VERDIEPINGSARTIKEL

Werken in de cloud is makkelijk, maar kent ook risico's

Door in de cloud te werken hoeft uw onderneming geen dure software aan te schaffen. De software staat bij de leverancier; hij zorgt voor het beheer, de infrastructuur en het onderhoud. U ‘huurt’ alleen de toegang en het gebruiksrecht en kunt er via internet mee werken.

U kunt overal online (samen)werken aan documenten, plaats- en tijdonafhankelijk. Goede beveiligingsmaatregelen zijn dan wel essentieel.


22 december 2020 7 minuten Door redactie

Dit verdiepingsartikel wordt u aangeboden door Rendement Online


Ook als u via de cloud werkt is uw onderneming als ‘verantwoordelijke’ verplicht om technische en organisatorische maatregelen te treffen om de verwerking van persoonsgegevens te beveiligen. Het is goed mogelijk dat u een gedeelte van de verwerking van persoonsgegevens heeft uitbesteed aan een leverancier van administratie, die de software aanbiedt via de cloud. De wet bepaalt dat de uitbesteding van verwerking van persoonsgegevens aan een dergelijke bewerker moet worden geregeld in een overeenkomst of een andere rechtshandeling. Dit geldt onder meer voor:

  • de verwerking van persoonsgegevens (of een deel daarvan) door een externe partij of een dochteronderneming;
  • de uitbesteding van helpdesk of mailfaciliteiten;
  • het door een ander laten versturen van nieuwsbrieven.

Check met het stappenplan op Rendement Online of u een verwerkersovereenkomst moet sluiten en of er afspraken zijn gemaakt over de beveiligingsnormen, het inschakelen van subwerkers en het melden van datalekken.

Welke diensten bestaan er in de cloud?

We nemen als onderneming een beperkt aantal diensten af in de cloud. Maar welke clouddiensten zijn vooral voor onze afdeling essentieel?

In feite ‘huurt’ u de diensten in de cloud bij een leverancier en benadert deze via internet. Veelgebruikte en minder vaak gebruikte clouddiensten zijn:

  • Software as a Service (SaaS). Het gebruik en beheer van specifieke software zonder dat u die op uw eigen systemen hoeft te installeren.
  • Infrastructure as a Service (IaaS). Bij de aanbieder kunt u zoveel servers aanmaken en gebruiken als u wilt. Meestal betaalt u alleen voor de capaciteit die u daadwerkelijk verbruikt. Dit kan ook een virtuele server zijn.
  • Platform as a Service (PaaS): Platformclouddiensten of Platform as a Service (kortweg PaaS). Dit is een volledig computerplatform dat u bepaalde diensten verstrekt. U ziet en gebruikt dus geen losse servers.
  • Storage as a Service (STaaS). Gewone opslag, onder andere voor archivering en back-updoeleinden.
  • Communications as a Service (CaaS). Communicatiediensten van een leverancier, zoals Voice over IP (VoIP), instant messaging, of videoconferentie-applicaties.
  • Data as a Service (DaaS). U brengt data zoals klantgegevens onder bij een leverancier die ze voor u opslaat, beheert en ordent.
  • Network as a Service (NaaS). U neemt alleen netwerkdiensten af, bijvoorbeeld een Virtueel Privé Netwerk (VPN), of tijdelijke bandbreedte, bijvoorbeeld bij een evenement.
  • Monitoring as a Service (MaaS). Het continu monitoren van de diensten de u heeft draaien, zoals uw netwerk, software en clouddiensten.

Hoe zit het met privacy in de cloud?

Voldoet onze administratie aan de AVG als wij onze gegevens in de cloud opslaan? En klopt het dat we dan een verwerkersovereenkomst moeten sluiten met de leverancier van de clouddiensten?

Uw onderneming kan de verwerking van persoonsgegevens uitbesteden aan een verwerker. Dan is het volgens de Algemene Verordening Gegevensbescherming (AVG) verplicht om een overeenkomst te sluiten met de andere partij.

Als u uw administratie in de cloud heeft staan bij bijvoorbeeld Google of Microsoft, dan bent u als gebruiker akkoord gegaan met de voorwaarden die gelden voor dataverwerking van de clouddiensten.

Vaak sluit u een overeenkomst met een Europese dochter van het Amerikaanse bedrijf. Hiermee heeft u dus voldaan aan de eis uit de AVG om een verwerkersovereenkomst te sluiten. U hoeft dus niet een aparte verwerkersovereenkomst met Google of Microsoft te sluiten.

