt overheden bovendien in staat om de regie op, controle over en de inkoop van de Cloud te bundelen. Deze bundeling zorgt tevens voor een sterkere positie ten opzichte van de leverancier(s). Bovendien bevordert samen-werking onder meer de uniformiteit van de infrastructuur en bij het gebruik van (beveiligings)standaarden en –normen voor Cloud Computing Op welke zaken moet u nu letten en welke vragen dient u te stellen als u over-weegt de Cloud te gebruiken? 1. Maatwerk Is maatwerk noodzakelijk of kan mijn organisatie uit de voeten met de standaarddiensten die momenteel door Cloud-leveranciers worden aangeboden? Bent u op de hoogte van welke Cloud-diensten uw organisatie gebruikmaakt en waarvoor? 10
1 13 12 8. Beschikbaarheid gegevens en dienstverlening Is 100% beschikbaarheid van uw gegevens altijd gewenst? Wanneer heeft uw organisatie de gegevens nodig en wanneer niet? 9. Overstappen van leverancier Wilt uw organisatie ooit van Cloud-leverancier kunnen wisselen? En heeft u hiervoor ook de waarborgen, bijvoorbeeld met betrekking tot het migreren van datasets, contractueel geregeld die nodig zijn om over te kunnen overstappen? En heeft u daarvan de kosten in beeld? Ongeacht de vorm van Cloud Computing, is het belangrijk dat u met leveran-ciers afspraken maakt om de voordelen van Cloud-oplossingen ook echt te kun-nen benutten. Een eerste inventarisatie laat zien dat hierbij de volgende vier stuurvragen relevant zijn: 1. Hoe realiseren we de potentiële voordelen van de Cloud? (schaalbaarheid, flexibiliteit, kostenbesparing, et cetera) 2. Hoe borgen we de informatiebeveiliging en privacy in de Cloud? 3. Hoe ziet onze exit-strategie eruit, voor als we om welke reden dan ook het contract willen beëindigen en/of de leverancier niet meer kan leveren? 4. Hoe kunnen we ons het best verantwoorden over het gebruik van de Cloud? Deze vragen zijn in deze handreiking verder uitgewerkt, om met uw eigen organisatie en leveranciers van Cloud-diensten het gesprek aan te kunnen gaan. Dit naast de reguliere vragen, die van toepassing zijn bij het uitbe-steden van ICT-diensten, zoals personele en organisatorische consequen-ties, integratie met bestaande ICT-dienstverlening, et cetera.
Cloud computing, wat is het eigenlijk? 2. Cloud compu-ting, wat is het ei-gen-lijk? Cloud Computing, is het (veelal) via het internet op aanvraag gebruik kunnen maken van hardware, software en gegevens.1 Cloud Computing zorgt ervoor dat gewenste dienstverlening of gegevens plaats onafhankelijk, snel en gemakkelijk beschikbaar zijn. Dit met weinig inspanning van de organisatie zelf en middels geringe interactie met de leverancier. Met behulp van de Cloud Computing kunt u als privépersoon en ook als organisatie snel en gemakkelijk gebruikmaken van bij-voorbeeld e-mail, opslagcapaciteit, diverse softwarepakketten en diverse vormen van dienstverlening. 2 @ Cloud computing, een vorm van ICT-dienstverlening? Een eerste rondvraag laat zien dat bestuurders en topmanagers Cloud Computing vooral aantrekkelijk vinden, omdat het u als overheidsorganisatie lijkt te ontzorgen en te vrijwaren van ICT-taken en -bemensing. Cloud Computing is daarmee vanuit het perspectief van bestuurders en topmanagers vaak onderdeel van een efficiency en van een (out)sourcings-vraagstuk. Het is vanuit dit perspectief onderdeel van de vraag ‘of de organisatie de levering en het beheer van ICT-diensten bij externe partijen kan beleggen?’. En in het verlengde van deze vraag, ‘op welke manier Cloud Computing hierbij een oplossing kan bieden?’. Het gaat in deze handreiking specifiek om deze laatste vraag te helpen beantwoorden, waarbij de keuze voor Cloud Computing niet vanuit een technisch oogpunt wordt benaderd, maar vooral als een vorm van ICT-dienstverlening met specifieke voor- en nadelen. Daarmee is het meer dan een ‘plat’ (out)sourcings-vraagstuk. Hierbij is het wel van belang een onderscheid te maken tussen het inzetten van Cloud Computing binnen de eigen ICT-infrastructuur, binnen een volledig uitbestede traditionele ICT-infrastructuur (zoals deze door de ‘reguliere ICT-leveranciers’ wordt geleverd) en binnen een Cloud gebaseerde ICT-infrastructuur (zoals deze door ‘Cloud-leveranciers’ wordt geleverd, bijvoorbeeld Amazon, Google en Microsoft). Dat is mede bepalend voor de mate waarin het mogelijk is om controle en kennis te hebben over waar ‘de eigen gegevens’ precies staan opgeslagen. Daarbij wordt er in alle gevallen gevraagd om passende afspraken en waarborgen. 15 14
De karakteristieken van Cloud computing In positieve zin heeft Cloud Computing een aantal geheel eigen karakteristieken. Zo zijn door Cloud Computing ontsloten producten en diensten bijvoorbeeld van-uit iedere willekeurige locatie te benaderen door de gebruiker. Met behulp van Cloud Computing kunt u bovendien snel en eenvoudig toegang krijgen tot ge-gevens en systemen die u voor uw werk nodig heeft. Vaak zijn Cloud-applicaties benaderbaar via pc, tablet en mobiele apparatuur. Andere unieke karakteristieken van Cloud Computing zijn: 4 Het verschuiven van grote investeringen naar ‘huren op maat’ en ‘besparen op onderhoudskosten’. Dit wordt mede mogelijk vanwege het automatisch meten van het Cloud-gebruik, zodat de prijs per eenheid precies bekend is. 4 Het overal en altijd eenvoudig en zelfstandig kunnen aanvragen van ICT-dien-sten. 4 Het eenvoudig, snel en flexibel opschalen dan wel afbouwen van ICT-diensten. 4 De mogelijkheid tot het delen van opslag- en rekencapaciteit met andere (interne) gebruikers van Cloud Computing. De risicokenmerken van de Cloud Cloud Computing heeft ook een aantal specifieke risicokenmerken. Deze risico’s zijn niet alleen technisch, maar ook organisatorisch en juridisch van aard. Immers, Cloud-leveranciers maken vaak gebruik van verschillende (gekoppelde) servers om de Cloud-diensten te kunnen leveren. Als afnemer heeft u daardoor minder controle en kennis over waar ‘de eigen gegevens’ precies staan opgeslagen. Wanneer u als overheidsorganisatie met gevoelige gegevens werkt, is controle hierover uiteraard van groot belang. Mocht u Cloud Computing overwegen, dan is het slim om per casus de risico’s af te wegen. In hoofdstuk 3 worden alle risico’s besproken en uit-gebreid toegelicht. ! x Bij Cloud computing worden in het algemeen drie ‘lagen’ ofwel service-modellen onderkend: Infrastructuur as a Service (IaaS): hierbij wordt de apparatuur van het eigen rekencentrum vervangen door een Cloud-oplossing. Er wordt opslagcapaciteit en rekenkracht naar behoefte afgenomen. Platform as a Service (PaaS): dit model is een uitbreiding op IaaS. De gebruiker neemt een complete ICT-hardwareomgeving via de Cloud af. Hierin zijn ook elementen als een besturingssysteem, database, et cetera opgenomen. Applicatiesoftware maakt géén deel uit van PaaS. Software as a Service (Saas): dit model is een uitbreiding op PaaS. Hierbij neemt de gebruiker ook de functionaliteiten van een applica-tie af (lees: software), naast de ICT-apparatuur en het ICT-platform. Ontwikkelingen die het gebruik van Cloud computing beïnvloeden: • Naarmate Het Nieuwe Werken (plaats- en tijdonafhankelijk) meer gemeengoed gaat worden, zal de behoefte aan samenwerkings-hulpmiddelen toenemen. Deze tools worden vaak aangeboden als een Cloud-dienst. • Veel leveranciers van software gaan over van het installeren van software bij de klant naar een Cloud-aanbieding, een zogenaamde Software as a Service/ SaaS-oplossing. • Er wordt door overheden veelvuldig in ketens samengewerkt met zowel publieke als private partijen die van Cloud Computing gebruik kunnen maken. De gegevens die met deze organisaties worden uit-gewisseld, verplaatsen op deze manier, wanneer daar geen afspra-ken over worden gemaakt, ‘als vanzelf’ naar de Cloud. 2 16 17
2 19 18 Cloud computing kent verschillende verschijningsvormen: • De Publieke Cloud: dit zijn generieke Cloud-diensten die in princi-pe door elke organisatie of persoon gratis of via betaling kunnen worden afgenomen. • De Private Cloud: dit is een Cloud-dienst die voor/door één organi-satie wordt beheerd en die met name interessant is voor organisa-ties met een grote omvang. • De Community Cloud: dit is een gemeenschappelijke Cloud-dienst waar verschillende organisaties uit één branche en met dezelfde belangen de infrastructuur en de Cloud-diensten delen. • De Hybride Cloud: afhankelijk van de Cloud-dienst kan gekozen worden voor een combinatie van bovenstaande Cloud-vormen. Hierdoor kunnen dus meer Cloud-vormen met elkaar verbonden worden binnen één organisatie. In hoofdstuk 3 gaan we – vanuit het perspectief van de overheid - dieper in op de voor- en nadelen van bovenstaande verschijningsvormen. 1 In het geval van de Rijkscloud is toegang mogelijk via Rijksoverheidsnetwerk (RON2.0).
3. De voor-en De voor- en nadelen van Cloud computing na-delen De voor-en nadelen van Cloud Computing leggen we u uit aan de hand van een drietal perspectieven: Wat is het verschil tussen Cloud computing en meer traditionele vormen van uitbesteding? Tussen uitbesteding op basis van Cloud Computing en uitbesteding op basis van meer traditionele vormen zit in de kern eigenlijk weinig verschil als het gaat om de voor- en nadelen voor uw organisatie. Ontzorging, kostenbesparing, meer effi-ciency van Cl-oud comput en flexibiliteit zijn vier van de belangrijkste voordelen waarom organisaties vaak denken aan uitbesteding. Bovendien kan een voordeel zijn dat u zo als or-ganisatie expertise in huis haalt, al dan niet gekoppeld aan mensen (beschikbaar-heid), waarover u in uw eigen organisatie niet beschikt of kunt beschikken. Hebben we het over de nadelen, dan gaat het bij uitbesteding vooral om: 4 De grotere afhankelijkheid van uw organisatie van (het functioneren van) de leverancier (beheer en beheersing). 4 De gevolgen voor ICT-personeel binnen uw eigen organisatie (HRM). 4 De consequenties in geval uw leverancier failliet gaat en het hierbij horende continuïteitsvraagstuk (dienstverlening). 4 De vraag hoe u uw verantwoordelijkheid over de uitbestede gegevens succes-vol handen en voeten geeft. Voor reguliere ICT-outsourcing geldt net zo goed als voor uitbesteding middels Cloud Computing, dat het risico dat vertrouwelijke informatie kan worden gelekt altijd aanwezig is. Een verschil tussen beide is er overigens ook. In geval van Cloud Computing beoordeelt u in principe of de dienst die wordt geleverd voldoet aan uw eisen, terwijl bij reguliere ICT-uitbestedingen de leverancier gevraagd wordt om, vaak op maat, te leveren naar de wensen van uw organisatie. 21 A 3 20
B 22 schrijft, uitgeeft of doorgeeft ook correct is. Waar zitten voor uw gegevens de belangrijkste risico’s? En, welke afspraken kunt u maken met uw leverancier om deze te mitigeren? 3. Vertrouwelijkheid Hoe belangrijk is het dat de (categorieën van) digitale gegevens van uw organi-satie vertrouwelijk blijven en niet door onbevoegden kunnen worden ingezien? In hoeverre zijn hierover afspraken te maken met uw leverancier om deze risico’s te mitigeren? Is het mogelijk met versleutelde gegevens te werken? 4. Privacy en land van vestiging Moet uw organisatie rekening houden met privacywetgeving? Buitenlandse overheden kunnen zich toegang verschaffen als de Cloud-leverancier in hun land op enige manier actief is. Bij veel Cloud-aanbieders is het niet altijd duidelijk waar de gegevens opgeslagen staan en wie tot die gegevens toegang heeft. Dit neemt niet weg dat sommige Cloud-leveranciers wel garanties kunnen bieden omtrent de opslaglocatie van de data. Kortom, onderzoek dit grondig en kijk of uw leverancier een dienst aanbiedt die voldoet en blijft voldoen aan de geldende privacywetgeving. Behalve Nederlandse wetgeving zijn in ieder geval de Patriot Act en Foreign Intelligence Surveillance Act (FISA) hierbij relevant. 5. Compliancy S tel u zelf de vraag aan welke wet- en regelgeving en gangbare informatiebe-veiligingsnormen uw Cloud-leverancier voldoet (ISO 27001, PCI, HIPAA). Geef daarbij specifieke aandacht aan het informatieveiligheidsbeleid van uw Cloud-leverancier. Welke beleid voert uw leverancier uit om veiligheidsrisico’s in de Cloud, zoals lekken van informatie, te voorkomen? Sluit dit beleid aan bij de normen die voor uw organisatie gelden op het gebied van informatiebeveiliging (baselines per overheidslaag) en/of specifiek beleid over het gebruik van Cloud Computing in uw overheidslaag? 6. Continuïteit H oe belangrijk is het dat de gegevens van uw organisatie bewaard blijven en hoe erg is het wanneer deze verloren gaan? Is er een uitwijkregeling mogelijk? Of is er de optie van een onafhankelijke derde partij die een back-up beheert? Wat zijn de specifieke risico’s van Cloud computing? Dit neemt niet weg dat de Cloud Computing ook enkele specifieke risico’s heeft waardoor een overstap niet altijd vanzelfsprekend is. De keuze voor Cloud Compu-ting vraagt per casus om een afweging op strategisch niveau. Lastig aspect bij deze afweging is, dat de voordelen van Cloud Computing in de meeste gevallen duidelijk en vaak kwantificeerbaar zijn in tijd en geld. Terwijl de risico’s veelal kwalitatief van aard zijn en derhalve aanzienlijk minder zichtbaar. Reden te meer om de risico’s voor u onder elkaar te zetten, zodat u in uw afweging ‘Wel/Geen Cloud Computing’, per casus kunt bekijken hoe de balans voor u door-slaat: 1. Maatwerk W ilt u een specifieke dienst die perfect aansluit bij uw organisatie? Dan is dit met Cloud Computing lastig te bereiken, althans in de traditionele ‘be-sproken’ vorm. Het van grond af aan bouwen van een eigen private Cloud aan de hand van voorbesproken wensen en eisen is relatief kostbaar. Ter-wijl juist lagere kosten ook een potentieel voordeel is van Cloud Computing. Een tussenvorm die veel voorkomt is het afstemmen van bestaande Cloud-oplossingen op de wensen van uw organisatie. Cloud Computing is over het algemeen modulair opgebouwd. Binnen de modules zijn aanpassingen mogelijk, maar ook hier zijn extra kosten aan verbonden. Momenteel geldt dat veel commerciële Cloud-oplossingen als standaarddiensten worden aangeboden en ontwikkeld zijn voor een groot aantal klanten. Het is hierbij vaak niet of beperkt mogelijk om specifieke aanpassingen te doen. De Cloud-aanbieder bepaalt in deze gevallen hoe het product of de dienst eruit ziet en het is aan u om te kijken of dit is wat voor u bruikbaar is. 2. Integriteit Stel u zelf de vraag hoe belangrijk het is dat de digitale gegevens van uw organi-satie onveranderd blijven. En dat u erop kunt vertrouwen dat wat uw organisatie 3 23
Deling van opslag- en rekencapaciteit Grote netwerkcapaciteit Snelle herschaalbaarheid Gebruik op aanvraag via selfservice Essentiële kenmerken Meten van gebruik Community Cloud Publieke Cloud Implementatie-modellen Hybride Cloud Private Cloud Service-modellen SaaS: Software als dienst IaaS: Infrastructuur als dienst PaaS: Platform als dienst Cloud Computing Service Delivery en Cloud-vorm is het (veelal) via het internet op aanvraag gebruik kunnen maken van hardware, software en gegevens. Dit figuur is afkomstig uit het document ‘Gesloten Rijkscloud. Functionele doelarchitectuur’ (2013). 3 24 25
C 26 Cloud Computing af te raden. Waarschijnlijk maakt u dan eenzelfde keuze ten aanzien van eventuele outsourcing van ICT-diensten. Houd er echter wel rekening mee dat de keerzijde van het niet gebruiken van Cloud Computing veel van uw eigen organisatie vraagt in termen van capaci-teit, financiën, personeel, et cetera. Zo kan er toch een positieve business case ontstaan om Cloud Computing in te zetten binnen de bestaande infrastructuur (van de eigen organisatie of van een reguliere ICT-leverancier) op te nemen, mits voorzien van de juiste afspraken en veiligheidswaarborgen. Private Cloud Als uw organisatie ‘in control’ wil blijven over de gegevens en de onderliggende informatietechnologie, dan is het een overweging om te kiezen voor een eigen Cloud, de zogenaamde Private Cloud. Doordat de Private Cloud uitsluitend door één organisatie wordt gebruikt, kan er relatief veel controle over uitgeoefend worden. Een Private Cloud kan in eigendom en beheer zijn van de eigen organi-satie, een derde partij of een combinatie hiervan. Het opzetten van een Private Cloud, mogelijk met behulp van een externe leverancier, vergt overigens wel expertise binnen de eigen organisatie. Het vraagt onder meer specifieke kennis om de juiste wensen te formuleren en waarborgen te realiseren, zodat u ook echt de dienst geleverd krijgt die u wilt. Realiseert u zich dat behalve de kosten die verbonden zijn aan het binnenshuis halen en behouden van deze kennis, ook de kosten voor beschikbaarheid en continuïteit uitsluitend door de eigen organisatie worden gedragen. Daar staat uiteraard tegenover het voordeel dat u precies de vestigingslocatie van de hardware weet waar uw gegevens op staan. Community Cloud De Community Cloud is feitelijk de Private Cloud voor een groep gelijkgestem-den (lees: meer dan één organisatie). De zogenaamde Community Cloud, waar-aan diverse organisaties (al dan niet vooraf georganiseerd) deelnemen, biedt de mogelijkheid om makkelijk op te schalen naar meer participanten. De kosten per gebruikseenheid worden daardoor voor elke deelnemer steeds kleiner. Uiteraard mits hierover de juiste afspraken zijn gemaakt en waarborgen zijn gerealiseerd. Organiseer bijvoorbeeld een Community van overheden om zo samen met ge-lijkgestemden een Community Cloud op te zetten. Met aanvullende afspraken 7. Controle en zeggenschap over uw gegevens Weet u zeker dat wat van uw organisatie is, ook in de Cloud van uw organi-satie blijft? De gegevens van uw organisatie moeten ook uw gegevens blijven. Uw Cloud-leverancier mag uw gegevens uiteraard niet gebruiken zonder toe-stemming van uw organisatie. 8. Beschikbaarheid Wanneer een calamiteit zich voordoet, heeft uw organisatie het systeem en de gegevens direct nodig of mag er een bepaalde (recover)tijd overheen gaan? Aan 100% beschikbaarheid hangt een prijskaartje. Voor sommige processen en systemen van uw organisatie kan het overigens noodzakelijk zijn in verband met calamiteiten om 100% beschikbaarheid te hebben. 9. Overstappen W ilt uw organisatie ooit van Cloud-leverancier kunnen wisselen? Realiseert u zich dan dat overstappen kosten met zich meebrengt, maar ook dat uw organisatie wellicht moet bewijzen dat geëxporteerde gegevens juist zijn (gewaarmerkte kopie of back-up). Overigens, en niet onbelangrijk, er zijn geen standaarden die volledige interoperabiliteit garanderen. Wat zijn de specifieke vormen van Cloud computing? Uw organisatie heeft uiteraard altijd de verantwoordelijkheid om per casus een zorgvuldige en eigen afweging te maken aangaande de voor- en nadelen van Cloud Computing. Op hoofdlijnen is per Cloud-vorm echter wel een richting aan te geven wat betreft de afweging tussen voor- en nadelen. Het land van vestiging en privacy, continuïteit en informatieveiligheid spelen hierbij een be-langrijke rol. Geen Cloud Als uw gegevens dermate vertrouwelijk zijn en dat u ten koste van alles wilt voorkomen dat u afhankelijk bent van een derde partij, kunt u beter niet de overstap naar Cloud Computing maken. Ook wanneer u wilt voorkomen dat de continuïteit van uw ICT-diensten afhankelijk raakt van derden, is gebruik van 3 27
