IT-compliance in de cloud

Het organiseren van compliance met beleidsmatige, wettelijke en contractuele verplichtingen in het algemeen en in het bijzonder deze verplichtingen van compliance organiseren in de cloud vraagt aandacht van de bedrijfsleiding en de medewerkers. Het begint met beleidsvorming en bepalen van de wettelijke en contractuele verplichtingen. Vervolgens volgt de implementatie in de processen van bedrijfsactiviteiten en uiteindelijk vaststellen dat de verplichtingen effectief zijn nagekomen.

De compliance-last wordt door alle bedrijven gedragen. Voor bedrijven met een beperkte bedrijfsomvang zullen de budgetten kleiner zijn dan bedrijven met een grotere bedrijfsomvang. In verhouding met de omzet zullen de lasten bij het MKB hoger zijn dan bij het grootbedrijf.

Een bijzonder aandachtsgebied is IT-cloud compliancemanagement. Veel bedrijven maken voor hun IT gebruik van de clouddiensten en besteden het beheer uit aan IT-bureaus. Het beleggen van riskmanagement en cloudmanagement krijgt bij het uitbesteden (te) weinig aandacht. Het IT-bureau kan het risk- en cloudmanagement niet uitvoeren omdat het ontbreekt aan de kennis en het zou betekenen dat de beheerder van de clouddiensten haar eigen werkzaamheden keurt. Het risk- en cloudmanagement, als onderdeel van de bedrijfscompliance functie, moet afzonderlijk bij interne of externe professionals belegd worden.

Organiseren van uw compliance in de cloud

Accountable of verantwoordelijk zijn voor het organiseren van compliance met beleidsmatige, wettelijke en contractuele verplichtingen is voor de bedrijfsleiding een belangrijk thema. Uiteraard zijn er de gebruikelijke fiscale, commerciële, statistische en bancaire verplichtingen. Er zijn ook verplichtingen die steeds verder worden aangescherpt zoals het organiseren van informatieveiligheid en beschermen van persoonsgegevens. Wij zien een gestage groei van sectorale en incidentiele verplichtingen waaraan bedrijven wettelijk moeten voldoen. De aansprakelijkheids- en kostenrisico’s nemen voor sommige bedrijven toe en er is een behoefte aan een integrale compliance-aanpak.

Het organiseren van IT-cloud compliance is een bijzondere en fundamentele bedrijfsactiviteit omdat het borgen van de informatieveiligheid en beschermen van persoonsgegevens nodig is voor de continuïteit van de bedrijfsvoering en kunnen organiseren van een meer integrale compliance-aanpak. Het zijn de gebruikelijke bedrijven zoals Microsoft, Amazon en Google die IT-clouddiensten aan bedrijven leveren. Wij beperken ons bij het beschrijven van deze dienstverlening tot compliance in de cloud.

Hoe kunnen wij u helpen?

Heeft u vragen over het organiseren, implementeren of uitbouwen van uw bedrijfs(compliance) functie? Onze service-eigenaar, Caroline Willemse AA RE RFG of haar collega’s, bespreken graag uw specifieke casus.

Factsheet 'IT-compliance in de cloud'

Download hier de factsheet ‘IT-compliance in de cloud’.

Bedrijven besteden hun IT-ondersteuning van bedrijfsprocessen uit aan cloudleveranciers. De mate van uitbesteding bepaalt het bedrijf. Wij kennen cloudservices als IaaS, PaaS of SaaS of een mix hiervan. Bij SaaS neemt de cloudleverancier de meeste verantwoordelijkheid (denk aan een boekhoudpakket in de cloud). Bij een IaaS bijvoorbeeld maakt het bedrijf gebruik van de hardware en systeemsoftware van de cloudaanbieder. Het bedrijf richt zelf haar omgeving in en neemt alle verantwoordelijkheid van het effectief functioneren van de infrastructuur.

Afhankelijk van de aard en omvang van de bedrijfsactiviteiten formuleert een bedrijf de baseline waaraan zijzelf en de cloudleveranciers moeten voldoen. Het bedrijf moet bijvoorbeeld aantonen dat de beveiligings- en beheersmaatregelen effectief zijn persoons- en bedrijfsgegevens beschermen zoals in de AVG wordt verlangd.

Bedrijf is en blijft eindverantwoordelijk

Ongeacht welke cloudvariant een bedrijf afneemt, het bedrijf is en blijft verantwoordelijk voor het beschermen van haar bedrijfs- en persoonsgegevens. Dus, ook voor de verwerkingen die door de cloudleveranciers worden uitgevoerd. Er is sprake van een ketenaansprakelijkheid. De grote cloudaanbieders bieden hiervoor verantwoordingsverslag (vaak met certificaten) die door het bedrijf kunnen worden beoordeeld en opgenomen in de eigen verantwoording.

De compliance officer speelt bij het samenstellen van de verantwoording voor het organiseren van de compliance met beleidsmatige, wettelijke en contractuele verplichting een gewenste en nodige rol.

