Our expert opinion on cloud.

Kun je disk-encryptie van de cloud service provider gebruiken om te voorkomen dat je een datalek moet melden bij de Autoriteit Persoonsgegevens?

Posted by Bart M. Veldhuis on 30-okt-2017 7:28:00
Find me on:

Op het eerste oog lijkt de disk-encryptie zoals die door de grote cloud providers wordt aangeboden een zinloze feature. Voor de meeste risico's waar je wilt dat disk-encryptie tegen beschermt werkt het namelijk niet. Zodra  de servers opstarten en de opslagvolumes benaderen zullen deze toch echt ontsleuteld moeten zijn. Hierdoor biedt disk-encryptie geen bescherming tegen een hacker die een draaiende server weet te compromitteren. De volumes en de data zijn op dat moment gewoon toegankelijk zonder dat de sleutels opnieuw vereist zijn. 

Daarnaast is er natuurlijk het kip-en-ei probleem van de encryptiesleutels, waar laat je deze? Zonder de sleutels zijn de opslagvolumes onbenaderbaar dus moeten deze sleutels op de een-of-andere manier aan de servers meegeleverd worden, bijvoorbeeld via de boot-strap als de server opstart. Dan verblijft die sleutel toch weer ergens binnen het beveiligingsdomein van de provider, bijvoorbeeld op een Key Management Service zoals Amazon KMS of Azure Key Vault. Waarom is het dan toch een goed idee servers en databases waar persoonsgegevens verwerkt worden te voorzien van de door de provider geboden disk-encryptie?Lees hier verder over disk-encryptie opties

Situatie: een datalek bij de cloudprovider

Neem de volgende situatie; onder het standaard contract is de cloudprovider een dataverwerker (data processor). Als deze dataverwerker een beveiligingsincident te verduren krijgt ontstaat er een kettingreactie.

Een dergelijke melding van een provider zal waarschijnlijk als volgt geconstrueerd zijn: "Gedurende de periode X hebben de beveiligingsmaatregelen voor service Y onvoldoende gewerkt waardoor de integriteit van de data niet kan worden gegarandeerd."

Buiten welke dienst er is geraakt kan en wil de provider niks zeggen over welke data er is getroffen en of hier persoonsgegevens bij betrokken zijn. Het is dus vervolgens aan de afnemer van de clouddienst (de Verantwoordelijke) om te beoordelen of er een eventuele melding moet worden gedaan bij de Autoriteit Persoonsgegevens (AP). Omdat het in deze situatie niet is uit te sluiten dat er onrechtmatig data is verwerkt loop je het risico dat het wordt beoordeeld als datalek en je wellicht melding moet doen aan de AP. Een melding aan de AP is in eerste instantie vertrouwelijk, indien de inbreuk mogelijk nadelige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene zelf zal er echter een melding aan de betrokkene gedaan moeten worden. Een dergelijke melding aan de massa (klanten, klanten van klanten, enz) is natuurlijk zeer onwenselijk vanwege de te verwachte imagoschade; nog even afgezien van de complexiteit en kosten van een dergelijke melding.

Disk-encryptie als mitigerende maatregel

Dit is het scenario waarbij de geboden disk-encryptie wel uitkomst biedt. Als uit de melding blijkt dat het beveiligingsincident zich beperkt tot het opslagsysteem van de cloud provider (zoals de block storage of de object storage) en niet rijkt tot de plek waar de sleutels worden bewaard (zoals de Key Management Service) is het doen van een melding aan betrokkenen niet noodzakelijk. Er kan immers redelijkerwijs uitgesloten worden dat er onrechtmatige verwerking van de data heeft plaats gevonden. Een (vertrouwelijke) melding aan de AP kan misschien niet geheel uitgesloten worden maar de imago schade blijft uit.

artikel 34a Wbp.png

En zo heeft een op het eerste oog nutteloze functie toch nog een heel nuttig doel: het voorkomen van imago schade door een datalek bij de cloudprovider. 

Wat is 'gepast' en op niveau?

Let-op: Encryptie wordt gezien als een technische beschermingsmaatregel; of die 'gepast' en op niveau is, hangt van het niveau van encryptie af.  De wet gebruikt de woorden 'gepast’, en ‘onbegrijpelijk gemaakt voor een ieder die geen recht heeft op kennisname van de gegevens’. Er zijn meerdere scenario's om te werken met de disk-encryptie van de provider waarbij de sleutels op verschillende plekken worden bewaard. Deze scenario's bieden verschillende beschermingsniveaus en beschermen tegen aanvullende risio's. In dit artikel beschrijf ik de verschillende implementatie opties.Lees hier verder over disk-encryptie opties

Collega Christian van Barneveld heeft een artikel geschreven over hoe je een datalek kunt voorkomen door gebruik te maken van AWS Macie

Dit artikel is tot stand gekomen met input van Arthur van der Wees (advocaat bij Arthur's Legal) die op zijn eigen blog regelmatig schrijft over de juridische aspecten van data en Internet of Things.

Topics: Wet- en regelgeving, Cloud Security