Bestanden veilig in de cloud

De bekendste aanbieders van online opslagruimte zijn:

  • Apple iCloud: voor de Macgebruiker. Gratis tot 5 GB;
  • Microsoft Ondrive: Standaard bij een Microsoft-account krijgt u 5 GB opslag;
  • Google Drive: Handig als u veel gebruikmaakt van Google-diensten, 15 GB gratis;
  • Dropbox: wellicht de bekendste, maar bij een gratis account krijgt u hier slechts 2GB opslagruimte.

Er zijn verschillen tussen de Europese AVG en de privacywetgeving in de VS. Zo bestaat daar lokaal de plicht om toegang te geven tot clouddata als dit verzocht wordt. Vooralsnog geldt dit alleen voor data in de VS, niet voor data via een dochter in de EU.

De autoriteiten sluiten de wetgeving op elkaar aan door een EU-VS-privacyschild, een overeenkomst over de bescherming van persoonsgegevens van EUburgers die in de VS worden verwerkt. Partijen als Google en Microsoft updaten hun gebruikersvoorwaarden. U kunt uw onderneming ook tegen risico’s verzekeren.

Een verzekering dekt niet alle risico’s. En zelfs als uw onderneming een verzekering heeft, moet u er zelf mee aan de slag. Een verzekeraar vraagt altijd om passende preventieve maatregelen. Vraag uw cloudaanbieder waar uw data staan en hoe de beveiliging precies geregeld is!

Binnen de kantoormuren beschikt u ongetwijfeld over een goed beveiligd bedrijfsnetwerk. Maar nu u en uw collega’s (deels) thuiswerken, bent u een gemakkelijke prooi voor cybercriminelen. De verbinding tussen thuis en de zaak is niet per se veilig, dus dat vormt een risico. Dit risico kunt u voorkomen door een VPN te gebruiken.

Een VPN is eigenlijk een soort tunnel op internet waarin een veilige verbinding wordt opgezet tussen de thuiswerkplek en het kantoor. Die tunnel ‘huurt’ u bij een VPNdienstverlener.

Bekijk ons overzicht van de meest gebruikte aanbieders van VPN’s. Let er wel op dat de informatie in deze vergelijking sinds de publicatie in juni 2020 veranderd kan zijn.

Is de escrowovereenkomst er ook voor de cloud?

Ik las onlangs het een en ander over de escrowovereenkomst voor cloudsoftware. Is deze overeenkomst ook geschikt voor cloudsoftware?

Cloudsoftware wordt vaak geïnstalleerd op een server en gebruikt door meerdere afnemers. Stel dat de aanbieder van de cloud failliet gaat, dan wordt de cloud opgeheven en zit u met een groot probleem omdat ook uw toegang is beëindigd. Nog erger wordt het als uw eigen leverancier de cloudserver niet beheert. Uw bestanden kunnen dan overal ter wereld zijn opgeslagen.

Als een Amerikaanse of Chinese beheerder van de cloud failliet gaat, bent u uw bestanden gewoon kwijt. Er is dan ook een steeds grotere tendens om gegevens onder te brengen bij Europese cloudbeheerders.

Er bestaan wel keurmerken voor administratieve cloudoplossingen (SaaS, Zeker Online). Het keurmerk staat voor betrouwbaarheid, veiligheid en continuïteit. Dat geldt voor het totaalpakket van de dienstverlening door de aanbieder die het keurmerk voor zijn oplossing heeft verworven.

Er bestaat niet één enkel keurmerk voor de cloud. Leveranciers ervan zijn vaak aangesloten bij branches. Als u gebruikmaakt van een cloudoplossing die van dit keurmerk is voorzien, bent u gewoon eigenaar van uw gegevens en u kunt voortdurend hierover beschikken. Dit keurmerk betekent ook dat de administratieve cloudoplossing steeds aansluit bij de relevante actuele wet- en regelgeving.

Hoe werkt boekhouden in de cloud?

Wij willen onze klanten ook helpen met slimme tools en financieel inzicht om hun cijfers te kunnen interpreteren. Met alleen het scherp inkopen van een boekhoudpakket of -clouddienst bent u er nog niet.

Steeds meer kantoren investeren in automatisering via scan-en-herken en boekhouding in de cloud. Inmiddels heeft ruim de helft van de kantoren (65%) cloud-software geïntroduceerd bij haar klanten en is 11% er mee bezig.

Boekhouden in de cloud wordt al door 84% van de kantoren gebruikt. Nieuwe vormen van dienstverlening, zoals dataanalyse, benchmarking en KPI-dashboards ontwikkelen zich gestaag. Dit blijkt uit de Benchmark Kantoorcijfers van de Nederlandse Orde van Administratie- en Belastingdeskundigen (NOAB) en Fiscount.