Hetzelfde geldt voor de aanbieders van diensten die afgenomen worden van bedrijven die clouddiensten aanbieden op de infrastructuur van de grote cloudaanbieders (ISV’s). Alvorens een dergelijke dienst wordt afgenomen, moet vastgesteld worden dat compliance op dit onderdeel mogelijk is zodat compliance op de hele keten mogelijk blijft.

Cloudleveranciers bieden de compliance officer veelal een rol met een effectief instrumentarium het compliance-management effectief te organiseren.

De functionaris voor de gegevensbescherming (FG)

Vanaf 2016 is de Europese Algemene Verordening Gegevensbescherming (AVG) van kracht. Veel bedrijven hebben al dan niet verplicht een FG aangesteld. De FG heeft toezichthoudende en operationele compliance taken die door meer en meer clouddiensten worden ondersteund. Cloudleveranciers stellen een FG-rol ter beschikking waarmee de FG haar taken effectief kan organiseren.

Microsoft 365 en Azure tenant

Een voorbeeld van een cloudleverancier die expliciet rekening houdt met risk- en compliance-management, als mede met de werkzaamheden van een FG is Microsoft.

Voor het uitvoeren van compliance biedt Microsoft 365 Purview aan. Purview is een geïntegreerde oplossing voor gegevensbeheer waarmee zowel onpremise, multicloud- en SaaS-gegevens beheerd kunnen worden. Het biedt onder andere geautomatiseerde gegevensdetectie, classificatie van gevoelige gegevens en end-to-end gegevensherkomst.

Het biedt de mogelijkheid om de toetsing uit te voeren met diverse beschikbare normenkaders (zoals ISO27001, AVG) maar ook met een eigen normenkader. Hierdoor kan overlap van werkzaamheden worden voorkomen omdat ieder normenkader vaak nét een andere insteek heeft, en is aantoonbaarheid beschikbaar zodat aanvullende vastleggingen.

Aanvullend voor de FG is er de cloudtoepassing in MS 365 en Azure cloud Microsoft Priva Privacy Risk Management.

Onze professionals volgen de trainingen van Duthler Academy en van cloudleveranciers, zoals Microsoft. Hiermee blijven onze professionals hun kennis uitbouwen en doen zij ervaringen op in de rollen van riskmanager, compliance officer en FG bij verschillende bedrijven. Voor sommige bedrijven vervullen onze professionals combinaties van deze rollen.

Het komt voor dat een bedrijf het riskmanagement wenst te ontwikkelen en aandacht wil geven aan het beschermen van persoonsgegevens. De professionals formuleren beleid en bouwen het kennis- en verandermanagement op met behulp van de trainingsprogramma’s van Duthler Academy.

Met behulp van de tools van de cloudleveranciers vervullen onze professionals hun rol effectief. Bijvoorbeeld door het toepassen van het Security center, Defender of Sentinel in MS 365 en Azure tenants.

Meer over compliance in de cloud

  • Recht op uw zelfverdediging door IT-risicomanagement te organiseren

    Door: Caroline Willemse Inleiding Bedrijven krijgen steeds meer te maken met aanvallen op hun netwerk. Vaak bedoeld om de bedrijfs- en persoonsgegevens te gijzelen om het betalen van losgeld af te dwingen. Als het bedrijfsgeheimen betreft kan het bedrijf zijn unieke positie in de markt verliezen. Persoonsgegevens die in onbevoegde handen komen is per definitie een datalek en tast

    20 oktober 2022
  • Het belang van riskmanagement voor de continuïteit van de bedrijfsvoering

    Door: Caroline Willemse en André Biesheuvel Aanleiding Riskmanagement beschouwen wij als een proces van het identificeren, het beoordelen en het nemen van passende maatregelen gericht op het borgen van de continuïteit van de bedrijfsvoering. Elke organisatie kent risicogebieden waarin riskmanagement nodig is. De risicogebieden kunnen betrekking hebben op strategische, financiële, juridische of administratief organisatorische thema’s.

    18 september 2022
  • Een praktische aanpak voor het toepassen van IT-clouddiensten

    Door: Angela Valentin – van Beek en André Biesheuvel Aanleiding Wij, de bedrijfsleiding, hebben de blog “toepassen van IT-clouddiensten is een organisatievraagstuk” gelezen en binnen het managementteam besproken. De vele white papers op het internet, waarin thema’s zoals toepassen van IT-clouddiensten in dienst van het effectief organiseren van de bedrijfsactiviteiten en digitale transformatie aan de

    31 augustus 2022
  • Toepassen van IT-clouddiensten is een organisatievraagstuk

    Door: André Biesheuvel Aanleiding Bedrijven maken steeds meer gebruik van clouddiensten voor het adequaat ondersteunen van bedrijfsprocessen waarmee de bedrijfsactiviteiten effectief georganiseerd worden. De medewerkers sturen de (nieuwe) bedrijfsprocessen aan en worden veelal geconfronteerd met noodzakelijke veranderingen in hun werkprocessen. Medewerkers hebben kennis- en verandermanagement nodig voor het adopteren en succesvol implementeren van deze veranderingen. 

    29 augustus 2022

Heeft u vragen of behoefte aan een afspraak?

Neem gerust contact met ons op via +31 (0) 70 392 22 09 of info@duthler.nl. Of neem hieronder contact op met onze specialisten.