28 en investeringen is het mogelijk om aan te wijzen welke hardware door welke gebruiker van de Community Cloud wordt gebruikt. Het is natuurlijk hoe dan ook mogelijk om gezamenlijk de voor de Community gebruikte set van hardware aan te wijzen en daarmee ook waar de gegevens staan. Houd er wel rekening mee dat het organiseren van gezamenlijk opdrachtgeverschap zeker niet mak-kelijk is. In hoofdstuk 4 zal nader worden ingegaan op het onderwerp ‘Samen-werken als overheid’. Public Cloud Bij de Public Cloud is de door uw organisatie gebruikte hardware niet aan te wijzen. U weet niet precies waar uw gegevens opgeslagen zijn. Bovendien kun-nen de gegevens vrij stromen tussen landen, waarbij ze ingezien, hergebruikt en verwerkt kunnen worden door derde partijen. Daartegenover staat dat de diensten vaak gratis of heel goedkoop zijn. Als u zeker weet dat het hanteren van deze diensten niet tot extra risico’s (denk aan: risico’s voor de integriteit en beschikbaarheid van data) leidt, dan wel deze te mitigeren zijn, bijvoorbeeld door zelf data te versleutelen, kunt u gebruik maken van alle vormen van Cloud, zelfs ook de Public Cloud. Daarbij is het dan wel zaak om scherp te blijven op de gewenste waarborgen. Is er bijvoorbeeld een exit-strategie en is deze onderdeel is van de algemene voorwaarden? Of is deze niet relevant gezien de aard en vertrouwelijkheid van de gegevens? Hybride Cloud Uit het bovenstaande blijkt dat meerdere vormen van Cloud Computing bestaan. Een groot voordeel van Cloud Computing is, dat deze in de meeste gevallen gebaseerd is op internettechnologie. Met als voordeel dat alle Cloud-oplossingen, mits gebaseerd op open standaarden, aan elkaar gekoppeld kunnen worden. Dit noemen we hybride Cloud-oplossingen. Het nadeel van deze hybride Cloud is dat het de mogelijkheid creëert om een deur open te zetten van een Private Cloud naar bijvoorbeeld een Public Cloud. Dit kan vooral gevolgen hebben voor de privacy en informatieveiligheid van uw gegevens. Mogelijke koppelingen tussen verschillende Cloud-vormen vergen dus zeker uw aandacht. 3 29
samenwerken als overheid samen-wer-ken als over-heid In dit hoofdstuk is aandacht voor het realiseren van samenwerking in het licht van Cloud Computing, zodat de voordelen ook echt ten gunste komen van overheden. Samenwerking stelt overheden bovendien in staat om de regie op, controle over en de inkoop van de Cloud te bundelen. Deze bundeling zorgt tevens voor een sterkere positie ten opzichte van de leverancier(s). Bovendien bevordert samenwerking onder meer de uniformiteit van de infrastructuur en bij het gebruik van (beveiligings)standaarden en –normen voor Cloud Computing. Het samenwerken door overheden kan concreet invulling krijgen middels een zogenaamde Cloud Broker. In de functie van Cloud Broker zijn alle kennis en kunde van de deelnemende overheden, zowel over informatieveiligheid en privacy als aangaande het aanbesteden, verzameld. De Cloud Broker is een intermediair tussen de vraag van betrokken overheden en het aanbod van Cloud-leveranciers. In de onderhandelingen met de ICT-leveranciers kan de Cloud Broker door een sterkere onderhandelings- en kennispositie, ervoor zorgen dat de voordelen van de Cloud makkelijker worden gerealiseerd voor overheden. De functie van Cloud Broker kan zowel door een publieke als een private organisatie ingevuld worden. De Cloud Broker helpt overheden om de voordelen van de Cloud ook echt uit te nutten en tegelijkertijd te voldoen aan alle geldende normen en kaders. Dit leidt tot ontzorging van de betrokken overheden. Ook bevordert deze manier van werken het optreden als één overheid. In de praktijk kan deze functie van Cloud Broker ook ingevuld worden door bijvoorbeeld een Shared Service Organisatie (SSO), maar ook een ICT-consultancy organisatie kan deze rol op zich nemen.1 Overigens is het belangrijk om hier nogmaals te benoemen dat ook voor de Community Cloud niet alle risico’s gemitigeerd worden. Ook bij het gebruik van de Community Cloud blijft het risico bestaan dat de continuïteit verstoord wordt, of dat bijvoorbeeld gegevens gelekt worden. 4 30 31
Ruimte voor de markt Een keuze voor samenwerking met een Cloud-leverancier laat vrij wie de realisatie en het beheer van de Cloud het meest optimaal kan uitvoeren. In het algemeen geldt dat, als de markt kan leveren, dit ook aan de markt wordt gelaten. Voor Cloud Computing gaat dit eveneens op. Op Europees niveau wordt in dialoog met de markt verkend hoe in de behoeften van de overheden kan worden voorzien. Met als voorwaarde dat u als overheidsorganisatie de strakke regie houdt over het geheel en daarmee invulling geeft aan uw eindverantwoordelijkheid. € In Nederland bestaan diverse samenwerkingsverbanden die Cloud-dienstverlening aanbieden of dat aan het voorbereiden zijn. Denk aan: Servicepunt71 (SO voor gemeenten), Dimpact (samenwerkingsverband van gemeenten), Equalit (SO in het zuiden des lands) en de RUD Zeeland, die een eigen Cloud-platform heeft ingericht op de Wet Algemene Bepalingen Omgevingsrecht (WA BO)- taken voor gemeenten, waterschappen en provincies. 1 Zie ook: www.pianoo.nl/sites/default/files/documents/documents/vnghandreikingkingcloudcomputing-ssclowres. pdf. 2 Zie: www.forumstandaardisatie.nl/fileadmin/os/documenten/kamerbrief-over-cloud-computing.pdf. In 2011 heeft het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) een Cloud-strategie gelanceerd die in eerste instantie betrekking had op de Rijksoverheid en tevens kaders biedt voor andere overheden.2 De Rijksoverheid werkt momenteel aan de realisatie van haar Rijkscloud. De Rijkscloud wordt door de Rijksoverheid zelf ingericht. Zij voert de regie en beheer en reguleert de toegang tot de Rijkscloud en de gegevens daarin. Vanuit de Rijkscloud kunnen door Rijksoverheden diensten als gegevensopslag, servercapaciteit, infrastructuurcapaciteit en gebruiksdiensten, zoals e-mail, werkplekomgeving, samenwerkingsfunctionaliteit en specifieke applicaties worden betrokken. 4 32 33
Belangrijke waarborgen en afspraken met leveranciers Ongeacht de vorm van Cloud Computing, is het belangrijk dat u met leveranciers afspraken maakt om de voordelen van Cloud-oplossingen ook echt te kunnen benutten. Om u hierbij te helpen bevat dit hoofdstuk een eerste overzicht met belangrijke waarborgen1 en afspraken. Dit overzicht is niet uitputtend en kan van-zelfsprekend op basis van nieuwe inzichten aangepast worden. Voor nu is het doel om u een handzaam hulpmiddel te bieden. Realisatie van de voordelen van Cloud computing 5 + 1. Eis het gebruik van open standaarden Gebruik van open standaarden is belangrijk om de diverse vormen van Cloud Computing onderling te kunnen laten interacteren en vooral met de bestaande ICT-infrastructuur en interface van uw eigen organisatie.2 2. Maak afspraken over de verwerkings-capaciteit De schaalbaarheid van de verwerkingscapaciteit moet worden gewaarborgd door afspraken vast te leggen aangaande de kosten, het tijdbestek en de omvang van het opschalen. 3. Maak afspraken over het aantal gebruikers en autorisaties De schaalbaarheid in termen van aantal gebruikers kan gewaarborgd worden door afspraken te maken met de leverancier over de betaling van een ‘flat-rate’ tot een x-aantal gebruikers. 4. Maak afspraken over toegang tot de eigen gegevens Maak afspraken met de leverancier over toegang tot uw gegevens. Dit betreft niet alleen de opgeslagen gegevens, maar ook de zogenaamde current state of transactions. 5. Maak afspraken over transparantie aangaande door-ontwikkelingen Het is belangrijk om afspraken te maken met de leve-rancier( s) die transparantie aangaande doorontwik-keling van Cloud Computing bevorderen. Dit mede omdat uw bedrijfsprocessen aangepast kunnen zijn op een specifieke versie van Cloud Computing. 34 35
37 Verantwoorden over het gebruik van Cloud computing 1 Daarbij is nog wel de vraag welke waarborgen er worden getroffen, voor het geval dat de Cloud-leverancier zijn verplichtingen niet meer na kan komen. Welke rol kunnen andere leveranciers daar mogelijk in spelen? 2 Open standaarden betekent echter niet per definitie dat interactie met een andere Cloud-vorm of uw eigen ICT-omgeving mogelijk is, maar het vormt wel de basis. 36 ! ! Borgen van privacy en informatieveiligheid bij Cloud computing 1. Maak afspraken aangaande de locatie van opslag van gegevens en privacybescherming Overheidsorganisaties zijn verantwoordelijk voor de bescherming van gegevens. Hiervoor moeten zij voldoen aan wet- en regelgeving. De leverancier dient hier ook aan te voldoen en dient hier ook op aangesproken te worden. 2. Maak afspraken over het omgaan met kwetsbaarheden en ‘lekken’ Het is belangrijk om afspraken te maken over het melden van (nieuwe) kwetsbaarheden en een even-tueel lek. Vergeet hierbij ook niet om afspraken te maken over de wijze waarop de eigen organisatie hierover, geïnformeerd wilt worden. 3. Maak afspraken over verstoringen van de dienstverlening Maak voor ‘worstcasescenario’s’ (vernietiging datacen-ter e.d.) afspraken met de leverancier. Het gaat hier vooral over procesafspraken, waaruit duidelijk blijkt op welke manier en door wie geëscaleerd kan worden. Bepalen van een exit-strategie 1. Houd zeggenschap over de eigen gegevens Het is wenselijk om contractueel vast te leggen dat uw gegevens bij beëindiging van de dienstverlening direct tot uw beschikking komen en ook hoe dit ge-beurt. Immers, om uw gegevens over te kunnen zet-ten naar een nieuwe Cloud Computing of een ander systeem, dienen de gegevens aangeboden te worden in een open format dat leesbaar en bruikbaar is voor uw organisatie. 2. Zorg voor een volledige overdracht Er mogen natuurlijk geen gegevens achterblijven in de Cloud nadat de dienstverlening is stopgezet. Hiervan dient adequaat bewijs geleverd te worden aan u als opdrachtgevende organisatie. Ook dit dient bij de start van de dienstverlening contractueel vastgelegd te worden. 3. Laat fall-back scenario’s ontwikkelen Na het beëindigen van het contract met uw Cloud-leverancier, moet uw organisatie de afgeno-men ICT-diensten zelf leveren. Door voorbereid te zijn op een eventuele ‘exit’ kan uw organisatie de consequenties makkelijker opvangen. 1. Richt een monitor in De prestaties van Cloud-diensten en het waarborgen van de afspraken kunnen in beeld gebracht worden door een monitor in te richten die aansluit bij de gemaakte afspraken vastgelegd in een Service Level Agreement (SLA). 2. Maak afspraken over inhoud en frequentie van de rapportage In de rapportages zijn de gegevens over het functio-neren van de Cloud Computing geaggregeerd, waardoor de prestaties beter zijn te vergelijken met afspraken die in de SLA zijn vastgelegd. Tip is om ook met uw leverancier af te spreken dat deze proactief rapporteert over dreigingsbeelden en de hiertegen genomen maatregelen. 3. Waarborg de moge-lijkheid voor (externe) audits De beheerder van de Cloud Computing moet net als uw eigen organisatie verantwoording afleggen over de veiligheid van de Cloud Computing. Houd hier rekening mee bij de inrichting van de Cloud door duidelijke en concrete afspraken te maken over de auditing van producten en diensten. 4. Neem functioneren van Cloud Computing op in reguliere verantwoording Het verantwoorden over het functioneren van de Cloud Computing kan door dit te integreren in de reguliere verantwoording over ICT. Het helpt daarbij om de Cloud expliciet op te nemen in de verantwoor-ding, met een onderbouwing van de gerealiseerde voordelen en de bestaande risico’s. Daarnaast is het wenselijk om het voldoen aan privacywetgeving en de eisen omtrent de opslag van gegevens extra toe te lichten in deze verantwoording. R 5
Bron-nen Hand-rei-king Cloud Tec BIJLAGE: Bronnen Handreiking Cloud Computing Titel Link The NIST Definition Of Cloud Computing www.nist.gov/itl/cloud/index.cfm Cloud Standards Coordination Final report (2013) eurocloudnl.eu/wp-content/uploads/2013/12/ ETSI-CSC-Deliverable-008-Final_Report-V1_0. pdf Establishing Trusted Cloud in Europe ec.europa.eu/digital-agenda/en/news/trus-ted- cloud-europe Cloud Service Level Agreement Standardisation Guidelines ec.europa.eu/digital-agenda/en/news/cloud-ser-vice- level-agreement-standardisation-guideli-nes Zienswijze CBP over Cloud Computing www.cbpweb.nl/Pages/med_20120910-ziens-wijze- cbp-cloudcomputing.aspx Wet bescherming persoons-gegevens wetten.overheid.nl/BWBR0011468/geldigheids-datum_ 23-07-2014 CBP Richtsnoeren Actieve openbaarmaking en eerbie-diging van de persoonlijke levenssfeer augustus 2009 beveiliging van persoons-gegevens www.cbpweb.nl/downloads_rs/rs_2013_richt-snoeren- beveiliging-persoonsgegevens.pdf CIP Beveiligingsbeleid Cloud-diensten (4 april, 2014) www.cip-overheid.nl/wp-content/up-loads/ 2014/04/Beveiligingsbeleid-clouddien-sten- CIP-DEF-v2_3-excl-ARD.pdf Bewerkersovereenkomst: Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) www.ibdgemeenten.nl/wp-content/up-loads/ 2014/04/14-0218-bewerkersovereen-komst- v1.0.pdf.pagespeed.ce.qJrVrC1I4W.pdf 38 39
Titel Link Cloud Computing: Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) www.ibdgemeenten.nl/wp-content/ uploads/2014/04/13-1111-cloud-computing-gemeenten. pdf White Paper NCSC ‘Cloud Computing & Security’ www.ncsc.nl/dienstverlening/expertise-advies/ kennisdeling/whitepapers/whitepaper-cloud-computing. html ICT Beveiligingsrichtlijnen voor webapplicaties www.ncsc.nl/dienstverlening/expertise-advies/ kennisdeling/whitepapers/ict-beveiligingsricht-lijnen- voor-webapplicaties.html Internationale open standaar-den voor een veilige Cloud www.forumstandaardisatie.nl/uploads/ RTEmagicC_Open_security_standards.png.png Toe te passen open stan-daarden voor de Cloud, mits relevant qua functioneel en organisatorisch toepassingsge-bied, volgens de Nederlandse ‘Pas Toe Leg Uit-lijst’ www.forumstandaardisatie.nl/uploads/ RTEmagicC_pas_toe_of_leg_uit_-lijst.jpg Toe te passen open standaar-den voor de Cloud volgens de Europese onderzoeken www.forumstandaardisatie.nl/uploads/ RTEmagicC_Presentatie1.jpg interessante bronnen voor de meeste actuele 4 informatie over Cloud computing zijn onder meer: Titel Link National Institute of Standards and Technology www.nist.gov Europese Commissie/ DG Connect ec.europa.eu/dgs/connect/en/content/ dg-connect Europese Commissie/ Cloud for Europe www.cloudforeurope.eu CIP www.cip-overheid.nl NCSC www.ncsc.nl IBD www.ibdgemeenten.nl 40 41
42 COLOFON Deze handreiking is tot stand gekomen dankzij de inspanningen van: De leden van de klankbordgroep: Ton van Bergeijk, Standardization Consultant normcommissie NC 381038 ‘Cloud Computing’, NEN Frank van Dam, IT-architect, Ministerie van Economische Zaken Rob van Dorsten, programmamanager, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) Frans Hooft van Huysduynen, senior adviseur informatievoorziening, Provincie Utrecht Frank Kerkhoven, bestuurslid, VIAG Marcel Koers, senior enterprise architect, CIP Thomas Kruse, strategisch adviseur bedrijfsvoering, Gemeente Utrecht Peter de Leeuw, programmamanager Architectuur en Standaarden, Het Waterschapshuis Peter Leijnse, senior architect, Logius Andres Steijaert, programmamanager, Surfnet De auteurs: Arjan de Jong, beleidsmedewerker, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Henri Rauch, strategisch adviseur, KING Marijke Salters, senior adviseur, College en Forum Standaardisatie Lancelot Schellevis, beleidsadviseur, College en Forum Standaardisatie De eindredacteurs: Sonja Kok, communicatieverantwoordelijke en woordvoerder, Taskforce BID Douwe Leguit, manager, Taskforce BID Eric Warners, beleidsadviseur, Taskforce BID Henk Wesseling, bestuurlijk hoofd, Taskforce BID Het Forum Standaardisatie is blij met het verschijnen van de Handreiking Cloud Computing voor bestuurders en topmanagers. Deze handreiking biedt een kader voor overheden om samen een handelingsperspectief te ontwikkelen voor het toepassen van Cloud Computing. Cloud-oplossingen hebben volgens ons de Toekomst, maar we zien tegelijk het risico dat er silo’s ontstaan. Silo’s die onderling geen informatie kunnen uitwisselen. Digitale samenwerking kan daarom ons inziens niet zonder het gebruik van open standaarden. Cloud-oplossingen zijn daarop geen uitzondering; ook hiervoor zijn open standaarden nodig. Het Forum Standaardisatie ziet de handreiking als extra stimulans om het gebruik van open standaarden voor Cloud-oplossingen te blijven bevorderen. Nico Westpalm van Hoorn Voorzitter Forum Standaardisatie 43
© 2014, Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) Uitgegeven in eigen beheer (info@taskforcedbid.nl) Alle rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand en/of openbaar gemaakt in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of op enige andere manier zonder voorafgaande schriftelijke toestemming van de uitgever. Aan de inhoud van deze uitgave kunnen geen rechten worden ontleend. De Taskforce BID is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan de Taskforce BID geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. De Taskforce BID aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. 44
Een handreiking voor bestuurders en topmanagers van medeoverheden www.taskforcebid.nl bezien vanuit het perspectief van informatieveiligheid gericht op alle wetenswaardigheden aangaande Cloud computing te benutten tijdens het keuzeproces én na de Cloud-keuze, voor een veilige en verantwoorde omgang met Cloud computing

