Deze website maakt gebruik van cookies. Meer informatie Melding niet meer tonen
Deel deze pagina

Software-as-a-Service; Cloud-beveiligingsrisico? In tegendeel!

Carerix is ook actief in de Duitse markt en werkt nauw samen met industrie journalisten om de trends in deze markt te duiden. Dit artikel is een vertaling van: Software-as-a Service: Sicherheitsrisiko Cloud? Im Gegenteil! (Duits)

Cloud-toepassingen springen tegenwoordig als paddenstoelen uit de grond. Als gebruiker van hr-software vraagt u zich misschien af: hoe voorzichtig moet je daar eigenlijk mee zijn? Er wordt dan toch met persoonsgegevens gewerkt, die wettelijk streng beschermd zijn? Lees hieronder waar u op moet letten.

Voor de cloud schiep de God van de Data IT-beveiliging

Veel gebruikers hebben een nogal ‘mistig’ beeld van cloud computing, die ook wel het software-as-a-service-(SaaS)-model wordt genoemd. Wanneer u niet precies weet wat u doet, kunt u de deur wagenwijd open zetten voor gegevensspionage en -diefstal. Dat kan gebeuren als de keuze op de verkeerde aanbieder van hr-oplossingen valt en de gehoste gegevens daarbij niet voldoende beveiligd zijn.

En juist op het gebied van hr is dat fataal. Tenslotte kan hier hele gevoelige, persoonsgebonden informatie ingezien worden. Daarom zijn bij de keuze van geschikte hr-software niet alleen de functies van een tool belangrijk, maar ook de veiligheidstandaarden.

De gebruiker moet daarvoor ten eerste het principe achter het cloud- of SaaS-model begrijpen. Bij cloud computing wordt de totale IT-infrastructuur bij een externe IT-dienstverlener gehost en door de klant via de browser opgeroepen. De gebruiker heeft alleen maar een goed werkende internetverbinding en gebruiksapparatuur nodig. Ook op het gebied van hr worden steeds meer cloud-oplossingen aangeboden.

Voordelen van een cloud-toepassing

De cloud is vooral voor kleine en middelgrote ondernemingen aantrekkelijk. Want die maakt voor hen het opbouwen en onderhouden van een dure IT-infrastructuur overbodig. Ook hoeven ze geen dure programma’s aan te schaffen die snel verouderen en steeds weer geüpdatet moeten worden. In plaats daarvan stelt de cloud-aanbieder de betreffende software via een voordelig licentiemodel ter beschikking en houdt hij deze altijd up-to-date.

Het is dus geen wonder dat software uit de ‘datawolk’ steeds populairder wordt. Naar schatting zal de omzet met cloud-oplossingen in Duitsland in 2018 al 19,8 miljard euro bedragen. Dit is een indrukwekkende groei van 28 procent in één jaar.

De risico’s van de cloud: waar moet de server staan?

De ene cloud is de andere niet. Wanneer een server onvoldoende beveiligd is, kan spionage plaatsvinden. En op sommige locaties is dat zelfs legaal. In Amerika mag de staat zich bijvoorbeeld met een beroep op de ‘Patriot Act’, die sinds 2001 van kracht is, zonder tussenkomst van de rechter toegang verschaffen tot de servers van bedrijven in de VS. Dit recht geldt ook voor Europese dochtermaatschappijen van Amerikaanse bedrijven. In verband met deze juridische problematiek vragen bedrijven steeds vaker naar cloud-aanbiedingen van niet-Amerikaanse IT-dienstverleners, die servers op Europese bodem hebben. Daarop is een aanzienlijk strengere gegevensbeveiliging van toepassing.

Vooral voor klanten uit gevoelige branches zoals advocatenkantoren, trustmaatschappijen, ingenieursbureaus, onderzoeksinstellingen en verzekeraars is dat relevant – en uiteraard ook voor personele dienstverleners zoals hr-afdelingen.

Het zogenaamde EU-US-Privacy-Shield tussen de EU en de VS moet er in principe voor zorgen dat gegevens van EU-burgers en ondernemers in de VS een vergelijkbaar beschermingsniveau hebben als in de Europese Unie. Maar diverse spionageschandalen deden het vertrouwen van consumenten in het wereldwijde web al meerdere malen wankelen.

De VS en gegevensbescherming: een ‘never ending story’?

