De onthullingen van NSA-klokkenluider Edward Snowden roepen vragen op. Hoe verstandig is het om naar een cloudplatform te migreren? Hoe veilig zijn de bedrijfsgegevens bij een (veelal Amerikaanse) cloudleverancier? Is het formeel toegestaan? Toezichthouders laten het achterste van hun tong nog niet zien, maar wij hebben wel een beeld waar het naartoe beweegt.
Er zijn veel argumenten om voor moderne IT-opties in de cloud te kiezen, maar is het veilig en mag het nu wel of niet? Veel organisaties geven wel kaders, maar het is heel lastig om te bepalen wat voor u als organisatie verantwoord is. Wij kennen de ins en outs van deze vraagstelling zodanig, dat we voor u de relevante kaders en risico’s op een rijtje kunnen zetten, zodat u een keuze kunt maken.
Die bestuurlijke afweging voor al dan niet in de cloud is gebaseerd op het risicoprofiel van de informatievoorziening. Betreft het persoonsgegevens? Bijzondere persoonsgegevens zoals gezondheidsgegevens, godsdienst en etniciteit? Om wat voor aantallen hebben wij het? Bij welke organisatieprocessen verwerken we welke gegevens? Met behulp van welke systemen van welke leveranciers? Met welke ketenpartijen hebben wij te maken? Hoe interessant zijn wij als doelwit van economische spionage? Wat nu het Safe Harbor regime in Brussel ter discussie staat?
Ook het perspectief van de relevante toezichthouders is niet onbelangrijk. Toezichthouders als CBP en DNB plegen terughoudend te zijn als er bewuste keuzes zijn gemaakt door een organisatie. Of dat keuzes onderdeel zijn van een planmatige reeks van verbeteringsslagen waarbij er bewust prioriteiten zijn gesteld om grote risico’s met een grote impact als eerste aan te kunnen pakken met de middelen die beschikbaar zijn. Waarbij opgemerkt moet worden dat pure kostenargumenten het veelal minder goed doen bij toezichthouders.
Kortom, een goede inventarisatie, zowel van de huidige situatie, de huidige en toekomstige risico’s zijn onmisbare ingrediënten om een bestuurlijke afweging rondom Cloud computing te kunnen maken. Waarbij perfectie van relatief ondergeschikt belang is ten opzichte van een totaalvisie en denken nadrukkelijk voor doen uitgaat.
Wij zijn bereid voor u inzichtelijk te maken, welke regels voor u daadwerkelijk relevant zijn en op basis van een scan van uw feitelijke situatie een beeld te geven welke (formele) risico’s u nu loopt, ook in het licht van de zich ontwikkelende wet- en regelgeving. Van een beeld bij de te lopen imagoschade tot concrete boetes en dwangsommen.
Op basis van uw context en specifieke vraag kunnen wij vooraf de kosten van een cloud compliance scan aangeven. Deze scan gaat uit van drie niveaus: eenvoudig, standaard en uitgebreid, met elk een vaste prijs. Bij elke variant ontvangt u een beknopte rapportage met daarin de uitgangspunten, formele kaders en feitelijke risico’s voor uw organisatie. Op basis hiervan kunnen bestuurders en managers de afweging maken wel en niet in de cloud te zetten.
Wilt u meer weten over deze scan en/of verantwoord werken in de cloud?