Recommended

Rapportage verkenning en_advies_uniformering_ict_inkoopvoorwaarden by
Rapportage verkenning en_advies_uniformering_ict_inkoopvoorwaardenRapportage verkenning en_advies_uniformering_ict_inkoopvoorwaarden
Rapportage verkenning en_advies_uniformering_ict_inkoopvoorwaardenKING
967 views25 slides
150820 compliancy monitor 2015 3 v1.3 0 by
150820 compliancy monitor 2015 3 v1.3 0150820 compliancy monitor 2015 3 v1.3 0
150820 compliancy monitor 2015 3 v1.3 0KING
717 views37 slides
160401 Leveranciersdag KING by
160401 Leveranciersdag KING160401 Leveranciersdag KING
160401 Leveranciersdag KINGKING
515 views19 slides
20160616 leveranciersdag Berichtenapp by
20160616 leveranciersdag Berichtenapp20160616 leveranciersdag Berichtenapp
20160616 leveranciersdag BerichtenappKING
170 views17 slides
0902 Doe dag Zwolle by
0902 Doe dag Zwolle0902 Doe dag Zwolle
0902 Doe dag ZwolleKING
189 views16 slides
Informatiekundige inrichting Sociaal Domein key-note by
Informatiekundige inrichting Sociaal Domein key-noteInformatiekundige inrichting Sociaal Domein key-note
Informatiekundige inrichting Sociaal Domein key-noteOdinfo BV
1.6K views43 slides

More Related Content

What's hot

20160401 Leveranciersdag KING by
20160401 Leveranciersdag KING20160401 Leveranciersdag KING
20160401 Leveranciersdag KINGKING
384 views19 slides
160104 Leveranciersdag KING by
160104 Leveranciersdag KING160104 Leveranciersdag KING
160104 Leveranciersdag KINGKING
313 views4 slides
Keuzen voor samenwerking 003 by
Keuzen voor samenwerking 003Keuzen voor samenwerking 003
Keuzen voor samenwerking 003Jo Horn
401 views18 slides
ICT 2020 by
ICT 2020ICT 2020
ICT 2020Odinfo BV
1.9K views33 slides
30062017 leveranciersdag pilotstarter by
30062017 leveranciersdag pilotstarter30062017 leveranciersdag pilotstarter
30062017 leveranciersdag pilotstarterKING
477 views27 slides
Leveranciersbijeenkomst 20 april 2018 by
Leveranciersbijeenkomst 20 april 2018Leveranciersbijeenkomst 20 april 2018
Leveranciersbijeenkomst 20 april 2018VNG Realisatie
68 views14 slides

What's hot(20)

20160401 Leveranciersdag KING by KING
20160401 Leveranciersdag KING20160401 Leveranciersdag KING
20160401 Leveranciersdag KING
KING384 views
160104 Leveranciersdag KING by KING
160104 Leveranciersdag KING160104 Leveranciersdag KING
160104 Leveranciersdag KING
KING313 views
Keuzen voor samenwerking 003 by Jo Horn
Keuzen voor samenwerking 003Keuzen voor samenwerking 003
Keuzen voor samenwerking 003
Jo Horn401 views
ICT 2020 by Odinfo BV
ICT 2020ICT 2020
ICT 2020
Odinfo BV1.9K views
30062017 leveranciersdag pilotstarter by KING
30062017 leveranciersdag pilotstarter30062017 leveranciersdag pilotstarter
30062017 leveranciersdag pilotstarter
KING477 views
Leveranciersbijeenkomst 20 april 2018 by VNG Realisatie
Leveranciersbijeenkomst 20 april 2018Leveranciersbijeenkomst 20 april 2018
Leveranciersbijeenkomst 20 april 2018
VNG Realisatie68 views
Keuzen voor samenwerking by Jo Horn
Keuzen voor samenwerkingKeuzen voor samenwerking
Keuzen voor samenwerking
Jo Horn816 views
Leveranciersbijeenkomst 20 april 2018 by VNG Realisatie
Leveranciersbijeenkomst 20 april 2018Leveranciersbijeenkomst 20 april 2018
Leveranciersbijeenkomst 20 april 2018
VNG Realisatie85 views
160401 Leveranciersdag KING by KING
160401 Leveranciersdag KING160401 Leveranciersdag KING
160401 Leveranciersdag KING
KING1.1K views
Presentatie CMS in de overheid by Marga van Rijssel
Presentatie CMS in de overheidPresentatie CMS in de overheid
Presentatie CMS in de overheid
Marga van Rijssel305 views
Actualiteiten ICT en Recht bij de start van 2017 by Robert Grandia
Actualiteiten ICT en Recht bij de start van 2017Actualiteiten ICT en Recht bij de start van 2017
Actualiteiten ICT en Recht bij de start van 2017
Robert Grandia461 views
Pagina 7 9 van od1702 by Jacques Duivenvoorden
Pagina 7 9 van od1702Pagina 7 9 van od1702
Pagina 7 9 van od1702
Jacques Duivenvoorden238 views
Meelzolder ronde 1 informatievoorziening en architectuur by CongresDA2020
Meelzolder ronde 1 informatievoorziening en architectuurMeelzolder ronde 1 informatievoorziening en architectuur
Meelzolder ronde 1 informatievoorziening en architectuur
CongresDA2020268 views
Ict Sd10 Strategische Studie Geintegreerd E Governement Lieven Raes by imec.archive
Ict Sd10 Strategische Studie Geintegreerd E Governement Lieven RaesIct Sd10 Strategische Studie Geintegreerd E Governement Lieven Raes
Ict Sd10 Strategische Studie Geintegreerd E Governement Lieven Raes
imec.archive557 views
26112016 Leveranciersdag KING by KING
26112016 Leveranciersdag KING26112016 Leveranciersdag KING
26112016 Leveranciersdag KING
KING185 views
151127 leveranciersbijeenkomst da2020 by KING
151127 leveranciersbijeenkomst da2020151127 leveranciersbijeenkomst da2020
151127 leveranciersbijeenkomst da2020
KING620 views
20160401 Leveranciersdag KING by KING
20160401 Leveranciersdag KING20160401 Leveranciersdag KING
20160401 Leveranciersdag KING
KING275 views
Leveranciersbijeenkomst digitale agenda2020 11092015 by KING
Leveranciersbijeenkomst digitale agenda2020 11092015Leveranciersbijeenkomst digitale agenda2020 11092015
Leveranciersbijeenkomst digitale agenda2020 11092015
KING844 views
Keuzen voor samenwerking 2 by Jo Horn
Keuzen voor samenwerking 2Keuzen voor samenwerking 2
Keuzen voor samenwerking 2
Jo Horn525 views
310317 Discussie leveranciersdag by KING
310317 Discussie leveranciersdag 310317 Discussie leveranciersdag
310317 Discussie leveranciersdag
KING81 views