Na het aantreden van president Donald Trump is dit vertrouwen opnieuw beschadigd. De 45ste president van de Verenigde Staten heeft bijvoorbeeld al een regeling doorgezet die internetproviders in de VS toestaat de online-activiteiten en bewegingspatronen van hun gebruikers te monitoren, op te slaan, te gebruiken en er geld mee te verdienen.

Bovendien is het problematisch dat er ondanks vele inspanningen van voormalige regeringen in de VS tot nu toe geen nationale wetgeving over gegevensbeveiliging bestaat die vergelijkbaar zou zijn met het niveau van gegevensbescherming in de Europese Economische Ruimte. Uiteenlopende regelingen op staats- en nationaal niveau, jurisprudentie en intern gegevensbeveiligingsbeleid van bedrijven maken het voor betrokkenen vrijwel onmogelijk om te beoordelen, hoe hun persoonlijke gegevens beschermd zijn.

Europese richtlijn gegevensbescherming

In Europa zijn de bepalingen over gegevensbescherming heel anders: de Europese Richtlijn gegevensbescherming schrijft alle lidstaten binnen de Europese Economische Ruimte aanzienlijk strengere regels voor gegevensbescherming voor. In mei 2018 wordt een nieuwe versie van kracht, die nog eens voor extra eenheid moet zorgen.

Wie een aanbieder van Software-as-a-Service zoekt, moet er daarom in ieder geval op letten, dat de servers van die aanbieder in Europa staan en dat het een Europees bedrijf is. Hier is elke verwerking van persoonsgegevens al bij voorbaat alleen mogelijk met nadrukkelijke toestemming van de betrokkene.

Natuurlijk biedt zo’n stukje wetgeving geen bescherming tegen illegale aanvallen van hackers. En ook dat gevaar mag niet onderschat worden. Een representatieve studie van het digitale samenwerkingsverband Bitkom toont aan, dat cybercrime voor bedrijven al lang een reële bedreiging is.

Gegevensdiefstal: een bedreiging voor cloud-systemen?

Volgens deze studie is tussen 2013 en 2015 de helft van alle bedrijven in Duitsland minimaal één keer slachtoffer geworden van digitale economische spionage, gegevensdiefstal of sabotage. In de industrie zijn die cijfers zelfs nog hoger. Toch spreekt dit eerder voor de cloud dan ertegen.

Want hoewel het gevaar uit het web vrijwel elke seconde toeneemt, zijn maar weinig bedrijven met een eigen IT-infrastructuur op het ergste voorbereid. En de bescherming wordt eerder minder dan beter. Volgens het ‘Cisco Annual Security Report 2016’ daalde het aantal bedrijven met een up-to-date eigen, optimale veiligheidsinfrastructuur van 2014 naar 2015 met maar liefst tien procent. We zeiden het al: het kost tijd en geld om de beveiliging van een eigen infrastructuur voortdurend up-to-date te houden. En vooral bij kleine spelers zijn beide vaak schaars.

Let op certificaten van cloud-aanbieders

Gebruikers van cloud-systemen bevinden zich in veel veiliger vaarwater. Want normaal gesproken is de gegevensbescherming in de datacenters van de exploitanten technisch up-to-date. Daardoor is spionage daar veel moeilijker. Niet alleen draaien hier de nieuwste firewalls en beveiligingssoftware.

De processen binnen datacenters van serieuze cloud-aanbieders worden door een externe partij gecontroleerd en gecertificeerd. Potentiële softwaregebruikers moeten bij de keuze van een aanbieder letten op certificaten als het ISAE 3000-rapport, dat ook Carerix als aanbieder van hr-oplossingen bezit.

Regelmatige en onafhankelijke controles

ISAE staat voor ‘International Standard On Assurance Engagements’. Voorwaarde voor dit certificaat is een regelmatige controle door een onafhankelijke EDP-auditor en accountant. Het toont aan dat de eigenaar de interne kwaliteitsbewakingsprocessen volgens gedetailleerd vastgelegde normen gestandaardiseerd heeft. Ook informatiebeveiliging is een vast onderdeel van ISAE 3000. Klanten kunnen er dus op vertrouwen, dat hier op een veilige en vertrouwelijke manier met hun gegevens wordt omgegaan. En dan nu: op naar de cloud!

Lees meer nieuws