De Cloud en continuïteit
Zoals u wellicht weet bestaat elk informatiesysteem uit vijf onderdelen: hardware en software, gegevens en gebruikers en als vijfde procedures. Niet lang geleden bevond het hele informatiesysteem zich onder één dak, dat van de eigenaar/gebruiker. Een sleutel op de deur was een belangrijk onderdeel van de informatiebeveiliging. Dat is met de komst van “The Cloud” ingrijpend veranderd. Zowel hardware als software worden digitaal via de Cloud als dienst ter beschikking gesteld. Op die manier hoef je geen eigenaar meer te zijn van de hard- en /of software, maar kun je op afstand gebruik maken van bijvoorbeeld een server (hardware) en een e-mailapplicatie (software). Dit laatste wordt Software as a Service (SaaS) genoemd. Als gevolg van die veranderingen zitten de gegevens niet alleen op afstand van de eigenaar maar ook buiten zijn beschikkingsmacht. Dat kan vervelende gevolgen hebben. Een duidelijk voorbeeld is de GDPR. Om aan die Europese wetgeving te kunnen voldoen moeten persoonsgegevens te allen tijde beschikbaar zijn voor de eigenaar van het informatiesysteem.
In de informatiemaatschappij lijkt het erop dat we meer aandacht hebben voor de voordelen van informatietechnologie dan voor de achterzijde van de medaille, de nadelen. Die nadelen zijn bijna volledig weg te werken met enig denkwerk en door gebruik te maken van bestaande organisaties, wet- en regelgeving en beroepsgroepen. Een voorwaarde is wel kennis van broncodes, auteursrecht en de samenhang daarvan met informatiebeveiliging. In het zojuist verschenen boek ‘Samen Software Beveiligen’ wordt het belang van die wisselwerking uitvoerig uitgelegd.
Het helpt helemaal als dat gecombineerd kan worden met kennis over de levensloop van software. Want software is een gewoon product met net als elk ander product een levensloop van ontstaan tot einde levensduur. Het bijzondere aan software is dat er eigenlijk drie levenslopen zijn: de technische, de juridische en de exploitatie levensloop. En dan is er nog de bijzondere functionaliteit van alle software: er worden gegevens mee vastgelegd.
Dit maakt dat Cloud- en SaaS-technologie extra aandacht vraagt voor de beveiliging en vooral de beschikbaarheid van de gegevens. Want als de software niet meer beschikbaar is zijn de gegevens dat ook niet meer! Terwijl de eigenaar van de gegevens zich wel moet houden aan allerlei vormen van bewaarplichten en bewaarbehoeften (bewijslast).
Dit kan allemaal prima geregeld worden met kennis van broncodes, auteursrecht en informatiebeveiliging. Maar gebeurt het ook en gebeurt het ook met oog voor vele details? Voor een goede aanpak zijn verschillende specialisten nodig zoals: een IT-jurist, een IT-auditor en een IT-notaris. Als die samenwerken vallen er geen gaten en is er geen overlap in de beveiligingsmaatregelen. Precies wat je als verantwoordelijke voor informatiesystemen nodig hebt. Bovendien heb je dan een kostenvoordeel! En IT-notarissen (dit zijn notarissen met een specialisatie in IT) vindt u in heel Nederland.
Henri Hensen