Viewers also liked

Leeuwarden inrichting webcare jan 2014 by
Leeuwarden inrichting webcare jan 2014Leeuwarden inrichting webcare jan 2014
Leeuwarden inrichting webcare jan 2014KING
455 views3 slides
Zwolle rapport webcare jan 2014 by
Zwolle rapport webcare jan 2014Zwolle rapport webcare jan 2014
Zwolle rapport webcare jan 2014KING
533 views7 slides
Leeuwarden richtlijnen gebruik sociale media mei 2011 by
Leeuwarden richtlijnen gebruik sociale media mei 2011Leeuwarden richtlijnen gebruik sociale media mei 2011
Leeuwarden richtlijnen gebruik sociale media mei 2011KING
286 views2 slides
Leeuwarden handout tips & tricks social media by
Leeuwarden handout tips & tricks social mediaLeeuwarden handout tips & tricks social media
Leeuwarden handout tips & tricks social mediaKING
422 views6 slides
Groningen werkafspraken webcare 2013 by
Groningen werkafspraken webcare 2013Groningen werkafspraken webcare 2013
Groningen werkafspraken webcare 2013KING
605 views7 slides
Netwerkbijeenkomst monitor 1 dec impressie bijeenkomst by
Netwerkbijeenkomst monitor 1 dec impressie bijeenkomstNetwerkbijeenkomst monitor 1 dec impressie bijeenkomst
Netwerkbijeenkomst monitor 1 dec impressie bijeenkomstKING
289 views2 slides

Viewers also liked(20)

Leeuwarden inrichting webcare jan 2014 by KING
Leeuwarden inrichting webcare jan 2014Leeuwarden inrichting webcare jan 2014
Leeuwarden inrichting webcare jan 2014
KING455 views
Zwolle rapport webcare jan 2014 by KING
Zwolle rapport webcare jan 2014Zwolle rapport webcare jan 2014
Zwolle rapport webcare jan 2014
KING533 views
Leeuwarden richtlijnen gebruik sociale media mei 2011 by KING
Leeuwarden richtlijnen gebruik sociale media mei 2011Leeuwarden richtlijnen gebruik sociale media mei 2011
Leeuwarden richtlijnen gebruik sociale media mei 2011
KING286 views
Leeuwarden handout tips & tricks social media by KING
Leeuwarden handout tips & tricks social mediaLeeuwarden handout tips & tricks social media
Leeuwarden handout tips & tricks social media
KING422 views
Groningen werkafspraken webcare 2013 by KING
Groningen werkafspraken webcare 2013Groningen werkafspraken webcare 2013
Groningen werkafspraken webcare 2013
KING605 views
Netwerkbijeenkomst monitor 1 dec impressie bijeenkomst by KING
Netwerkbijeenkomst monitor 1 dec impressie bijeenkomstNetwerkbijeenkomst monitor 1 dec impressie bijeenkomst
Netwerkbijeenkomst monitor 1 dec impressie bijeenkomst
KING289 views
Doedag DA2020 Venlo 9 maart by KING
Doedag DA2020 Venlo 9 maart Doedag DA2020 Venlo 9 maart
Doedag DA2020 Venlo 9 maart
KING107 views
Doedag DA2020 Venlo 9 maart by KING
Doedag DA2020 Venlo 9 maart Doedag DA2020 Venlo 9 maart
Doedag DA2020 Venlo 9 maart
KING172 views
Doedag DA2020 Venlo 9 maart by KING
Doedag DA2020 Venlo 9 maart Doedag DA2020 Venlo 9 maart
Doedag DA2020 Venlo 9 maart
KING159 views
Doedag DA2020 Venlo 9 maart by KING
Doedag DA2020 Venlo 9 maart Doedag DA2020 Venlo 9 maart
Doedag DA2020 Venlo 9 maart
KING795 views
Doedag DA2020 Venlo 9 maart by KING
Doedag DA2020 Venlo 9 maart Doedag DA2020 Venlo 9 maart
Doedag DA2020 Venlo 9 maart
KING235 views
0903 Doedag Venlo presentatie authenticatie by KING
0903 Doedag Venlo presentatie authenticatie0903 Doedag Venlo presentatie authenticatie
0903 Doedag Venlo presentatie authenticatie
KING104 views
151105 praktijkmiddag weert creatief denken hokjesoefening by KING
151105 praktijkmiddag weert creatief denken hokjesoefening151105 praktijkmiddag weert creatief denken hokjesoefening
151105 praktijkmiddag weert creatief denken hokjesoefening
KING614 views
151013 praktijkmiddag schiedam gemeente rotterdam praatplaat by KING
151013 praktijkmiddag schiedam gemeente rotterdam praatplaat151013 praktijkmiddag schiedam gemeente rotterdam praatplaat
151013 praktijkmiddag schiedam gemeente rotterdam praatplaat
KING662 views
Masterclass Verkenning Data Lab, 8 februari 2017 by KING
Masterclass Verkenning Data Lab, 8 februari 2017Masterclass Verkenning Data Lab, 8 februari 2017
Masterclass Verkenning Data Lab, 8 februari 2017
KING408 views
151013 praktijkmiddag schiedam rotterdam 10 stappenplan clusteranalyse by KING
151013 praktijkmiddag schiedam rotterdam 10 stappenplan clusteranalyse151013 praktijkmiddag schiedam rotterdam 10 stappenplan clusteranalyse
151013 praktijkmiddag schiedam rotterdam 10 stappenplan clusteranalyse
KING397 views
Masterclass Privacy en Data Science donderdag 12 januari by KING
Masterclass Privacy en Data Science donderdag 12 januari Masterclass Privacy en Data Science donderdag 12 januari
Masterclass Privacy en Data Science donderdag 12 januari
KING711 views
Publicatie Nabij is beter - Jos van der Lans en Pieter Hilhorst by KING
Publicatie Nabij is beter - Jos van der Lans en Pieter HilhorstPublicatie Nabij is beter - Jos van der Lans en Pieter Hilhorst
Publicatie Nabij is beter - Jos van der Lans en Pieter Hilhorst
KING3.9K views
Groningen conceptnota sociale media jul 2013 by KING
Groningen conceptnota sociale media jul 2013Groningen conceptnota sociale media jul 2013
Groningen conceptnota sociale media jul 2013
KING638 views
Im in kaart gebracht (rik maes) by KING
Im in kaart gebracht (rik maes)Im in kaart gebracht (rik maes)
Im in kaart gebracht (rik maes)
KING1.2K views

Similar to Handreiking cloud overheden_taskforce_lr

KPN Cloud - whitepaper by
KPN Cloud - whitepaperKPN Cloud - whitepaper
KPN Cloud - whitepaperKPNZorg
520 views14 slides
Getronics whitepaper: Een evenwichtig Cloud standpunt by
Getronics whitepaper: Een evenwichtig Cloud standpunt Getronics whitepaper: Een evenwichtig Cloud standpunt
Getronics whitepaper: Een evenwichtig Cloud standpunt SAM Werkt
149 views4 slides
Naar cloud-actieve overheidsorganisaties by
Naar cloud-actieve overheidsorganisatiesNaar cloud-actieve overheidsorganisaties
Naar cloud-actieve overheidsorganisatiesdepous
393 views25 slides
OWD2011 - 2 - Aan de slag met cloud computing - Jocelyn Manderveld en Maartje... by
OWD2011 - 2 - Aan de slag met cloud computing - Jocelyn Manderveld en Maartje...OWD2011 - 2 - Aan de slag met cloud computing - Jocelyn Manderveld en Maartje...
OWD2011 - 2 - Aan de slag met cloud computing - Jocelyn Manderveld en Maartje...SURF Events
280 views27 slides
OWD2011 - 3 - Verdiepingssessie Cloud Computing - Jocelyn Manderveld en Maart... by
OWD2011 - 3 - Verdiepingssessie Cloud Computing - Jocelyn Manderveld en Maart...OWD2011 - 3 - Verdiepingssessie Cloud Computing - Jocelyn Manderveld en Maart...
OWD2011 - 3 - Verdiepingssessie Cloud Computing - Jocelyn Manderveld en Maart...SURF Events
374 views27 slides
Fex 131104 - whitepaper cloud architectuur innervate - hoe integreer je de ... by
Fex 131104 - whitepaper cloud architectuur innervate - hoe integreer je de ...Fex 131104 - whitepaper cloud architectuur innervate - hoe integreer je de ...
Fex 131104 - whitepaper cloud architectuur innervate - hoe integreer je de ...Flevum
616 views17 slides

Similar to Handreiking cloud overheden_taskforce_lr(20)

KPN Cloud - whitepaper by KPNZorg
KPN Cloud - whitepaperKPN Cloud - whitepaper
KPN Cloud - whitepaper
KPNZorg520 views
Getronics whitepaper: Een evenwichtig Cloud standpunt by SAM Werkt
Getronics whitepaper: Een evenwichtig Cloud standpunt Getronics whitepaper: Een evenwichtig Cloud standpunt
Getronics whitepaper: Een evenwichtig Cloud standpunt
SAM Werkt149 views
Naar cloud-actieve overheidsorganisaties by depous
Naar cloud-actieve overheidsorganisatiesNaar cloud-actieve overheidsorganisaties
Naar cloud-actieve overheidsorganisaties
depous393 views
OWD2011 - 2 - Aan de slag met cloud computing - Jocelyn Manderveld en Maartje... by SURF Events
OWD2011 - 2 - Aan de slag met cloud computing - Jocelyn Manderveld en Maartje...OWD2011 - 2 - Aan de slag met cloud computing - Jocelyn Manderveld en Maartje...
OWD2011 - 2 - Aan de slag met cloud computing - Jocelyn Manderveld en Maartje...
SURF Events280 views
OWD2011 - 3 - Verdiepingssessie Cloud Computing - Jocelyn Manderveld en Maart... by SURF Events
OWD2011 - 3 - Verdiepingssessie Cloud Computing - Jocelyn Manderveld en Maart...OWD2011 - 3 - Verdiepingssessie Cloud Computing - Jocelyn Manderveld en Maart...
OWD2011 - 3 - Verdiepingssessie Cloud Computing - Jocelyn Manderveld en Maart...
SURF Events374 views
Fex 131104 - whitepaper cloud architectuur innervate - hoe integreer je de ... by Flevum
Fex 131104 - whitepaper cloud architectuur innervate - hoe integreer je de ...Fex 131104 - whitepaper cloud architectuur innervate - hoe integreer je de ...
Fex 131104 - whitepaper cloud architectuur innervate - hoe integreer je de ...
Flevum616 views
Keuzes en risico’s in het gebruik van clouddiensten - Jocelyn Manderveld, Mic... by SURF Events
Keuzes en risico’s in het gebruik van clouddiensten - Jocelyn Manderveld, Mic...Keuzes en risico’s in het gebruik van clouddiensten - Jocelyn Manderveld, Mic...
Keuzes en risico’s in het gebruik van clouddiensten - Jocelyn Manderveld, Mic...
SURF Events1.1K views
Op naar de cloud! - Hans Nouwens, Jocelyn Manderveld - OWD14 by SURF Events
Op naar de cloud! - Hans Nouwens, Jocelyn Manderveld - OWD14Op naar de cloud! - Hans Nouwens, Jocelyn Manderveld - OWD14
Op naar de cloud! - Hans Nouwens, Jocelyn Manderveld - OWD14
SURF Events1K views
Whitepaper privacy in de cloud by Rolf Kuijpers
Whitepaper privacy in de cloudWhitepaper privacy in de cloud
Whitepaper privacy in de cloud
Rolf Kuijpers888 views
Edubloggers 30 08-2012 jan bakker SURFmarket by SURFnet
Edubloggers 30 08-2012 jan bakker SURFmarketEdubloggers 30 08-2012 jan bakker SURFmarket
Edubloggers 30 08-2012 jan bakker SURFmarket
SURFnet635 views
Regie op de regie organisatie by Rob Smit
Regie op de regie organisatieRegie op de regie organisatie
Regie op de regie organisatie
Rob Smit3.2K views
Nieuw Licht op Shadow IT by Jeroen Philippi
Nieuw Licht op Shadow ITNieuw Licht op Shadow IT
Nieuw Licht op Shadow IT
Jeroen Philippi141 views
Nieuw licht op shadow it by Jeroen Philippi
Nieuw licht op shadow itNieuw licht op shadow it
Nieuw licht op shadow it
Jeroen Philippi331 views
Klaar voor de cloud – Andres Steijaert - SNRD2016 by SURFnet
Klaar voor de cloud – Andres Steijaert - SNRD2016Klaar voor de cloud – Andres Steijaert - SNRD2016
Klaar voor de cloud – Andres Steijaert - SNRD2016
SURFnet579 views
Fex 131104 - presentatie innervate - masterclass cloud ict flevum executive by Flevum
Fex 131104 - presentatie innervate - masterclass cloud ict flevum executiveFex 131104 - presentatie innervate - masterclass cloud ict flevum executive
Fex 131104 - presentatie innervate - masterclass cloud ict flevum executive
Flevum559 views
Presentatie IT Room Infra by Interconnect Services
Presentatie IT Room Infra Presentatie IT Room Infra
Presentatie IT Room Infra
Interconnect Services 311 views
Workinprogress - Handreiking cloud by KING
Workinprogress - Handreiking cloudWorkinprogress - Handreiking cloud
Workinprogress - Handreiking cloud
KING475 views
CloudOS_boekje by Herman Keijzer
CloudOS_boekjeCloudOS_boekje
CloudOS_boekje
Herman Keijzer229 views
Grip op Coalitievorming als Innovatiemiddel - Sir Bakx - HO-link 2015 by HOlink
Grip op Coalitievorming als Innovatiemiddel - Sir Bakx - HO-link 2015Grip op Coalitievorming als Innovatiemiddel - Sir Bakx - HO-link 2015
Grip op Coalitievorming als Innovatiemiddel - Sir Bakx - HO-link 2015
HOlink414 views
De connected OV medewerker by Kelly Pauw
De connected OV medewerkerDe connected OV medewerker
De connected OV medewerker
Kelly Pauw359 views

