AWS claimt 100 procent GDPR-compliance voor de cloud

Met nog een korte periode te gaan tot de General Data Protection Regulation (GDPR) van toepassing is, staat het onderwerp hoog op de agenda. Zo ook tijdens de Amazon Web Services Public Sector Summit in april. Techzine ging naar Brussel om door middel van interviews en sessies meer te weten te komen over de aanpak van de cloudprovider.

Bij de openingskeynote wordt direct duidelijk hoe AWS hier tegenover staat: alle aangeboden diensten zijn sinds 26 maart GDPR-compliant. Dat is twee maanden voor de deadline van 25 mei. Hoewel dit voor het evenement al was aangekondigd, verdient het toch nadere toelichting. GDPR kent namelijk vele bepalingen die verschillende zaken verplicht.

In gesprek met Vice President World Wide Public Sector Teresa Carlson en Vice President Europe, Middle East and Africa Public Sector Max Peterson wordt duidelijk waar AWS deze claim op baseert.

Gedeelde verantwoordelijkheid

In de contracten met de klanten is afgesproken hoe de rolverdeling ligt. Daarin staat duidelijk dat de klant zijn eigen data bezit. AWS weet zodoende niets over de applicaties en data van de klant. De klant is dus de databeheerder.

De taak van AWS zit hem in het leveren van een platform om de data op te slaan en het leveren van de computerkracht om die data te verwerken. Bij die twee rollen horen andere verantwoordelijkheden. Dit noemt AWS ook wel een gedeeld verantwoordelijkheidsmodel.

Specifieke bepalingen

We vragen ons dan uiteraard af wat de cloudprovider precies levert op het gebied van GDPR. AWS vindt het namelijk belangrijk om met middelen te komen voor de gebruiker, security is immers één van de belangrijkste pijlers voor de cloud. Aanvankelijk waren zorgen rondom veiligheid namelijk een groot obstakel dat de snelheid van cloudadoptie beperkte.

In eerste instantie richt een deel van GDPR compliance zich op het versleutelen van persoonlijke gegevens, iets wat tegenwoordig vrij gebruikelijk is voor communicatie – al is het helaas nog niet altijd de standaard. Wat AWS eigenlijk doet is zijn gebruikers de mogelijkheid bieden om eigen security-maatregelen te implementeren. Het bedrijf benoemt een aantal specifieke bepalingen uit GDPR waar je daardoor aan kunt voldoen:

  • Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen.
  • Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen.
  • Een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

Het gaat hier om artikel 32 van GDPR, waarmee niet zomaar alles gedekt is. In totaal bestaat de verordening namelijk uit 99 artikelen. De claim van 100 procent GDPR compliant betekent dus niet dat een gebruiker van AWS in één klap ook compliant is. We moeten het eerste bedrijf nog tegenkomen dat dat kan garanderen.

Persoonlijke ondersteuning

Het gaat zoals gezegd om de diensten van AWS zelf die GDPR compliant zijn. Daarnaast kiest het bedrijf ervoor om zijn klanten op weg te helpen. Dit gebeurt vanuit de kantoren over de gehele wereld, waaronder ook in de Europese Unie (EU).

Deze locaties houden zich met verschillende activiteiten bezig, bijvoorbeeld technische ondersteuning en sales. Vaak zie je daar dan weer lokale activiteiten uit voortkomen. Zo neemt AWS deel aan de Cloud Infrastructure Service Providers in Europe (CISPE)-groep. Daar zijn meerdere locaties verantwoordelijk voor, maar bijvoorbeeld iemand van het Berlijnse kantoor is daar heel druk mee bezig.

AWS besteedt ook aandacht aan lokale behoeftes. In de EU wordt er samengewerkt met de EU-instellingen. Daarbij houdt AWS rekening met alle eisen van de EU, zodat regeringen (zoals de Nederlandse) er vertrouwen in hebben dat er sprake is van compliance.

Sommige klant hebben echter extra ondersteuning nodig, omdat ze zich in landen bevinden met extra eisen naast de GDPR-richtlijnen. Het kan dan voorkomen dat de klant geen AWS-kantoor in zijn eigen land heeft. In dat geval helpen kantoren uit buurlanden, onder de voorwaarde dat de locatie over de juiste expertise bezit om dit te doen.

Garanderen van compliance

Peterson haalt op dit gebied nog iets aan wat hij belangrijk vindt voor de gehele organisatie en het platform AWS: security by design. Security vanaf het begin inbouwen betekent bijvoorbeeld dat ieder service team en iedere business groep beschikt over een veiligheidsexpert. Deze aanpak verzekert dat er compliance is.

Toch is het daadwerkelijk blijven voldoen aan richtlijnen voor veel bedrijven een lastige taak. Hier wil AWS mee helpen door middel van de Amazon Inspector tool. Wat deze tool doet is ervoor zorgen dat er daadwerkelijk blijft worden voldaan aan de veiligheidsrichtlijnen. Door een geautomatiseerde controle vindt er eens per uur, week of maand een beoordeling plaats.

Dit is een wezenlijk verschil met de gebruikelijke gang van zaken: een security team formuleert een aantal eisen en kijkt één keer per jaar of het allemaal nog klopt. Het probleem hierbij is dat je als gebruiker niet weet wat er de andere 364 dagen gebeurt. Met de real-time check kom je erachter als een beheerder een aanpassing in het systeem maakte, maar het niet in navolging is van de voorgeschreven richtlijnen.

Ook buiten de EU

Aansluitend vragen we aan Carlson wat de GDPR voor de rest van de wereld gaat betekenen. Hoewel de 18 verschillende AWS-regio’s voor het grootste gedeelte dezelfde diensten hebben, kunnen ze op detail toch nog wat van elkaar verschillen. Het zou bijvoorbeeld kunnen betekenen dat een compliance dienst in Parijs beschikbaar is, maar diezelfde dienst in Sydney niet wordt aangeboden.

Carlson zegt hierover dat AWS precies dezelfde infrastructuur aanbiedt op de verschillende locaties. Bij een zelfde infrastructuur zal het toepassen van een beveiligingsmaatregel of nalevingsmodule automatisch doorwerken op de gehele wereld. Daardoor zullen alle klanten automatisch dezelfde GDPR-compliant infrastructuur gebruiken. Oftewel: als AWS in de EU compliant is, dan is het automatisch over de hele wereld compliant.

Dat is op papier in ieder geval een geruststellende gedachte. Hoe het in de praktijk zal uitpakken, zullen we na 25 mei mee gaan maken. Het is in ieder geval goed om te weten dat AWS niet alleen zelf GDPR compliant is, het bedrijf staat ook klaar om de klant te helpen. Daar zullen partijen ook de komende periode nog veelvuldig gebruik van maken, schatten we zo in.