Video: De 10 basisregels die je moet weten om digitaal veilig te ondernemen (webinar) (November 2024)
Naarmate cloudacceptatie alomtegenwoordig wordt, is het belangrijker dan ooit voor bedrijven om de voorschriften en wettelijke verplichtingen te begrijpen die zijn verbonden aan het opslaan van gegevens en applicaties in de cloud. Meer dan 93 procent van de bedrijven gebruikt de cloud op een bepaalde manier, volgens onderzoeksresultaten van Right Scale, een cloudmanagementbedrijf. Maar die bedrijven die gegevens opslaan op openbare en hybride clouds, zijn bijzonder gevoelig voor regelgeving en boetes als er een datalek optreedt of als er aanzienlijke downtime van de cloud is.
De meeste bedrijven, vooral kleine tot middelgrote bedrijven (MKB's), ondertekenen standaard Service Level Agreements (SLA's) met cloudleveranciers. Deze SLA's hebben de neiging om de verkoper meer te laten profiteren dan de klant en beperken bijgevolg de schade die cloudleveranciers betalen als en wanneer zich een ramp voordoet.
Om u te helpen begrijpen wat u moet weten om beter voorbereid te zijn op de juridische gevolgen van verhuizen naar de cloud en om u te helpen uitzoeken of u beschermd bent indien uw openbare of hybride cloud wordt overtreden, hebben we deze lijst samengesteld met dingen om te overwegen.
1. Wie is aansprakelijk voor klantinformatie na gegevensinbreuken?
Stel dat u al uw klantgegevens opslaat in de cloud van een derde partij. Als een hacker in staat is die cloud te doorbreken, uw gegevens te stelen en deze te gebruiken om uw klanten te schaden, zal iemand civielrechtelijke boetes betalen. Afhankelijk van de formulering van uw SLA zal uw cloudverkoper waarschijnlijk zijn schade beperken tot "werkelijke schade" in tegenstelling tot de "gevolgschade" waarvoor uw bedrijf waarschijnlijk verantwoordelijk is.
"Gewoonlijk gaat een verkoper zijn overeenkomst zo schrijven dat zijn aansprakelijkheid voor gewone nalatigheid vrij minimaal is, meestal beperkt tot 'werkelijke schade' en vaak beperkt tot het bedrag dat de klant de verkoper in de voorafgaande zes of twaalf maanden heeft betaald., "zei Steven Ayr, Business Counsel bij Fort Point Legal, een bedrijf dat gespecialiseerd is in het vertegenwoordigen van ondernemers en kleine bedrijven. "Werkelijke schade wordt het geld genoemd dat de klant heeft betaald voor de service die niet werd geleverd. Door de schade te beperken tot" werkelijke schade ", elimineren de overeenkomsten de mogelijkheid dat de verkoper aansprakelijk kan worden gesteld voor" gevolgschade "en andere klassen van schadevergoeding zoals bestraffende schade. "
Ayr beschrijft gevolgschade als financiële verliezen die één stap verwijderd zijn van de inbreuk of clouddowntime. Als uw klant bijvoorbeeld een groot verkooppraatje zou moeten geven via uw online samenwerkingsplatform, maar hij of zij niet kon omdat de cloud down was, zou u verantwoordelijk zijn voor de gevolgschade van deze downtime.
Hetzelfde geldt voor datalekken of pure ongevallen. De meeste SLA's beperken de schade die cloudleveranciers moeten betalen als elite-hackers state-of-the-art systemen doorbreken of als een derde de glasvezelverbinding buiten het datacenter verbreekt. Alleen als uw advocaat "grove nalatigheid" kan aantonen, is de verkoper primair verantwoordelijk voor de financiële verplichtingen van een cloud-catastrofe. Bruto nalatigheid is meestal van toepassing op slechte beveiliging of opzettelijke snode acties van de verkoper.
2. Wie is verantwoordelijk voor het indienen van gegevens bij overheidsinstanties?
Hoewel u misschien samenwerkt met de veiligste cloudleverancier ter wereld, betekent dit niet dat uw gegevens niet toegankelijk zijn zonder uw toestemming en zonder rechtsmiddelen. Omdat u uw gegevens doorgeeft aan een cloudleverancier, geeft u de verkoper in wezen toestemming om toestemming te geven aan overheidsbevelen. In de meeste SLA's wordt dit heel duidelijk vermeld, en het is onwaarschijnlijk dat grote cloudleveranciers zoals Amazon Web Services (AWS) of Microsoft Azure bereid zijn hun standaard SLA te wijzigen voor een bedrijf dat geen white whale-account is.
Dus als u extreme bedenkingen hebt bij de overheid, is het waarschijnlijk beter om uw eigen privé-cloud te bouwen of uw gegevens lokaal op te slaan. Onder deze omstandigheden kunt u het bevel bestrijden en uw klantgegevens beschermen. Maar als u ervoor kiest om met een openbare of hybride cloud te gaan, kunt u beter hopen dat uw leverancier uw onverdraagzaamheid met Big Brother deelt.