More from KING

Presentatie gemeenten en leveranciers nieuwe rollen, nieuwe kansen leverancie... by
Presentatie gemeenten en leveranciers nieuwe rollen, nieuwe kansen leverancie...Presentatie gemeenten en leveranciers nieuwe rollen, nieuwe kansen leverancie...
Presentatie gemeenten en leveranciers nieuwe rollen, nieuwe kansen leverancie...KING
1.3K views29 slides
Presentatie dso leveranciersdag 17 november by
Presentatie dso leveranciersdag 17 novemberPresentatie dso leveranciersdag 17 november
Presentatie dso leveranciersdag 17 novemberKING
595 views19 slides
Presentatie sturing op digitale dienstverlening leveranciersdag 17 november by
Presentatie sturing op digitale dienstverlening leveranciersdag 17 novemberPresentatie sturing op digitale dienstverlening leveranciersdag 17 november
Presentatie sturing op digitale dienstverlening leveranciersdag 17 novemberKING
312 views28 slides
Presentatie(deel 2) Visie stelseldiensten leveranciersbijeenkomst 17 november by
Presentatie(deel 2) Visie stelseldiensten leveranciersbijeenkomst 17 novemberPresentatie(deel 2) Visie stelseldiensten leveranciersbijeenkomst 17 november
Presentatie(deel 2) Visie stelseldiensten leveranciersbijeenkomst 17 novemberKING
150 views4 slides
Presentatie Visie stelseldiensten leveranciersbijeenkomst 17 november by
Presentatie Visie stelseldiensten leveranciersbijeenkomst 17 novemberPresentatie Visie stelseldiensten leveranciersbijeenkomst 17 november
Presentatie Visie stelseldiensten leveranciersbijeenkomst 17 novemberKING
258 views15 slides
Presentatie Api drechtsteden King leveranciersdag 17 november by
Presentatie Api drechtsteden King leveranciersdag 17 november Presentatie Api drechtsteden King leveranciersdag 17 november
Presentatie Api drechtsteden King leveranciersdag 17 november KING
455 views23 slides

More from KING(20)

Presentatie gemeenten en leveranciers nieuwe rollen, nieuwe kansen leverancie... by KING
Presentatie gemeenten en leveranciers nieuwe rollen, nieuwe kansen leverancie...Presentatie gemeenten en leveranciers nieuwe rollen, nieuwe kansen leverancie...
Presentatie gemeenten en leveranciers nieuwe rollen, nieuwe kansen leverancie...
KING1.3K views
Presentatie dso leveranciersdag 17 november by KING
Presentatie dso leveranciersdag 17 novemberPresentatie dso leveranciersdag 17 november
Presentatie dso leveranciersdag 17 november
KING595 views
Presentatie sturing op digitale dienstverlening leveranciersdag 17 november by KING
Presentatie sturing op digitale dienstverlening leveranciersdag 17 novemberPresentatie sturing op digitale dienstverlening leveranciersdag 17 november
Presentatie sturing op digitale dienstverlening leveranciersdag 17 november
KING312 views
Presentatie(deel 2) Visie stelseldiensten leveranciersbijeenkomst 17 november by KING
Presentatie(deel 2) Visie stelseldiensten leveranciersbijeenkomst 17 novemberPresentatie(deel 2) Visie stelseldiensten leveranciersbijeenkomst 17 november
Presentatie(deel 2) Visie stelseldiensten leveranciersbijeenkomst 17 november
KING150 views
Presentatie Visie stelseldiensten leveranciersbijeenkomst 17 november by KING
Presentatie Visie stelseldiensten leveranciersbijeenkomst 17 novemberPresentatie Visie stelseldiensten leveranciersbijeenkomst 17 november
Presentatie Visie stelseldiensten leveranciersbijeenkomst 17 november
KING258 views
Presentatie Api drechtsteden King leveranciersdag 17 november by KING
Presentatie Api drechtsteden King leveranciersdag 17 november Presentatie Api drechtsteden King leveranciersdag 17 november
Presentatie Api drechtsteden King leveranciersdag 17 november
KING455 views
Presentatie Geo basisregistraties en omvorming tot objectregistraties by KING
Presentatie Geo basisregistraties en omvorming tot objectregistratiesPresentatie Geo basisregistraties en omvorming tot objectregistraties
Presentatie Geo basisregistraties en omvorming tot objectregistraties
KING1.4K views
Presentatie leveranciersdag klantreizen en serviceformules omgevingswet novem... by KING
Presentatie leveranciersdag klantreizen en serviceformules omgevingswet novem...Presentatie leveranciersdag klantreizen en serviceformules omgevingswet novem...
Presentatie leveranciersdag klantreizen en serviceformules omgevingswet novem...
KING260 views
GGI werksessie oktober en november by KING
GGI werksessie oktober en novemberGGI werksessie oktober en november
GGI werksessie oktober en november
KING563 views
Doe dagen najaar 2017 identificatie by KING
Doe dagen najaar 2017 identificatieDoe dagen najaar 2017 identificatie
Doe dagen najaar 2017 identificatie
KING381 views
Doe dagen najaar 2017 doorontwikeling roadmap by KING
Doe dagen najaar 2017 doorontwikeling roadmap Doe dagen najaar 2017 doorontwikeling roadmap
Doe dagen najaar 2017 doorontwikeling roadmap
KING298 views
Doe dagen najaar 2017 adressen op orde by KING
Doe dagen najaar 2017 adressen op ordeDoe dagen najaar 2017 adressen op orde
Doe dagen najaar 2017 adressen op orde
KING225 views
Doedagen najaar 2017 identificatie by KING
Doedagen najaar 2017 identificatieDoedagen najaar 2017 identificatie
Doedagen najaar 2017 identificatie
KING106 views
Doedagen najaar 2017 blockchain game by KING
Doedagen najaar 2017 blockchain game Doedagen najaar 2017 blockchain game
Doedagen najaar 2017 blockchain game
KING413 views
Doedagen najaar 2017 open raadsinfo by KING
Doedagen najaar 2017 open raadsinfoDoedagen najaar 2017 open raadsinfo
Doedagen najaar 2017 open raadsinfo
KING329 views
Doedagen najaar 2017 omgevingswet checklist dso by KING
Doedagen najaar 2017 omgevingswet checklist dso Doedagen najaar 2017 omgevingswet checklist dso
Doedagen najaar 2017 omgevingswet checklist dso
KING316 views
Doedagen najaar 2017 landelijke online dienstverlening by KING
Doedagen najaar 2017 landelijke online dienstverleningDoedagen najaar 2017 landelijke online dienstverlening
Doedagen najaar 2017 landelijke online dienstverlening
KING249 views
Doedagen najaar 2017 eerste hulp bij de invoering van zaakgericht werken by KING
Doedagen najaar 2017 eerste hulp bij de invoering van zaakgericht werken Doedagen najaar 2017 eerste hulp bij de invoering van zaakgericht werken
Doedagen najaar 2017 eerste hulp bij de invoering van zaakgericht werken
KING223 views
Doe dagen najaar 2017 AVG by KING
Doe dagen najaar 2017 AVGDoe dagen najaar 2017 AVG
Doe dagen najaar 2017 AVG
KING372 views
Doedagen najaar 2017 e factureren by KING
Doedagen najaar 2017 e factureren Doedagen najaar 2017 e factureren
Doedagen najaar 2017 e factureren
KING307 views

