Dit is het tweede artikel in een reeks van vier, waarin we het gaan hebben over soevereine Cloud, dataclassificatie en Cloud-strategieën.
De hoeveelheid data groeit hard. Zoals we in ons artikel van vorige week schreven werd er in 2020 nog ‘maar’ 64.2 zettabyte aan data gecreëerd en is dit in 2025 naar verwachting maar liefst 181 zettabyte. Er wordt zelfs gezegd dat wereldwijd meer bytes zijn dan zandkorrels. Deze toename leidt tot een steeds groter wordende behoefte aan het in control houden van data. Hierbij stilstaan is ook belangrijk voor uw organisatie, het bepaalt namelijk welke Cloud het beste past. Hoe? U leest het in dit artikel.
Een eeuw geleden was olie wereldwijd de belangrijkste grondstof. Tegenwoordig wordt data gezien als de olie van het digitale tijdperk. Dankzij de enorme toename van de hoeveelheid data, wordt data steeds waardevoller voor organisaties. Kijk maar naar bedrijven als Google en Facebook, die hun geld voornamelijk verdienen met gebruikersdata. Zo verdiende Facebook in 2021 15,49 dollar per kwartaal per Europese gebruiker, terwijl gebruikers zelf nauwelijks weten wat er met hun data gedaan wordt(1). Met alleen al 408 miljoen Europese gebruikers elke maand, is dat een behoorlijk verdienmodel.
Heeft u er wel eens over nagedacht wat voor uw organisatie erger is: het feit dat de IT niet beschikbaar is of het feit dat u uw data niet meer kunt vertrouwen? En heeft u wel eens nagedacht over de waarde van data in uw organisatie? Stel dat deze data niet beschikbaar is of door een cyberaanval op straat komt te liggen, wat zijn hier dan de gevolgen van?
Dat data steeds meer een verdienmodel wordt voor criminelen blijkt ook uit de explosieve stijging van het aantal cyberaanvallen. Zo is het aantal cyberaanvallen op bijvoorbeeld Nederlandse gemeenten in 2021 sterk toegenomen en valt op dat cybercriminelen niet aarzelen om privacygevoelige gegevens van inwoners, bedrijven en medewerkers online te publiceren(2). Het gevolg? Disaster Recovery is tegenwoordig steeds vaker gericht op cyberaanvallen in plaats van op bijvoorbeeld stroomuitval. Uit een onderzoek van IDC onder Amerikaanse en West-Europese organisaties bleek dat in 2021 maar liefst 79% van deze organisaties een beroep op een Disaster Recovery oplossing heeft gedaan, waarbij het in 61% van de gevallen ging om een ransomware-aanval of andere vorm van malware(3). Hierdoor is de bezorgdheid enorm toegenomen en komen er steeds meer vragen rondom dataprivacy, zoals: waar staat mijn data eigenlijk? En wie kan hier eigenlijk allemaal bij? Het vertrouwen in de omgang met data moet omhoog. Maar hoe? De eerste stap hierin is data governance (wet- en regelgeving).
De eerste grote stap richting de bescherming van data werd gezet in 2018. Hierover schreven we in een eerder blog-artikel het volgende: de in 2018 binnen de Europese Unie van kracht geworden General Data Protection Regulation (GDPR of AVG in Nederland) heeft gezorgd voor een veel strengere omgang met privacygevoelige en persoonsgebonden data. Personen hebben er recht op dat privacygevoelige data beschermd wordt, maar ook toegankelijk voor hen is zodat ze deze kunnen inzien en kunnen beslissen of data aangepast of gewist moet worden. Daarnaast komt er steeds meer wetgeving op het gebied van datasoevereiniteit: persoonsgebonden data valt onder de wetgeving van de soevereine staat waarin de data is geproduceerd. Oftewel, als een Nederlands staatsburger vanuit Nederland ergens data aanmaakt of zijn gegevens achterlaat, worden deze beschermd door Nederlandse (en EU-) privacyregels. Een centraal aspect in deze wetgeving is de fysieke locatie van de data, ofwel dataresidentie: veel landen eisen dat organisaties, die in een bepaald land opereren, data over inwoners bewaren op servers die zich binnen de landsgrenzen bevinden.
Governance op het gebied van databescherming is dus een ongoing proces, zo kan vanaf medio 2025 de EU Data Act(4) gaan gelden en moet de komst van NIS2(5) de dataweerbaarheid van organisaties vergroten. Naast het volgen van deze regels, kunt u ook zelf ervoor zorgen dat u uw data in control houdt.
Hoe? Door middel van de tweede stap: het classificeren van data. Dataclassificatie is niets anders dan het toekennen van een bepaalde waarde aan data om het niveau van bescherming te kunnen bepalen. We zien tegenwoordig dat organisaties data classificeren op basis van bijvoorbeeld vertrouwelijkheid en zakelijke impact bij verlies van data. Er bestaan dus allemaal verschillende soorten data, die allemaal in een ander soort Cloud kunnen landen met elk een eigen niveau van bescherming en certificeringen. Om uw meest kritieke data te beschermen, kunt u bijvoorbeeld het best kiezen voor een soevereine Cloud. Datasoevereiniteit begint dus eigenlijk bij dataclassificatie, om zo specifieke garanties te kunnen geven omtrent zaken als dataresidentie en -bescherming.
Volgens het VMware Sovereign Cloud Framework zijn er vier verschillende soorten data: secret, restricted, protected en public data. Bij Fundaments gebruiken we dit framework ook in onze adviezen bij implementatie van Cloud-oplossingen.
Bent u nieuwsgierig in welke fase van datasoevereiniteit uw organisatie zit? Bekijk het in de afbeelding hieronder!
De volgende stap is het bepalen van de juiste Cloud, passend bij uw dataclassificatie. Meer hierover leest u in het artikel van volgende week.
Bronnen:
(1) Tweakers
(2) NOS
(3) ICT/Magazine
(4) Rijksoverheid
(5) Digitale Overheid
