RDI: cloudserviceprovider moet klant duidelijk maken waar data is opgeslagen
Cloudserviceproviders moeten klanten duidelijk maken waar hun data is opgeslagen, zo stelt de Rijksinspectie Digitale Infrastructuur (RDI). Daarnaast moeten deze partijen hun klanten helpen om data naar een andere partij mee te nemen. Cloudserviceproviders zijn partijen die diensten van cloudproviders afnemen en gebruiken voor de diensten die ze aan hun klanten en gebruikers leveren. Met de inwerkingtreding van de Cyberbeveiligingswet in de tweede helft van volgend jaar gaat de RDI proactief toezicht houden op cloudserviceproviders.
De Cyberbeveiligingswet (Cbw, ook wel NIS2), stelt regels aan cloudproviders en organisaties die hier gebruik van maken. Zo moeten cloudserviceproviders risico's in kaart brengen en passende maatregelen nemen om die te beheersen. Als toezichthouder op de Cbw zegt de RDI dat het niet alleen na een incident of signaal zal toetsten of regels zijn nageleefd, maar worden cloudserviceproviders straks ook vooraf benaderd over risico’s en genomen maatregelen.
Eén van de punten waar de RDI cloudserviceproviders op wijst is dat die klanten moeten laten weten waar hun gegevens precies staan. "Het gebruik van clouddiensten betekent dat data, systemen en applicaties van een organisatie vaak niet meer volledig onder eigen beheer staan. Afhankelijk van de gekozen clouddienst kan het zijn dat deze ook onder een andere jurisdictie vallen. Dit brengt risico’s met zich mee voor de integriteit, vertrouwelijkheid en continuïteit van de dienstverlening", aldus de toezichthouder.
De RDI verwacht dan ook van cloudserviceproviders dat die de risico's goed hebben afgewogen en klanten inzicht geven waar hun data is ondergebracht. "Het is ook van toegevoegde waarde wanneer u duidelijk maakt welke maatregelen uw klanten zelf moeten nemen om uw diensten veilig te gebruiken. De keten is immers zo sterk als de zwakste schakel", laat de toezichthouder verder weten. Daarnaast moeten cloudserviceproviders hun gebruikers en klanten helpen om hun data en applicaties beschikbaar en overdraagbaar te houden.
Microsoft Subsidiary
Personnel Locations
Algeria Ecuador Latvia Qatar
Angola Egypt Lebanon Romania
Argentina El Salvador Lithuania Saudi Arabia
Armenia Estonia Luxembourg Senegal
Australia Finland Macao SAR Serbia
Austria France Malaysia Singapore
Bahrain Germany Malta Slovakia
Bangladesh Ghana Mauritius Slovenia
Belgium Greece Mexico South Africa
Bolivia Guatemala Montenegro Spain
Bosnia and Herzegovina Honduras Morocco Sri Lanka
Brazil Hong Kong SAR Namibia Sweden
Brunei Hungary Netherlands Switzerland
Bulgaria Iceland New Zealand Taiwan
Canada India Nigeria Thailand
Chile Indonesia North Macedonia Trinidad and Tobago
China Ireland Norway Tunisia
Colombia Israel Oman Türkiye
Costa Rica Italy Pakistan Ukraine
Côte d’Ivoire Jamaica Panama United Arab Emirates
Croatia Japan Peru United Kingdom
Cyprus Jordan Korea United States
Czechia Kazakhstan Philippines Uruguay
Denmark Kenya Poland Vietnam
Dominican Republic Kuwait Portugal
Contract Staff
Personnel Locations
Argentina Egypt Japan Serbia
Armenia El Salvador Korea Singapore
Australia Finland Malaysia South Africa
Austria France Mexico Spain
Belgium Georgia Netherlands Sweden
Bolivia Germany New Zealand Switzerland
Brazil Ghana Norway Taiwan
Bulgaria Guatemala Panama Trinidad and Tobago
Canada Honduras Paraguay Türkiye
China Hong Kong SAR Peru United Kingdom
Costa Rica Hungary Philippines United States
Czech Republic India Poland Uruguay
Denmark Ireland Portugal
Dominican Republic Italy Qatar
Ecuador Jamaica Romania
Uit:
https://learn.microsoft.com/en-gb/microsoft-365/enterprise/personnel-loc/m365-personnel-location?view=o365-worldwide
Met dan aan:
https://www.computerweekly.com/news/366632040/Microsoft-hides-key-data-flow-information-in-plain-sight
Hoewel het hierboven niet gaat over fysieke opslag (ik meen dat theregister wel een artikel heeft waaruit blijkt dat dit voor hyperscalers moeilijk te zeggen valt), maar over toegang vanaf een gebied binnen de jurisdictie hierboven. Voor de AVG is deze toegang van belang.
Als een Amerikaanse onderaannemer voor data opslag de servers in Duitsland heeft staan, mag de USA er dan bij?
Naar mijn kennis mogen de NSA erbij volgens Amerikaanse wet, dit is dus niet EU-privacyproof!
Als een Amerikaanse onderaannemer voor data opslag de servers in Duitsland heeft staan, mag de USA er dan bij?
Naar mijn kennis mogen de NSA erbij volgens Amerikaanse wet, dit is dus niet EU-privacyproof!
De sleepwet pikt er overigens ook van mee.
Uw data is sowieso in handen van derden.
Een selfhosted oplossing of gewoon offline versleuteld opslaan is een veel betere oplossing dan het op te slaan in andermans computer. (De cloud)
Europa moet een keuze maken met hoe serieus ze zichzelf willen nemen.