Handreiking cloud overheden_taskforce_lr

  • 2. inhoudsopgave Voorwoord 3 achtergrond en doel van de handreiking 5 samenvatting 9 Cloud computing, wat is het eigenlijk? 15 De voor- en nadelen van Cloud computing 21 Samenwerken als overheid 31 Belangrijke waarborgen en afspraken met leveranciers 35 Bijlage: bronnen handreiking cloud computing 39 1 2 3 4 5 + 1 Deze Handreiking Cloud computing voor medeOverheden wordt u aangeboden door: Erik Jungerius, directeur bedrijfsvoering, provincie Overijssel Maarten Schurink, gemeentesecretaris, gemeente Utrecht Paul Spaan, directeur bedrijfsvoering, waterschap Vallei en Veluwe
  • 3. voorwoord Oktober 2014 Bestuurders en topmanagers van de verschillende overheidslagen, koepelorgani-saties en bij informatieveiligheid betrokken gremia hebben de afgelopen twee jaar samen met de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) samengewerkt om de sturing op en de verankering van informatieveiligheid binnen de overheid verder te brengen. Dit initiatief hebben wij als trekkers van deze handreiking vanuit onze respectievelijke overheidsposities met betrokkenheid en enthousiasme gevolgd. Het op orde brengen van informatieveiligheid vraagt een blijvende inspanning. Net zolang tot we kunnen zeggen dat het onderwerp business as usual is geworden. Als dat natuurlijk al zou kunnen, want er is geen wereld die zich zo snel ontwik-kelt als het digitale landschap. Ontwikkelingen als Big Data, Open Data, Cloud Computing, Smart Cities en zo meer, vragen op continue basis om handelingsper-spectieven. Perspectieven die ons helpen als overheid niet alleen slim, maar ook alert te zijn… en te blijven. Cloud Computing is een mooi voorbeeld van een on-derwerp, waarbij in het licht van informatieveiligheid de behoefte is gegroeid om een gezamenlijk handelingsperspectief te ontwikkelen. Daarbij speelt ongetwijfeld mee dat het gebruik van Cloud Computing inmiddels een ontwikkeling is die in rap tempo ons dagelijks leven binnentreedt (denk aan: streaming van film en mu-ziekdiensten via Netflix en Spotify). In veel overheidsorganisaties wordt bewust, maar vaak ook minder bewust, via derde partijen, dagelijks gebruik gemaakt van Cloud-diensten (denk aan Dropbox). Waarbij de kennis van (veiligheids)risico’s niet altijd voldoende aanwezig is. In de voorliggende handreiking is een aanzet gedaan voor enkele concrete handvat-ten om de kennis- en gedachtenvorming aangaande het gebruik van Cloud-dien-sten in het licht van informatieveiligheid verder aan te scherpen. Gebaseerd op de kennis van vandaag en derhalve blijvend in ontwikkeling. Laten we die ontwikke-ling vanuit bestuurlijk en ambtelijk perspectief blijven volgen en ook zelf prikkelen, te beginnen door het benutten en verder verspreiden van deze handreiking. Erik Jungerius, Maarten Schurink en Paul Spaan 2 3
  • 4. van de handreiking Ach-ter-grond en doel van de hand Achtergrond en doel Deze handreiking heeft als thema ‘Cloud Computing’. De handreiking is be-doeld voor bestuurders en topmanagers van medeoverheden die de kansen en mogelijkheden die Cloud Computing biedt, willen verkennen en beter willen toepassen. Het is een handreiking voortgekomen uit de concrete behoefte van bestuurders om meer zicht te krijgen op het onderwerp Cloud Computing en de sturing daarop te verbeteren.1 Waarom? Cloud Computing is een complex onderwerp, met een diversiteit aan facetten die afhankelijk van de toepassing positief, maar ook negatief kunnen uitwerken. Bovendien kent deze technologie een aantal risico’s waar over de jaren heen nog geen of beperkte mitigerende maatregelen voor zijn bedacht. De risico’s liggen onder meer op het terrein van informatieveiligheid en privacy, welke garanties kunnen bijvoorbeeld op dat vlak afgegeven worden als niet bekend is waar de data staan in de Cloud van de leverancier en wie – naast de eigenaar van de dataset - nog meer onbevoegd bij de data kunnen. Wat biedt deze handreiking u concreet? Deze handreiking voor medeoverheden is een toepasbare ‘wegwijzer’ rondom de toepassing van Cloud Computing met daarbij verwijzingen naar de relevan-te beleidskaders, normenkaders en huidige richtlijnen waar overheden mee te maken hebben.2 De handreiking biedt u bovendien een handzaam kader voor gedachtevorming en tot slot een lijst met afwegingen voor een veilige en verant-woorde toepassing van Cloud Computing. De handreiking is nadrukkelijk niet bedoeld als toetsingskader dan wel vervan-ging van bestaand beleid en strategieën. Het biedt, ook voor overheden die al verder zijn in deze ontwikkeling, wel een kader dat de dialoog over Cloud bevordert. 5 ? ! 4
  • 5. Niet onbelangrijk; deze handreiking biedt een eerste, niet uitputtend, overzicht gebaseerd op de huidige stand van zaken en beschikbare kennis en documentatie. Cloud Computing ontwikkelt zich snel, net als (de discussie over) de toepassing ervan, en dient dus op regelmatige basis herijkt te worden. De Europese Commissie/DG Connect heeft een onderzoek gedaan naar de toepassing van Cloud Computing bij verschillende overheden binnen de Europese Unie. Uit dit onderzoek blijkt dat veel verschillen-de keuzes zijn te maken als het gaat om het toepassen van Cloud Computing binnen de overheid, ieder met eigen voor- en nadelen.3 Dit bevestigt dat een eenduidig antwoord voor het gebruik van Cloud Computing binnen de overheid vooralsnog niet mogelijk is. DG Connect werkt onder meer samen met overheden en private partijen, aan een Code of Conduct met als doel de markt van Cloud Computing meer open en transparant te maken. 1 De Actie-Agenda Informatieveiligheid is op initiatief van de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) in februari 2014 opgesteld in samenwerking met ruim 50 bestuurders en topmanagers uit overheid en bedrijfsleven. 2 Het Rijk baseert haar huidige beleid en uitvoering ten aanzien van Cloud Computing op de Rijkscl-oudstrategie (www.rijksoverheid.nl/bestanden/documenten-en-publicaties/kamerstukken/2011/04/20/ kamerbrief-over-cloud-computing/kamerbrief-over-cloud-computing.pdf) en de i-Strategie (www.rijksoverheid.nl/bestanden/documenten-en-publicaties/kamerstukken/2011/11/15/kamerbrief-informatiseringstrategie- rijk/kamerbrief-informatiseringstrategie-rijk.pdf). 3 Cloud for the public sector Study Report (European Commission, 2013). 6 7
  • 6. samenvatting Deze handreiking is een voor medeoverheden toepasbare ‘wegwijzer’ rondom de toepassing van Cloud Computing, met daarbij verwijzingen naar de relevante beleidskaders, normenkaders en huidige richtlijnen waar overheden mee te maken hebben. Het biedt ook een semantisch denkkader om hierover het gesprek aan te gaan. De handreiking is nadrukkelijk niet bedoeld als toetsingskader dan wel vervanging van bestaand beleid en strategieën. Cloud Computing is het (veelal) via het internet op aanvraag gebruik kunnen maken van hardware, software en gegevens. Cloud Computing zorgt ervoor dat gewenste dienstverlening of gegevens plaatsonafhankelijk, snel en gemakkelijk beschikbaar zijn. 4 Het verschuiven van grote investeringen naar ‘huren op maat’ en ‘besparen op onderhoudskosten’. 4 Het overal en altijd eenvoudig en zelfstandig kunnen aanvragen van ICT-diensten. 4 Het eenvoudig, snel en flexibel opschalen, dan wel afbouwen van ICT-diensten. 4 De mogelijkheid tot het delen van opslag- en rekencapaciteit met andere interne) gebruikers van de Cloud Computing. Cloud Computing kent verschillende verschijningsvormen: 4 De Publieke Cloud: dit zijn generieke Cloud-producten die in principe door elke organisatie of elke persoon gratis of via betaling kunnen worden afgenomen. 4 De Private Cloud: dit is een Cloud-infrastructuur die voor/door één organisatie wordt beheerd en die met name interessant is voor organisaties met een grote omvang. 4 De Community Cloud: dit is een gemeenschappelijke Cloud-infrastructuur waar verschillende organisaties uit één branche en met dezelfde belangen de infrastructuur en de Cloud-diensten delen. 4 De Hybride Cloud: afhankelijk van de Cloud-dienst kan gekozen worden voor een combinatie van bovenstaande Cloud-vormen. Hierdoor kunnen dus meer Cloud-vormen met elkaar verbonden worden binnen één organisatie. 1 9 8
  • 7. 2. Integriteit en gegevens Waar zitten voor de gegevens van uw organisatie de belangrijkste risico’s ten aanzien van integriteit (onweerlegbaarheid)? En, welke afspraken kunt u maken met uw leverancier om deze te mitigeren? 3. Vertrouwelijkheid van gegevens Hoe belangrijk is het dat de digitale gegevens van uw organisatie vertrouwelijk blijven en niet door onbevoegden kunnen worden ingezien? In hoeverre zijn hierover afspraken te maken met uw leverancier om deze risico’s te mitigeren? Is het mogelijk met versleutelde gegevens te werken? 4. Privacy en land van vestiging leverancier Uw organisatie moet rekening houden met de privacywetgeving. Weet u waar bij uw Cloud-aanbieder de gegevens opgeslagen staan (ook in het buitenland?) en wie tot die gegevens toegang heeft? 5. Compliancy leverancier Weet u aan welke wet- en regelgeving, bijvoorbeeld met betrekking tot informatiebeveiliging, uw Cloud-leverancier voldoet? Welk beleid voert uw leverancier uit om veiligheidsrisico’s in de Cloud, zoals lekken van informatie, te voorkomen en sluit dit aan bij de normen die voor uw organisatie gelden op het gebied van informatieveiligheid en/of specifiek beleid over het gebruik van Cloud Computing? 6. Continuïteit dienstverlening Hoe belangrijk is het dat de gegevens van uw organisatie bewaard blijven en hoe erg is het wanneer deze verloren gaan? Is er een uitwijkregeling mogelijk en hoe lang duurt herstel? 7. Controle en zeggenschap over uw gegevens Weet u zeker dat de gegevens van uw organisatie ook uw gegevens blijven? Of mag uw Cloud-leverancier uw gegevens gebruiken voor andere doeleinden zonder toestemming van uw organisatie? 1 11 Cloud Computing kent enkele specifieke risico’s waardoor een overstap niet al-tijd vanzelfsprekend is. De keuze voor Cloud Computing vraagt per casus om een afweging op strategisch niveau. Lastig aspect bij deze afweging, is dat de voordelen van Cloud Computing in de meeste gevallen duidelijk en vaak kwantificeerbaar zijn in tijd en geld, terwijl de risico’s veelal kwalitatief van aard zijn en derhalve aanzienlijk minder zichtbaar. Zo kent het een aantal specifie-ke risicokenmerken van technische, organisatorische en juridische aard. Cloud-leveranciers maken vaak gebruik van verschillende (gekoppelde) servers om de Cloud-diensten te kunnen leveren. Als afnemer heeft u daardoor mogelijk min-der controle en kennis over waar ‘de eigen gegevens’ precies staan opgeslagen. Hierbij is het wel van belang een onderscheid te maken tussen het inzetten van Cloud Computing binnen de eigen ICT-infrastructuur, binnen een volledig uitbe-stede traditionele ICT-infrastructuur (zoals deze door de ‘reguliere ICT-leveran-ciers’ wordt geleverd) en binnen een Cloud-gebaseerde ICT-infrastructuur (zoals deze door ‘Cloud-leveranciers’ wordt geleverd: Amazon, Google, Microsoft, et cetera.). Dat is mede bepalend voor de mate waarin het mogelijk is om controle en kennis te hebben over waar ‘de eigen gegevens’ precies staan opgeslagen. Daarbij wordt er in alle gevallen gevraagd om passende afspraken en waarbor-gen. Samenwerking stelt overheden bovendien in staat om de regie op, controle over en de inkoop van de Cloud te bundelen. Deze bundeling zorgt tevens voor een sterkere positie ten opzichte van de leverancier(s). Bovendien bevordert samen-werking onder meer de uniformiteit van de infrastructuur en bij het gebruik van (beveiligings)standaarden en –normen voor Cloud Computing Op welke zaken moet u nu letten en welke vragen dient u te stellen als u over-weegt de Cloud te gebruiken? 1. Maatwerk Is maatwerk noodzakelijk of kan mijn organisatie uit de voeten met de standaarddiensten die momenteel door Cloud-leveranciers worden aangeboden? Bent u op de hoogte van welke Cloud-diensten uw organisatie gebruikmaakt en waarvoor? 10
  • 8. 1 13 12 8. Beschikbaarheid gegevens en dienstverlening Is 100% beschikbaarheid van uw gegevens altijd gewenst? Wanneer heeft uw organisatie de gegevens nodig en wanneer niet? 9. Overstappen van leverancier Wilt uw organisatie ooit van Cloud-leverancier kunnen wisselen? En heeft u hiervoor ook de waarborgen, bijvoorbeeld met betrekking tot het migreren van datasets, contractueel geregeld die nodig zijn om over te kunnen overstappen? En heeft u daarvan de kosten in beeld? Ongeacht de vorm van Cloud Computing, is het belangrijk dat u met leveran-ciers afspraken maakt om de voordelen van Cloud-oplossingen ook echt te kun-nen benutten. Een eerste inventarisatie laat zien dat hierbij de volgende vier stuurvragen relevant zijn: 1. Hoe realiseren we de potentiële voordelen van de Cloud? (schaalbaarheid, flexibiliteit, kostenbesparing, et cetera) 2. Hoe borgen we de informatiebeveiliging en privacy in de Cloud? 3. Hoe ziet onze exit-strategie eruit, voor als we om welke reden dan ook het contract willen beëindigen en/of de leverancier niet meer kan leveren? 4. Hoe kunnen we ons het best verantwoorden over het gebruik van de Cloud? Deze vragen zijn in deze handreiking verder uitgewerkt, om met uw eigen organisatie en leveranciers van Cloud-diensten het gesprek aan te kunnen gaan. Dit naast de reguliere vragen, die van toepassing zijn bij het uitbe-steden van ICT-diensten, zoals personele en organisatorische consequen-ties, integratie met bestaande ICT-dienstverlening, et cetera.
  • 9. Cloud computing, wat is het eigenlijk? 2. Cloud compu-ting, wat is het ei-gen-lijk? Cloud Computing, is het (veelal) via het internet op aanvraag gebruik kunnen maken van hardware, software en gegevens.1 Cloud Computing zorgt ervoor dat gewenste dienstverlening of gegevens plaats onafhankelijk, snel en gemakkelijk beschikbaar zijn. Dit met weinig inspanning van de organisatie zelf en middels geringe interactie met de leverancier. Met behulp van de Cloud Computing kunt u als privépersoon en ook als organisatie snel en gemakkelijk gebruikmaken van bij-voorbeeld e-mail, opslagcapaciteit, diverse softwarepakketten en diverse vormen van dienstverlening. 2 @ Cloud computing, een vorm van ICT-dienstverlening? Een eerste rondvraag laat zien dat bestuurders en topmanagers Cloud Computing vooral aantrekkelijk vinden, omdat het u als overheidsorganisatie lijkt te ontzorgen en te vrijwaren van ICT-taken en -bemensing. Cloud Computing is daarmee vanuit het perspectief van bestuurders en topmanagers vaak onderdeel van een efficiency en van een (out)sourcings-vraagstuk. Het is vanuit dit perspectief onderdeel van de vraag ‘of de organisatie de levering en het beheer van ICT-diensten bij externe partijen kan beleggen?’. En in het verlengde van deze vraag, ‘op welke manier Cloud Computing hierbij een oplossing kan bieden?’. Het gaat in deze handreiking specifiek om deze laatste vraag te helpen beantwoorden, waarbij de keuze voor Cloud Computing niet vanuit een technisch oogpunt wordt benaderd, maar vooral als een vorm van ICT-dienstverlening met specifieke voor- en nadelen. Daarmee is het meer dan een ‘plat’ (out)sourcings-vraagstuk. Hierbij is het wel van belang een onderscheid te maken tussen het inzetten van Cloud Computing binnen de eigen ICT-infrastructuur, binnen een volledig uitbestede traditionele ICT-infrastructuur (zoals deze door de ‘reguliere ICT-leveranciers’ wordt geleverd) en binnen een Cloud gebaseerde ICT-infrastructuur (zoals deze door ‘Cloud-leveranciers’ wordt geleverd, bijvoorbeeld Amazon, Google en Microsoft). Dat is mede bepalend voor de mate waarin het mogelijk is om controle en kennis te hebben over waar ‘de eigen gegevens’ precies staan opgeslagen. Daarbij wordt er in alle gevallen gevraagd om passende afspraken en waarborgen. 15 14
