Blog door ICTRecht

Het grotere geheel: digitalisering en outsourcing

Onder druk wordt alles vloeibaar: in 2020 is de wereld in rap tempo gedigitaliseerd, uit pure noodzaak vanwege COVID-19. Naast werkend Nederland wist ook lerend en studerend Nederland de samenwerkapplicaties goed te vinden. Maar dat alles was natuurlijk niet mogelijk geweest als de afgelopen jaren niet al enorme stappen waren gezet op het gebied van digitalisering en online werken. Deze beweging is al langer gaande.

Met de digitalisering neemt ook specialisatie toe. Waar in het verleden veel organisaties zoveel mogelijk van hun bedrijfsprocessen zelf wilden controleren en dus in house uitvoerden, is dat vanwege het specialistische karakter niet altijd meer mogelijk, laat staan wenselijk. Steeds meer organisaties kiezen ervoor om te focussen op hun core business en om ondersteunende of randzaken uit te besteden aan andere partijen, die daar weer hun specialisme van hebben gemaakt.

De datacenterbranche is daar een goed voorbeeld van: waar organisaties vroeger nog eigen servers in de kelder hadden brommen, kiezen zij vandaag de dag liever voor de kwaliteit, flexibiliteit en kostenefficiëntie van een professioneel datacenter. Of ze besluiten om meteen maar alle IT te outsourcen.

Toenemende wettelijke beveiligingsverplichtingen

Hoe groter de belangen worden, hoe meer de wetgever zich ermee gaat bemoeien. Inmiddels is de digitalisering vergevorderd; in ieder geval zijn we in grote mate afhankelijk van IT. Dat geldt niet alleen voor individuele organisaties, maar ook voor de maatschappij als geheel. Het is dan ook niet verwonderlijk dat er steeds meer regeltjes komen om alles dat met IT te maken heeft, in goede banen te leiden. Al is het maar omdat de voorbije jaren ons geleerd hebben dat automatisering niet zonder risico’s is, die bovendien een aanzienlijk gewicht in de schaal leggen. Als er iets fout gaat kan dat directe gevolgen hebben voor onze veiligheid, privacy of andere grondrechten en vrijheden die horen bij een democratie.

Genoeg reden om in 2018 de privacywetgeving (Algemene Verordening Gegevensbescherming of ‘AVG’) aan te scherpen, dus. Maar vergeet ook de Wet beveiliging netwerk- en informatiesystemen (‘Wbni’) niet. Deze wet verplicht aanbieders van essentiële diensten om te zorgen voor ‘passende technische en organisatorische beveiligingsmaatregelen’. Een term die we ook al kennen uit de AVG, als het gaat om het beschermen van privacygevoelige informatie. Daarnaast zien we ook in sectorale wetgeving steeds meer aandacht ontstaan voor
informatiebeveiliging (zoals de zorg en financiële markten).

Veiligheid alleen is niet genoeg: risk management behoeft bewijs

Naast de verplichting om gevoelige informatie adequaat te beveiligen, bevat zowel de AVG als de Wbni een meldplicht bij incidenten. Deze meldplicht leidt enerzijds tot beter overzicht en inzicht in incidenten, evenals hun oorzaken en oplossingen. Anderzijds leiden meldplichten tot transparantie en daarmee tot een afbreukrisico voor de organisatie die getroffen is door het incident: als blijkt dat het incident het gevolg is geweest van jouw laakbare houding, knulligheid of gebrekkige aanpak, dan kan dat serieuze imagoschade tot gevolg hebben. Tel daarbij op dat er tegenwoordig flinke boetes kunnen worden uitgedeeld wanneer de beveiliging van gevoelige informatie niet op orde is en het is logisch dat de C-suite van veel organisaties inmiddels doordrongen is van het belang van goede beveiliging.

Niet ieder incident kan voorkomen worden. Maar het wordt voor organisaties steeds belangrijk om, vanwege het risico op reputatieschade en het risico op boetes, aan te kunnen tonen dat de beveiliging op orde was en dat hen dus géén verwijt kan worden gemaakt. Om dit aantoonbaar te maken is bewijsmateriaal nodig.

Positie van datacenters

Omdat ketens vanwege veelvuldige outsourcing steeds omvangrijker worden, zal het bewijs van passende beveiliging op verschillende plekken in de keten moeten worden gevonden. Organisaties die eindverantwoordelijk zijn voor de keten en die waarde hechten aan informatiebeveiliging en de aantoonbaarheid daarvan, richten hun pijlen dan ook steeds vaker op hun leveranciers. Om het vanuit het perspectief van de klant van het datacenter en in de context van compliance te stellen: de focus verschuift van beveiligingsmaatregelen m.b.t. bedrijfsmiddelen en de fysieke beveiliging daarvan naar het beheren van leveranciersrelaties.

Uiteraard hebben datacenters een breed palet aan klanten (van hosting of SaaS providers tot overheden en multinationals) en bieden zij verschillende soorten diensten (van rackspace tot complete managed services). Voor de één zal het voldoende zijn om een ISO27001-certificaat in te zien; de ander wil een assuranceverklaring zoals SOC of ISAE3402. Maar er zullen ook steeds meer partijen zijn die zelfs daar geen genoegen mee nemen en een aanvullend assessment of audit willen uitvoeren. Mede omdat de compliance-afdeling vaak niet precies weet welke diensten eigenlijk bij het datacenter worden afgenomen en daarom liever een iets te uitgebreid assessment doet, dan dat zaken over het hoofd worden gezien.

Het loont voor datacenters om daarop voorbereid te zijn. Weet wie je klanten zijn en welke behoeften zij hebben; niet alleen op functioneel gebied, maar ook t.a.v. compliance. Op die manier kun je anticiperen op de vragen die gaan komen, en je klanten helpen om de juiste vragen aan jou te stellen. Daardoor wordt het beantwoorden ervan sneller en efficiënter. Maar wellicht nog belangrijker: ook voorafgaand aan het starten van een samenwerking zal steeds vaker een compliance toets worden uitgevoerd. Datacenters die daarop voorbereid zijn en proactief de benodigde informatie en documenten kunnen opleveren zullen een streepje voor hebben bij anderen. Zo zie je dat ook in deze branche security een selling point kan zijn.