Het online boekhouden zorgt er voor dat u en uw klanten in dezelfde boekhouding kunnen werken, tegelijkertijd vanaf verschillende locaties. U gaat dus sámen boekhouden. U verdeelt de taken, maakt daar afspraken over en zo ontstaat een compleet nieuwe samenwerking. Als de taken eenmaal verdeeld zijn, kunt u verder snel en efficiënt op afstand afhandelen. Om uw klanten goed van dienst te kunnen zijn moet u wel werken met de juiste cloudprovider.

De kwaliteit van de cloudprovider wordt bepaald door de volgende vijf onderdelen:

  • Datacentrum. De kwaliteit van het datacentrum heeft onder meer te maken met de constructie van het gebouw, de fysieke toegangsbeveiliging, brandbeveiliging, voorzieningen bij stroomuitval, de koeling, milieuvriendelijkheid en duurzaamheid, beschikbaarheid van aansluitingen op het internet.
  • Computing-infrastructuur. Het gaat hier om de hardware. Ga na of de configuraties bestand zijn tegen uitval en hoe snel u capaciteit kunt toevoegen. Ook de toegangsbeveiliging, het onderhoud, de opslagsystemen en backupvoorzieningen zijn belangrijke aandachtspunten.
  • Samenwerkende clouddiensten. De complexiteit van clouddiensten maakt het moeilijk om alles in eigen beheer te organiseren. De meeste clouddienst-aanbieders werken dan ook met gespecialiseerde leveranciers voor het datacentrum en de computing-infrastructuur. Bij clouddiensten en -services is bijna altijd sprake van een keten van leveranciers.
  • Virtualisatie. Een veel gebruikte technologie voor de onderlinge infrastructuur is virtualisatie. Daarmee kan een leverancier snel capaciteit bijschakelen en onderhoud plegen aan hardware. Dat gebeurt zonder verstoring van de beschikbaarheid van de clouddiensten voor de gebruikers.
  • Organisatie. Een goed beheer van een datacentrum en de daarin geplaatste systemen vergt een breed takenpakket:
    • het regelen van de toegangsbeveiliging, zowel tot het gebouw als – via internet – tot de servers;
    • het updaten en beveiligen van de servers en de software;
    • het monitoren en regelen van belasting/capaciteit van het netwerk. Dat vereist goed opgeleide werknemers en heldere procedures.
  • Toepassingssoftware. Denk hierbij aan de toegangsbeveiliging, mogelijkheden voor monitoring, uitwisselbaarheid van gegevens. De toepassingssoftware legt bijvoorbeeld vast wie welke gegevens op welke manier verandert. Het bestand waarin deze gegevens staan is een zogenoemde audit-trail.
  • Juridische aspecten. Continuïteit (faillissement, calamiteiten, storingen), wettelijke zaken rond eigendomsrecht, auteursrecht, privacy en overstapmogelijkheden.

Hoe versleutel ik mijn bestanden in de cloud?

Het versleutelen van bestanden kan handig zijn als wij vertrouwelijke informatie willen delen via de cloud, zoals Dropbox of iCloud.

Versleutelde bestanden kunnen alleen worden geopend door degene die de unieke sleutel of het wachtwoord in zijn bezit heeft. Versleuteld opslaan is dus een goede manier om onze bestanden extra te beschermen.

Wel even opletten dat u de unieke sleutel of het specifieke wachtwoord niet kwijtraakt, want als dat gebeurt zijn de bestanden ook voor u niet meer toegankelijk.

Er bestaan diverse soorten software om bestanden te versleutelen. Dit kan bijvoorbeeld met:

  • Versleutelingssoftware:
    • 7-zip*: verplaatsen naar een versleutelde container, waardoor uw bestanden veilig achter uw wachtwoord in een bestandskluis zitten.
    • AESCrypt*: individuele bestanden versleutelen en ontsleutelen.
  • De optie in Microsoft Office om bestanden met een wachtwoord te versleutelen. Hiermee kunt u bestanden versleutelen die te openen zijn in een van de Microsoft Office-programma’s, zoals Word, PowerPoint en Excel:
    • Open het bestand dat je wilt versleutelen.
    • Klik op ‘Bestand’ bovenaan in het scherm.
    • Klik op ‘Document beveiligen’.
    • Kies in het pop up-menu voor de optie ‘Versleutelen met een wachtwoord’.
    • Kies een wachtwoord.

Let op: als u uw bestanden op deze manier versleutelt, kunt u deze niet meer openen met Google Docs of Adobe Reader.

Het complete verhaal over werken in de cloud leest u in themadossier FA Rendement Eerste hulp bij al uw desktopzaken.