Als wij digitale weerbaarheid willen hebben, dan moeten we onze spul gaan maken, anders moeten we importeren.
Dan moeten we onze eigen hardware en software ontwerpen, bouwen en installeren, en dit kost geld.
En hoe belangrijk is onze digitale weerbaarheid?
Volgens de EU is het van ondergeschikt belang vergeleken met AI technologie!
(Dit zegt iets over de prioriteiten van onze EU...)
Nee, helaas kunnen wij niet specifieker zijn.
You're welcome.
Als een Amerikaanse onderaannemer voor data opslag de servers in Duitsland heeft staan, mag de USA er dan bij?
Naar mijn kennis mogen de NSA erbij volgens Amerikaanse wet, dit is dus niet EU-privacyproof!
KLOPT
Verder is ook erg belangrijk om te weten waar en welke beheersoftware wordt gebruikt.
Indien deze bv in een ander land staat, heeft dat ook impact op de continuïteit/veiligheid.
En vergeet uiteraard hun onder leveranciers niet!!
HET GAAT OM TOTALE IMPACT!
Microsoft Subsidiary
Personnel Locations
Algeria Ecuador Latvia Qatar
Angola Egypt Lebanon Romania
Argentina El Salvador Lithuania Saudi Arabia
Armenia Estonia Luxembourg Senegal
Australia Finland Macao SAR Serbia
Austria France Malaysia Singapore
Bahrain Germany Malta Slovakia
Bangladesh Ghana Mauritius Slovenia
Belgium Greece Mexico South Africa
Bolivia Guatemala Montenegro Spain
Bosnia and Herzegovina Honduras Morocco Sri Lanka
Brazil Hong Kong SAR Namibia Sweden
Brunei Hungary Netherlands Switzerland
Bulgaria Iceland New Zealand Taiwan
Canada India Nigeria Thailand
Chile Indonesia North Macedonia Trinidad and Tobago
China Ireland Norway Tunisia
Colombia Israel Oman Türkiye
Costa Rica Italy Pakistan Ukraine
Côte d’Ivoire Jamaica Panama United Arab Emirates
Croatia Japan Peru United Kingdom
Cyprus Jordan Korea United States
Czechia Kazakhstan Philippines Uruguay
Denmark Kenya Poland Vietnam
Dominican Republic Kuwait Portugal
Contract Staff
Personnel Locations
Argentina Egypt Japan Serbia
Armenia El Salvador Korea Singapore
Australia Finland Malaysia South Africa
Austria France Mexico Spain
Belgium Georgia Netherlands Sweden
Bolivia Germany New Zealand Switzerland
Brazil Ghana Norway Taiwan
Bulgaria Guatemala Panama Trinidad and Tobago
Canada Honduras Paraguay Türkiye
China Hong Kong SAR Peru United Kingdom
Costa Rica Hungary Philippines United States
Czech Republic India Poland Uruguay
Denmark Ireland Portugal
Dominican Republic Italy Qatar
Ecuador Jamaica Romania
Uit:
https://learn.microsoft.com/en-gb/microsoft-365/enterprise/personnel-loc/m365-personnel-location?view=o365-worldwide
Met dan aan:
https://www.computerweekly.com/news/366632040/Microsoft-hides-key-data-flow-information-in-plain-sight
Hoewel het hierboven niet gaat over fysieke opslag (ik meen dat theregister wel een artikel heeft waaruit blijkt dat dit voor hyperscalers moeilijk te zeggen valt), maar over toegang vanaf een gebied binnen de jurisdictie hierboven. Voor de AVG is deze toegang van belang.
Alfabetisch tot de letter D/E....?
Dat lijstje zal groter zijn.
Als een Amerikaanse onderaannemer voor data opslag de servers in Duitsland heeft staan, mag de USA er dan bij?
Naar mijn kennis mogen de NSA erbij volgens Amerikaanse wet, dit is dus niet EU-privacyproof!
KLOPT
Verder is ook erg belangrijk om te weten waar en welke beheersoftware wordt gebruikt.
Indien deze bv in een ander land staat, heeft dat ook impact op de continuïteit/veiligheid.
En vergeet uiteraard hun onder leveranciers niet!!
HET GAAT OM TOTALE IMPACT!
Daarna is er nog wie er juridisch toegang kunnen opeisen... Bv een voordeur van t bedrijf in een anderland voor hetzij de dienstverlener of een van de onderaannemers.
Microsoft Subsidiary
Personnel Locations
Algeria Ecuador Latvia Qatar
...
Dominican Republic Kuwait Portugal
Contract Staff
Personnel Locations
Argentina Egypt Japan Serbia
...
Ecuador Jamaica Romania
Uit:
https://learn.microsoft.com/en-gb/microsoft-365/enterprise/personnel-loc/m365-personnel-location?view=o365-worldwide
Met dan aan:
https://www.computerweekly.com/news/366632040/Microsoft-hides-key-data-flow-information-in-plain-sight
Hoewel het hierboven niet gaat over fysieke opslag (ik meen dat theregister wel een artikel heeft waaruit blijkt dat dit voor hyperscalers moeilijk te zeggen valt), maar over toegang vanaf een gebied binnen de jurisdictie hierboven. Voor de AVG is deze toegang van belang.
Alfabetisch tot de letter D/E....?
Dat lijstje zal groter zijn.
Nee, iets mis met kopieren en plakken denk ik....
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?