3. Wat zijn de specifieke cloudregelgeving per geografie?
Het is moeilijk genoeg om uw rechten bij te houden over hoe uw gegevens in de VS worden beheerd. Helaas verschillen de wereldwijde voorschriften voor elk specifiek land en, in sommige gevallen, binnen elk rechtsgebied in elk specifiek land. Als u een multinationaal bedrijf bent met cloudserviceproviders in verschillende regio's, krijgt u grote hoofdpijn om de bijbehorende voorschriften en verplichtingen te begrijpen en te beheren.
Volgens Ayr is het van cruciaal belang dat bedrijven die wereldwijd gegevens opslaan samenwerken met advocaten om de soorten gegevens te identificeren die ze opslaan, de regio's waarin ze de gegevens opslaan en wat de specifieke wetten binnen die rechtsgebieden zijn.
"Dat kan echter langzaam, duur werk zijn, " zei Ayr, "omdat je ofwel iemand gaat betalen om de tijd te spenderen aan het onderzoeken van de wetten van verschillende rechtsgebieden waar ze niet bekend mee bent, een advocaat inhuren in elk rechtsgebied die al kent die wetten, of huur een zeer dure materiedeskundige in die al de ins en outs van elk rechtsgebied kent."
Helaas is de eenvoudigste en meest kosteneffectieve manier om ervoor te zorgen dat u binnen elk rechtsgebied compliant bent, de verantwoordelijkheid op uw serviceprovider te leggen. Omdat wereldwijde serviceproviders hun activiteiten al hebben uitgebreid en het nodige werk hebben verzet om te bepalen hoe gegevens wereldwijd moeten worden verwerkt, is de kans groter dat ze over de informatie en best practices beschikken.
"Het is immers veel goedkoper om een advocaat in te huren om de servicevoorwaarden van een aanbieder te controleren op naleving dan om een advocaat in te huren om voorwaarden te creëren die aan de voorwaarden voldoen en deze vervolgens met een aanbieder te onderhandelen", aldus Ayr. Maar dit betekent ook dat u op SLA's vertrouwt, en we hebben al de belangrijke manieren onderzocht waarop een SLA ten gunste van de leverancier kan werken.
4. Waarom zou u zich comfortabel voelen bij het opslaan van gegevens in de cloud?
In de VS worden de meeste bedrijven beschermd door wetten voor gegevensbeveiliging die de verwerking van persoonlijk identificeerbare informatie (PII) regelen. Volgens deze wetten moeten leveranciers een geschreven beleid opstellen waarin hun gegevensbeschermingsstrategieën worden beschreven en moeten ze op zijn minst enige aansprakelijkheid aanvaarden voor inbreuken en downtime. In geval van een inbreuk, maken deze wetten het ook verplicht om dit aan de procureur-generaal te melden. In Massachusetts wordt deze wet bijvoorbeeld 201 CMR 17, 00 genoemd. In Californië wordt de wet SB 1386 genoemd. Tot op heden hebben 47 Amerikaanse staten vergelijkbare wetten op de boeken.
Als de wetten niet voldoende zijn om u op uw gemak te stellen (en dat zouden ze ook niet moeten zijn), zijn er cloudleveranciers die zichzelf promoten als kampioenen van privacy en veiligheid. Bedrijven zoals Spider Oak (disaster recovery) -serviceprovider staan bekend als zero-knowledge cloudservices; ze coderen gegevens op de apparaten van hun klanten voordat ze de gegevens naar de cloud uploaden. Geen kennis betekent dat Spider Oak en zijn concurrenten nooit gedecodeerde gegevens verwerken. Deze praktijk helpt hen om het potentiële risico te beperken en zichzelf nooit in een positie te brengen waarin ze gedwongen zijn gegevens aan overheidsinstanties over te dragen.
"Er zijn een groot aantal risico's die organisaties vaak negeren bij het migreren van systemen en services naar de cloud", aldus Mike McCamon, President en CMO bij Spider Oak. "We zouden de top vier samenvatten als beveiliging, privacy, continuïteit en controle."
"We hebben nooit een wachtwoord of een versie van hun gedecodeerde gegevens, " voegde McCamon toe. "Zelfs onze eigen systeembeheerders kunnen niet meer weten over een klant dan de hoeveelheid gegevens die is opgeslagen in ons systeem. De enige gegevens die we over gebruikers verzamelen, zijn een e-mailadres en factuurgegevens als ze een serviceplan nodig hebben."
Ongeacht of bedrijven al dan niet werken met grote leveranciers zoals Amazon en Microsoft, of kleine, kennisloze leveranciers zoals Spider Oak, ze zullen de cloud blijven gebruiken, betoogt Ayr.
"In mijn werk met start-ups zie ik over het algemeen geen bedrijven die bijzonder nerveus zijn over het gebruik van de cloud, " zei Ayr. "Nieuwe bedrijven zien de cloud als goed of slecht, net zo veilig en onopvallend als documenten in een archiefkast plaatsen."