  • 10. De karakteristieken van Cloud computing In positieve zin heeft Cloud Computing een aantal geheel eigen karakteristieken. Zo zijn door Cloud Computing ontsloten producten en diensten bijvoorbeeld van-uit iedere willekeurige locatie te benaderen door de gebruiker. Met behulp van Cloud Computing kunt u bovendien snel en eenvoudig toegang krijgen tot ge-gevens en systemen die u voor uw werk nodig heeft. Vaak zijn Cloud-applicaties benaderbaar via pc, tablet en mobiele apparatuur. Andere unieke karakteristieken van Cloud Computing zijn: 4 Het verschuiven van grote investeringen naar ‘huren op maat’ en ‘besparen op onderhoudskosten’. Dit wordt mede mogelijk vanwege het automatisch meten van het Cloud-gebruik, zodat de prijs per eenheid precies bekend is. 4 Het overal en altijd eenvoudig en zelfstandig kunnen aanvragen van ICT-dien-sten. 4 Het eenvoudig, snel en flexibel opschalen dan wel afbouwen van ICT-diensten. 4 De mogelijkheid tot het delen van opslag- en rekencapaciteit met andere (interne) gebruikers van Cloud Computing. De risicokenmerken van de Cloud Cloud Computing heeft ook een aantal specifieke risicokenmerken. Deze risico’s zijn niet alleen technisch, maar ook organisatorisch en juridisch van aard. Immers, Cloud-leveranciers maken vaak gebruik van verschillende (gekoppelde) servers om de Cloud-diensten te kunnen leveren. Als afnemer heeft u daardoor minder controle en kennis over waar ‘de eigen gegevens’ precies staan opgeslagen. Wanneer u als overheidsorganisatie met gevoelige gegevens werkt, is controle hierover uiteraard van groot belang. Mocht u Cloud Computing overwegen, dan is het slim om per casus de risico’s af te wegen. In hoofdstuk 3 worden alle risico’s besproken en uit-gebreid toegelicht. ! x Bij Cloud computing worden in het algemeen drie ‘lagen’ ofwel service-modellen onderkend: Infrastructuur as a Service (IaaS): hierbij wordt de apparatuur van het eigen rekencentrum vervangen door een Cloud-oplossing. Er wordt opslagcapaciteit en rekenkracht naar behoefte afgenomen. Platform as a Service (PaaS): dit model is een uitbreiding op IaaS. De gebruiker neemt een complete ICT-hardwareomgeving via de Cloud af. Hierin zijn ook elementen als een besturingssysteem, database, et cetera opgenomen. Applicatiesoftware maakt géén deel uit van PaaS. Software as a Service (Saas): dit model is een uitbreiding op PaaS. Hierbij neemt de gebruiker ook de functionaliteiten van een applica-tie af (lees: software), naast de ICT-apparatuur en het ICT-platform. Ontwikkelingen die het gebruik van Cloud computing beïnvloeden: • Naarmate Het Nieuwe Werken (plaats- en tijdonafhankelijk) meer gemeengoed gaat worden, zal de behoefte aan samenwerkings-hulpmiddelen toenemen. Deze tools worden vaak aangeboden als een Cloud-dienst. • Veel leveranciers van software gaan over van het installeren van software bij de klant naar een Cloud-aanbieding, een zogenaamde Software as a Service/ SaaS-oplossing. • Er wordt door overheden veelvuldig in ketens samengewerkt met zowel publieke als private partijen die van Cloud Computing gebruik kunnen maken. De gegevens die met deze organisaties worden uit-gewisseld, verplaatsen op deze manier, wanneer daar geen afspra-ken over worden gemaakt, ‘als vanzelf’ naar de Cloud. 2 16 17
  • 11. 2 19 18 Cloud computing kent verschillende verschijningsvormen: • De Publieke Cloud: dit zijn generieke Cloud-diensten die in princi-pe door elke organisatie of persoon gratis of via betaling kunnen worden afgenomen. • De Private Cloud: dit is een Cloud-dienst die voor/door één organi-satie wordt beheerd en die met name interessant is voor organisa-ties met een grote omvang. • De Community Cloud: dit is een gemeenschappelijke Cloud-dienst waar verschillende organisaties uit één branche en met dezelfde belangen de infrastructuur en de Cloud-diensten delen. • De Hybride Cloud: afhankelijk van de Cloud-dienst kan gekozen worden voor een combinatie van bovenstaande Cloud-vormen. Hierdoor kunnen dus meer Cloud-vormen met elkaar verbonden worden binnen één organisatie. In hoofdstuk 3 gaan we – vanuit het perspectief van de overheid - dieper in op de voor- en nadelen van bovenstaande verschijningsvormen. 1 In het geval van de Rijkscloud is toegang mogelijk via Rijksoverheidsnetwerk (RON2.0).
  • 12. 3. De voor-en De voor- en nadelen van Cloud computing na-delen De voor-en nadelen van Cloud Computing leggen we u uit aan de hand van een drietal perspectieven: Wat is het verschil tussen Cloud computing en meer traditionele vormen van uitbesteding? Tussen uitbesteding op basis van Cloud Computing en uitbesteding op basis van meer traditionele vormen zit in de kern eigenlijk weinig verschil als het gaat om de voor- en nadelen voor uw organisatie. Ontzorging, kostenbesparing, meer effi-ciency van Cl-oud comput en flexibiliteit zijn vier van de belangrijkste voordelen waarom organisaties vaak denken aan uitbesteding. Bovendien kan een voordeel zijn dat u zo als or-ganisatie expertise in huis haalt, al dan niet gekoppeld aan mensen (beschikbaar-heid), waarover u in uw eigen organisatie niet beschikt of kunt beschikken. Hebben we het over de nadelen, dan gaat het bij uitbesteding vooral om: 4 De grotere afhankelijkheid van uw organisatie van (het functioneren van) de leverancier (beheer en beheersing). 4 De gevolgen voor ICT-personeel binnen uw eigen organisatie (HRM). 4 De consequenties in geval uw leverancier failliet gaat en het hierbij horende continuïteitsvraagstuk (dienstverlening). 4 De vraag hoe u uw verantwoordelijkheid over de uitbestede gegevens succes-vol handen en voeten geeft. Voor reguliere ICT-outsourcing geldt net zo goed als voor uitbesteding middels Cloud Computing, dat het risico dat vertrouwelijke informatie kan worden gelekt altijd aanwezig is. Een verschil tussen beide is er overigens ook. In geval van Cloud Computing beoordeelt u in principe of de dienst die wordt geleverd voldoet aan uw eisen, terwijl bij reguliere ICT-uitbestedingen de leverancier gevraagd wordt om, vaak op maat, te leveren naar de wensen van uw organisatie. 21 A 3 20
  • 13. B 22 schrijft, uitgeeft of doorgeeft ook correct is. Waar zitten voor uw gegevens de belangrijkste risico’s? En, welke afspraken kunt u maken met uw leverancier om deze te mitigeren? 3. Vertrouwelijkheid Hoe belangrijk is het dat de (categorieën van) digitale gegevens van uw organi-satie vertrouwelijk blijven en niet door onbevoegden kunnen worden ingezien? In hoeverre zijn hierover afspraken te maken met uw leverancier om deze risico’s te mitigeren? Is het mogelijk met versleutelde gegevens te werken? 4. Privacy en land van vestiging Moet uw organisatie rekening houden met privacywetgeving? Buitenlandse overheden kunnen zich toegang verschaffen als de Cloud-leverancier in hun land op enige manier actief is. Bij veel Cloud-aanbieders is het niet altijd duidelijk waar de gegevens opgeslagen staan en wie tot die gegevens toegang heeft. Dit neemt niet weg dat sommige Cloud-leveranciers wel garanties kunnen bieden omtrent de opslaglocatie van de data. Kortom, onderzoek dit grondig en kijk of uw leverancier een dienst aanbiedt die voldoet en blijft voldoen aan de geldende privacywetgeving. Behalve Nederlandse wetgeving zijn in ieder geval de Patriot Act en Foreign Intelligence Surveillance Act (FISA) hierbij relevant. 5. Compliancy S tel u zelf de vraag aan welke wet- en regelgeving en gangbare informatiebe-veiligingsnormen uw Cloud-leverancier voldoet (ISO 27001, PCI, HIPAA). Geef daarbij specifieke aandacht aan het informatieveiligheidsbeleid van uw Cloud-leverancier. Welke beleid voert uw leverancier uit om veiligheidsrisico’s in de Cloud, zoals lekken van informatie, te voorkomen? Sluit dit beleid aan bij de normen die voor uw organisatie gelden op het gebied van informatiebeveiliging (baselines per overheidslaag) en/of specifiek beleid over het gebruik van Cloud Computing in uw overheidslaag? 6. Continuïteit H oe belangrijk is het dat de gegevens van uw organisatie bewaard blijven en hoe erg is het wanneer deze verloren gaan? Is er een uitwijkregeling mogelijk? Of is er de optie van een onafhankelijke derde partij die een back-up beheert? Wat zijn de specifieke risico’s van Cloud computing? Dit neemt niet weg dat de Cloud Computing ook enkele specifieke risico’s heeft waardoor een overstap niet altijd vanzelfsprekend is. De keuze voor Cloud Compu-ting vraagt per casus om een afweging op strategisch niveau. Lastig aspect bij deze afweging is, dat de voordelen van Cloud Computing in de meeste gevallen duidelijk en vaak kwantificeerbaar zijn in tijd en geld. Terwijl de risico’s veelal kwalitatief van aard zijn en derhalve aanzienlijk minder zichtbaar. Reden te meer om de risico’s voor u onder elkaar te zetten, zodat u in uw afweging ‘Wel/Geen Cloud Computing’, per casus kunt bekijken hoe de balans voor u door-slaat: 1. Maatwerk W ilt u een specifieke dienst die perfect aansluit bij uw organisatie? Dan is dit met Cloud Computing lastig te bereiken, althans in de traditionele ‘be-sproken’ vorm. Het van grond af aan bouwen van een eigen private Cloud aan de hand van voorbesproken wensen en eisen is relatief kostbaar. Ter-wijl juist lagere kosten ook een potentieel voordeel is van Cloud Computing. Een tussenvorm die veel voorkomt is het afstemmen van bestaande Cloud-oplossingen op de wensen van uw organisatie. Cloud Computing is over het algemeen modulair opgebouwd. Binnen de modules zijn aanpassingen mogelijk, maar ook hier zijn extra kosten aan verbonden. Momenteel geldt dat veel commerciële Cloud-oplossingen als standaarddiensten worden aangeboden en ontwikkeld zijn voor een groot aantal klanten. Het is hierbij vaak niet of beperkt mogelijk om specifieke aanpassingen te doen. De Cloud-aanbieder bepaalt in deze gevallen hoe het product of de dienst eruit ziet en het is aan u om te kijken of dit is wat voor u bruikbaar is. 2. Integriteit Stel u zelf de vraag hoe belangrijk het is dat de digitale gegevens van uw organi-satie onveranderd blijven. En dat u erop kunt vertrouwen dat wat uw organisatie 3 23
  • 14. Deling van opslag- en rekencapaciteit Grote netwerkcapaciteit Snelle herschaalbaarheid Gebruik op aanvraag via selfservice Essentiële kenmerken Meten van gebruik Community Cloud Publieke Cloud Implementatie-modellen Hybride Cloud Private Cloud Service-modellen SaaS: Software als dienst IaaS: Infrastructuur als dienst PaaS: Platform als dienst Cloud Computing Service Delivery en Cloud-vorm is het (veelal) via het internet op aanvraag gebruik kunnen maken van hardware, software en gegevens. Dit figuur is afkomstig uit het document ‘Gesloten Rijkscloud. Functionele doelarchitectuur’ (2013). 3 24 25
  • 15. C 26 Cloud Computing af te raden. Waarschijnlijk maakt u dan eenzelfde keuze ten aanzien van eventuele outsourcing van ICT-diensten. Houd er echter wel rekening mee dat de keerzijde van het niet gebruiken van Cloud Computing veel van uw eigen organisatie vraagt in termen van capaci-teit, financiën, personeel, et cetera. Zo kan er toch een positieve business case ontstaan om Cloud Computing in te zetten binnen de bestaande infrastructuur (van de eigen organisatie of van een reguliere ICT-leverancier) op te nemen, mits voorzien van de juiste afspraken en veiligheidswaarborgen. Private Cloud Als uw organisatie ‘in control’ wil blijven over de gegevens en de onderliggende informatietechnologie, dan is het een overweging om te kiezen voor een eigen Cloud, de zogenaamde Private Cloud. Doordat de Private Cloud uitsluitend door één organisatie wordt gebruikt, kan er relatief veel controle over uitgeoefend worden. Een Private Cloud kan in eigendom en beheer zijn van de eigen organi-satie, een derde partij of een combinatie hiervan. Het opzetten van een Private Cloud, mogelijk met behulp van een externe leverancier, vergt overigens wel expertise binnen de eigen organisatie. Het vraagt onder meer specifieke kennis om de juiste wensen te formuleren en waarborgen te realiseren, zodat u ook echt de dienst geleverd krijgt die u wilt. Realiseert u zich dat behalve de kosten die verbonden zijn aan het binnenshuis halen en behouden van deze kennis, ook de kosten voor beschikbaarheid en continuïteit uitsluitend door de eigen organisatie worden gedragen. Daar staat uiteraard tegenover het voordeel dat u precies de vestigingslocatie van de hardware weet waar uw gegevens op staan. Community Cloud De Community Cloud is feitelijk de Private Cloud voor een groep gelijkgestem-den (lees: meer dan één organisatie). De zogenaamde Community Cloud, waar-aan diverse organisaties (al dan niet vooraf georganiseerd) deelnemen, biedt de mogelijkheid om makkelijk op te schalen naar meer participanten. De kosten per gebruikseenheid worden daardoor voor elke deelnemer steeds kleiner. Uiteraard mits hierover de juiste afspraken zijn gemaakt en waarborgen zijn gerealiseerd. Organiseer bijvoorbeeld een Community van overheden om zo samen met ge-lijkgestemden een Community Cloud op te zetten. Met aanvullende afspraken 7. Controle en zeggenschap over uw gegevens Weet u zeker dat wat van uw organisatie is, ook in de Cloud van uw organi-satie blijft? De gegevens van uw organisatie moeten ook uw gegevens blijven. Uw Cloud-leverancier mag uw gegevens uiteraard niet gebruiken zonder toe-stemming van uw organisatie. 8. Beschikbaarheid Wanneer een calamiteit zich voordoet, heeft uw organisatie het systeem en de gegevens direct nodig of mag er een bepaalde (recover)tijd overheen gaan? Aan 100% beschikbaarheid hangt een prijskaartje. Voor sommige processen en systemen van uw organisatie kan het overigens noodzakelijk zijn in verband met calamiteiten om 100% beschikbaarheid te hebben. 9. Overstappen W ilt uw organisatie ooit van Cloud-leverancier kunnen wisselen? Realiseert u zich dan dat overstappen kosten met zich meebrengt, maar ook dat uw organisatie wellicht moet bewijzen dat geëxporteerde gegevens juist zijn (gewaarmerkte kopie of back-up). Overigens, en niet onbelangrijk, er zijn geen standaarden die volledige interoperabiliteit garanderen. Wat zijn de specifieke vormen van Cloud computing? Uw organisatie heeft uiteraard altijd de verantwoordelijkheid om per casus een zorgvuldige en eigen afweging te maken aangaande de voor- en nadelen van Cloud Computing. Op hoofdlijnen is per Cloud-vorm echter wel een richting aan te geven wat betreft de afweging tussen voor- en nadelen. Het land van vestiging en privacy, continuïteit en informatieveiligheid spelen hierbij een be-langrijke rol. Geen Cloud Als uw gegevens dermate vertrouwelijk zijn en dat u ten koste van alles wilt voorkomen dat u afhankelijk bent van een derde partij, kunt u beter niet de overstap naar Cloud Computing maken. Ook wanneer u wilt voorkomen dat de continuïteit van uw ICT-diensten afhankelijk raakt van derden, is gebruik van 3 27
  • 16. 28 en investeringen is het mogelijk om aan te wijzen welke hardware door welke gebruiker van de Community Cloud wordt gebruikt. Het is natuurlijk hoe dan ook mogelijk om gezamenlijk de voor de Community gebruikte set van hardware aan te wijzen en daarmee ook waar de gegevens staan. Houd er wel rekening mee dat het organiseren van gezamenlijk opdrachtgeverschap zeker niet mak-kelijk is. In hoofdstuk 4 zal nader worden ingegaan op het onderwerp ‘Samen-werken als overheid’. Public Cloud Bij de Public Cloud is de door uw organisatie gebruikte hardware niet aan te wijzen. U weet niet precies waar uw gegevens opgeslagen zijn. Bovendien kun-nen de gegevens vrij stromen tussen landen, waarbij ze ingezien, hergebruikt en verwerkt kunnen worden door derde partijen. Daartegenover staat dat de diensten vaak gratis of heel goedkoop zijn. Als u zeker weet dat het hanteren van deze diensten niet tot extra risico’s (denk aan: risico’s voor de integriteit en beschikbaarheid van data) leidt, dan wel deze te mitigeren zijn, bijvoorbeeld door zelf data te versleutelen, kunt u gebruik maken van alle vormen van Cloud, zelfs ook de Public Cloud. Daarbij is het dan wel zaak om scherp te blijven op de gewenste waarborgen. Is er bijvoorbeeld een exit-strategie en is deze onderdeel is van de algemene voorwaarden? Of is deze niet relevant gezien de aard en vertrouwelijkheid van de gegevens? Hybride Cloud Uit het bovenstaande blijkt dat meerdere vormen van Cloud Computing bestaan. Een groot voordeel van Cloud Computing is, dat deze in de meeste gevallen gebaseerd is op internettechnologie. Met als voordeel dat alle Cloud-oplossingen, mits gebaseerd op open standaarden, aan elkaar gekoppeld kunnen worden. Dit noemen we hybride Cloud-oplossingen. Het nadeel van deze hybride Cloud is dat het de mogelijkheid creëert om een deur open te zetten van een Private Cloud naar bijvoorbeeld een Public Cloud. Dit kan vooral gevolgen hebben voor de privacy en informatieveiligheid van uw gegevens. Mogelijke koppelingen tussen verschillende Cloud-vormen vergen dus zeker uw aandacht. 3 29
  • 17. samenwerken als overheid samen-wer-ken als over-heid In dit hoofdstuk is aandacht voor het realiseren van samenwerking in het licht van Cloud Computing, zodat de voordelen ook echt ten gunste komen van overheden. Samenwerking stelt overheden bovendien in staat om de regie op, controle over en de inkoop van de Cloud te bundelen. Deze bundeling zorgt tevens voor een sterkere positie ten opzichte van de leverancier(s). Bovendien bevordert samenwerking onder meer de uniformiteit van de infrastructuur en bij het gebruik van (beveiligings)standaarden en –normen voor Cloud Computing. Het samenwerken door overheden kan concreet invulling krijgen middels een zogenaamde Cloud Broker. In de functie van Cloud Broker zijn alle kennis en kunde van de deelnemende overheden, zowel over informatieveiligheid en privacy als aangaande het aanbesteden, verzameld. De Cloud Broker is een intermediair tussen de vraag van betrokken overheden en het aanbod van Cloud-leveranciers. In de onderhandelingen met de ICT-leveranciers kan de Cloud Broker door een sterkere onderhandelings- en kennispositie, ervoor zorgen dat de voordelen van de Cloud makkelijker worden gerealiseerd voor overheden. De functie van Cloud Broker kan zowel door een publieke als een private organisatie ingevuld worden. De Cloud Broker helpt overheden om de voordelen van de Cloud ook echt uit te nutten en tegelijkertijd te voldoen aan alle geldende normen en kaders. Dit leidt tot ontzorging van de betrokken overheden. Ook bevordert deze manier van werken het optreden als één overheid. In de praktijk kan deze functie van Cloud Broker ook ingevuld worden door bijvoorbeeld een Shared Service Organisatie (SSO), maar ook een ICT-consultancy organisatie kan deze rol op zich nemen.1 Overigens is het belangrijk om hier nogmaals te benoemen dat ook voor de Community Cloud niet alle risico’s gemitigeerd worden. Ook bij het gebruik van de Community Cloud blijft het risico bestaan dat de continuïteit verstoord wordt, of dat bijvoorbeeld gegevens gelekt worden. 4 30 31
  • 18. Ruimte voor de markt Een keuze voor samenwerking met een Cloud-leverancier laat vrij wie de realisatie en het beheer van de Cloud het meest optimaal kan uitvoeren. In het algemeen geldt dat, als de markt kan leveren, dit ook aan de markt wordt gelaten. Voor Cloud Computing gaat dit eveneens op. Op Europees niveau wordt in dialoog met de markt verkend hoe in de behoeften van de overheden kan worden voorzien. Met als voorwaarde dat u als overheidsorganisatie de strakke regie houdt over het geheel en daarmee invulling geeft aan uw eindverantwoordelijkheid. € In Nederland bestaan diverse samenwerkingsverbanden die Cloud-dienstverlening aanbieden of dat aan het voorbereiden zijn. Denk aan: Servicepunt71 (SO voor gemeenten), Dimpact (samenwerkingsverband van gemeenten), Equalit (SO in het zuiden des lands) en de RUD Zeeland, die een eigen Cloud-platform heeft ingericht op de Wet Algemene Bepalingen Omgevingsrecht (WA BO)- taken voor gemeenten, waterschappen en provincies. 1 Zie ook: www.pianoo.nl/sites/default/files/documents/documents/vnghandreikingkingcloudcomputing-ssclowres. pdf. 2 Zie: www.forumstandaardisatie.nl/fileadmin/os/documenten/kamerbrief-over-cloud-computing.pdf. In 2011 heeft het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) een Cloud-strategie gelanceerd die in eerste instantie betrekking had op de Rijksoverheid en tevens kaders biedt voor andere overheden.2 De Rijksoverheid werkt momenteel aan de realisatie van haar Rijkscloud. De Rijkscloud wordt door de Rijksoverheid zelf ingericht. Zij voert de regie en beheer en reguleert de toegang tot de Rijkscloud en de gegevens daarin. Vanuit de Rijkscloud kunnen door Rijksoverheden diensten als gegevensopslag, servercapaciteit, infrastructuurcapaciteit en gebruiksdiensten, zoals e-mail, werkplekomgeving, samenwerkingsfunctionaliteit en specifieke applicaties worden betrokken. 4 32 33
  • 19. Belangrijke waarborgen en afspraken met leveranciers Ongeacht de vorm van Cloud Computing, is het belangrijk dat u met leveranciers afspraken maakt om de voordelen van Cloud-oplossingen ook echt te kunnen benutten. Om u hierbij te helpen bevat dit hoofdstuk een eerste overzicht met belangrijke waarborgen1 en afspraken. Dit overzicht is niet uitputtend en kan van-zelfsprekend op basis van nieuwe inzichten aangepast worden. Voor nu is het doel om u een handzaam hulpmiddel te bieden. Realisatie van de voordelen van Cloud computing 5 + 1. Eis het gebruik van open standaarden Gebruik van open standaarden is belangrijk om de diverse vormen van Cloud Computing onderling te kunnen laten interacteren en vooral met de bestaande ICT-infrastructuur en interface van uw eigen organisatie.2 2. Maak afspraken over de verwerkings-capaciteit De schaalbaarheid van de verwerkingscapaciteit moet worden gewaarborgd door afspraken vast te leggen aangaande de kosten, het tijdbestek en de omvang van het opschalen. 3. Maak afspraken over het aantal gebruikers en autorisaties De schaalbaarheid in termen van aantal gebruikers kan gewaarborgd worden door afspraken te maken met de leverancier over de betaling van een ‘flat-rate’ tot een x-aantal gebruikers. 4. Maak afspraken over toegang tot de eigen gegevens Maak afspraken met de leverancier over toegang tot uw gegevens. Dit betreft niet alleen de opgeslagen gegevens, maar ook de zogenaamde current state of transactions. 5. Maak afspraken over transparantie aangaande door-ontwikkelingen Het is belangrijk om afspraken te maken met de leve-rancier( s) die transparantie aangaande doorontwik-keling van Cloud Computing bevorderen. Dit mede omdat uw bedrijfsprocessen aangepast kunnen zijn op een specifieke versie van Cloud Computing. 34 35
  • 20. 37 Verantwoorden over het gebruik van Cloud computing 1 Daarbij is nog wel de vraag welke waarborgen er worden getroffen, voor het geval dat de Cloud-leverancier zijn verplichtingen niet meer na kan komen. Welke rol kunnen andere leveranciers daar mogelijk in spelen? 2 Open standaarden betekent echter niet per definitie dat interactie met een andere Cloud-vorm of uw eigen ICT-omgeving mogelijk is, maar het vormt wel de basis. 36 ! ! Borgen van privacy en informatieveiligheid bij Cloud computing 1. Maak afspraken aangaande de locatie van opslag van gegevens en privacybescherming Overheidsorganisaties zijn verantwoordelijk voor de bescherming van gegevens. Hiervoor moeten zij voldoen aan wet- en regelgeving. De leverancier dient hier ook aan te voldoen en dient hier ook op aangesproken te worden. 2. Maak afspraken over het omgaan met kwetsbaarheden en ‘lekken’ Het is belangrijk om afspraken te maken over het melden van (nieuwe) kwetsbaarheden en een even-tueel lek. Vergeet hierbij ook niet om afspraken te maken over de wijze waarop de eigen organisatie hierover, geïnformeerd wilt worden. 3. Maak afspraken over verstoringen van de dienstverlening Maak voor ‘worstcasescenario’s’ (vernietiging datacen-ter e.d.) afspraken met de leverancier. Het gaat hier vooral over procesafspraken, waaruit duidelijk blijkt op welke manier en door wie geëscaleerd kan worden. Bepalen van een exit-strategie 1. Houd zeggenschap over de eigen gegevens Het is wenselijk om contractueel vast te leggen dat uw gegevens bij beëindiging van de dienstverlening direct tot uw beschikking komen en ook hoe dit ge-beurt. Immers, om uw gegevens over te kunnen zet-ten naar een nieuwe Cloud Computing of een ander systeem, dienen de gegevens aangeboden te worden in een open format dat leesbaar en bruikbaar is voor uw organisatie. 2. Zorg voor een volledige overdracht Er mogen natuurlijk geen gegevens achterblijven in de Cloud nadat de dienstverlening is stopgezet. Hiervan dient adequaat bewijs geleverd te worden aan u als opdrachtgevende organisatie. Ook dit dient bij de start van de dienstverlening contractueel vastgelegd te worden. 3. Laat fall-back scenario’s ontwikkelen Na het beëindigen van het contract met uw Cloud-leverancier, moet uw organisatie de afgeno-men ICT-diensten zelf leveren. Door voorbereid te zijn op een eventuele ‘exit’ kan uw organisatie de consequenties makkelijker opvangen. 1. Richt een monitor in De prestaties van Cloud-diensten en het waarborgen van de afspraken kunnen in beeld gebracht worden door een monitor in te richten die aansluit bij de gemaakte afspraken vastgelegd in een Service Level Agreement (SLA). 2. Maak afspraken over inhoud en frequentie van de rapportage In de rapportages zijn de gegevens over het functio-neren van de Cloud Computing geaggregeerd, waardoor de prestaties beter zijn te vergelijken met afspraken die in de SLA zijn vastgelegd. Tip is om ook met uw leverancier af te spreken dat deze proactief rapporteert over dreigingsbeelden en de hiertegen genomen maatregelen. 3. Waarborg de moge-lijkheid voor (externe) audits De beheerder van de Cloud Computing moet net als uw eigen organisatie verantwoording afleggen over de veiligheid van de Cloud Computing. Houd hier rekening mee bij de inrichting van de Cloud door duidelijke en concrete afspraken te maken over de auditing van producten en diensten. 4. Neem functioneren van Cloud Computing op in reguliere verantwoording Het verantwoorden over het functioneren van de Cloud Computing kan door dit te integreren in de reguliere verantwoording over ICT. Het helpt daarbij om de Cloud expliciet op te nemen in de verantwoor-ding, met een onderbouwing van de gerealiseerde voordelen en de bestaande risico’s. Daarnaast is het wenselijk om het voldoen aan privacywetgeving en de eisen omtrent de opslag van gegevens extra toe te lichten in deze verantwoording. R 5
  • 21. Bron-nen Hand-rei-king Cloud Tec BIJLAGE: Bronnen Handreiking Cloud Computing Titel Link The NIST Definition Of Cloud Computing www.nist.gov/itl/cloud/index.cfm Cloud Standards Coordination Final report (2013) eurocloudnl.eu/wp-content/uploads/2013/12/ ETSI-CSC-Deliverable-008-Final_Report-V1_0. pdf Establishing Trusted Cloud in Europe ec.europa.eu/digital-agenda/en/news/trus-ted- cloud-europe Cloud Service Level Agreement Standardisation Guidelines ec.europa.eu/digital-agenda/en/news/cloud-ser-vice- level-agreement-standardisation-guideli-nes Zienswijze CBP over Cloud Computing www.cbpweb.nl/Pages/med_20120910-ziens-wijze- cbp-cloudcomputing.aspx Wet bescherming persoons-gegevens wetten.overheid.nl/BWBR0011468/geldigheids-datum_ 23-07-2014 CBP Richtsnoeren Actieve openbaarmaking en eerbie-diging van de persoonlijke levenssfeer augustus 2009 beveiliging van persoons-gegevens www.cbpweb.nl/downloads_rs/rs_2013_richt-snoeren- beveiliging-persoonsgegevens.pdf CIP Beveiligingsbeleid Cloud-diensten (4 april, 2014) www.cip-overheid.nl/wp-content/up-loads/ 2014/04/Beveiligingsbeleid-clouddien-sten- CIP-DEF-v2_3-excl-ARD.pdf Bewerkersovereenkomst: Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) www.ibdgemeenten.nl/wp-content/up-loads/ 2014/04/14-0218-bewerkersovereen-komst- v1.0.pdf.pagespeed.ce.qJrVrC1I4W.pdf 38 39
  • 22. Titel Link Cloud Computing: Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) www.ibdgemeenten.nl/wp-content/ uploads/2014/04/13-1111-cloud-computing-gemeenten. pdf White Paper NCSC ‘Cloud Computing & Security’ www.ncsc.nl/dienstverlening/expertise-advies/ kennisdeling/whitepapers/whitepaper-cloud-computing. html ICT Beveiligingsrichtlijnen voor webapplicaties www.ncsc.nl/dienstverlening/expertise-advies/ kennisdeling/whitepapers/ict-beveiligingsricht-lijnen- voor-webapplicaties.html Internationale open standaar-den voor een veilige Cloud www.forumstandaardisatie.nl/uploads/ RTEmagicC_Open_security_standards.png.png Toe te passen open stan-daarden voor de Cloud, mits relevant qua functioneel en organisatorisch toepassingsge-bied, volgens de Nederlandse ‘Pas Toe Leg Uit-lijst’ www.forumstandaardisatie.nl/uploads/ RTEmagicC_pas_toe_of_leg_uit_-lijst.jpg Toe te passen open standaar-den voor de Cloud volgens de Europese onderzoeken www.forumstandaardisatie.nl/uploads/ RTEmagicC_Presentatie1.jpg interessante bronnen voor de meeste actuele 4 informatie over Cloud computing zijn onder meer: Titel Link National Institute of Standards and Technology www.nist.gov Europese Commissie/ DG Connect ec.europa.eu/dgs/connect/en/content/ dg-connect Europese Commissie/ Cloud for Europe www.cloudforeurope.eu CIP www.cip-overheid.nl NCSC www.ncsc.nl IBD www.ibdgemeenten.nl 40 41
  • 23. 42 COLOFON Deze handreiking is tot stand gekomen dankzij de inspanningen van: De leden van de klankbordgroep: Ton van Bergeijk, Standardization Consultant normcommissie NC 381038 ‘Cloud Computing’, NEN Frank van Dam, IT-architect, Ministerie van Economische Zaken Rob van Dorsten, programmamanager, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) Frans Hooft van Huysduynen, senior adviseur informatievoorziening, Provincie Utrecht Frank Kerkhoven, bestuurslid, VIAG Marcel Koers, senior enterprise architect, CIP Thomas Kruse, strategisch adviseur bedrijfsvoering, Gemeente Utrecht Peter de Leeuw, programmamanager Architectuur en Standaarden, Het Waterschapshuis Peter Leijnse, senior architect, Logius Andres Steijaert, programmamanager, Surfnet De auteurs: Arjan de Jong, beleidsmedewerker, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Henri Rauch, strategisch adviseur, KING Marijke Salters, senior adviseur, College en Forum Standaardisatie Lancelot Schellevis, beleidsadviseur, College en Forum Standaardisatie De eindredacteurs: Sonja Kok, communicatieverantwoordelijke en woordvoerder, Taskforce BID Douwe Leguit, manager, Taskforce BID Eric Warners, beleidsadviseur, Taskforce BID Henk Wesseling, bestuurlijk hoofd, Taskforce BID Het Forum Standaardisatie is blij met het verschijnen van de Handreiking Cloud Computing voor bestuurders en topmanagers. Deze handreiking biedt een kader voor overheden om samen een handelingsperspectief te ontwikkelen voor het toepassen van Cloud Computing. Cloud-oplossingen hebben volgens ons de Toekomst, maar we zien tegelijk het risico dat er silo’s ontstaan. Silo’s die onderling geen informatie kunnen uitwisselen. Digitale samenwerking kan daarom ons inziens niet zonder het gebruik van open standaarden. Cloud-oplossingen zijn daarop geen uitzondering; ook hiervoor zijn open standaarden nodig. Het Forum Standaardisatie ziet de handreiking als extra stimulans om het gebruik van open standaarden voor Cloud-oplossingen te blijven bevorderen. Nico Westpalm van Hoorn Voorzitter Forum Standaardisatie 43
  • 24. © 2014, Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) Uitgegeven in eigen beheer (info@taskforcedbid.nl) Alle rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand en/of openbaar gemaakt in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of op enige andere manier zonder voorafgaande schriftelijke toestemming van de uitgever. Aan de inhoud van deze uitgave kunnen geen rechten worden ontleend. De Taskforce BID is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan de Taskforce BID geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. De Taskforce BID aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. 44
  • 25. Een handreiking voor bestuurders en topmanagers van medeoverheden www.taskforcebid.nl bezien vanuit het perspectief van informatieveiligheid gericht op alle wetenswaardigheden aangaande Cloud computing te benutten tijdens het keuzeproces én na de Cloud-keuze, voor een veilige en verantwoorde omgang met Cloud computing