Online Trust Coalitie

Omdat vertrouwen in clouddiensten vanzelfsprekend moet zijn.

Vertrouwen in de keten

De digitale, online-economie is een netwerkeconomie, nagenoeg iedereen is onderdeel geworden van een complexe digitale wereld.

Consumenten en bedrijven zijn voor hun dagelijkse bezigheden afhankelijk van producten en diensten die onderling verbonden zijn. Het overzichtelijke IT- en sourcingmodel uit de jaren negentig heeft plaatsgemaakt voor lange, complexe ketens met gespecialiseerde dienstenaanbieders. Terwijl de drempel voor gebruik van diensten en data lager is geworden, is de drempel voor het verkrijgen van zekerheden juist hoger geworden. Afnemers, aanbieders, toezichthouders, inspecteurs, consumenten en de overheid worstelen allemaal met gebrek aan transparantie en zekerheid op het gebied van weerbaarheid, continuïteit, kwaliteit, betrouwbaarheid, informatieveiligheid en privacy van de diensten die ze gebruiken en de data die ze opslaan en delen. In veel gevallen is de beveiliging van de diensten prima op orde, maar is er geen afdoende of bruikbaar bewijs voor afnemers en stakeholders. Kortom, er is als het gaat om onlinediensten soms een probleem met de betrouwbaarheid, maar vaker nog een vertrouwensprobleem. Dat moet worden opgelost. Want, de inspanning van deze partijen om zekerheden te krijgen gaat ten laste van de inspanning om te kunnen digitaliseren. Daarmee is het verstrekken- en verkrijgen van zekerheid over onlinediensten ook een economische noodzaak. Assurance, het gedachtegoed van de OTC wordt hiermee steeds belangrijker en is het enige instrument om deze zekerheden te waarborgen.

Zekerheid moet laagdrempelig beschikbaar zijn. Bedrijven moeten direct kunnen beoordelen of een dienst geschikt is voor het beoogde gebruik. Aanbieders moeten dat eenvoudig en op een uniforme manier kunnen aantonen. Toezichthouders en de overheid moeten helpen om die normen te bieden.

Meer info: https://onlinetrustcoalitie.nl

Online Trust Coalitie en Zeker Online
Bouwstenen voor een Europees normenkader

De gangbare aanpak voor het realiseren van zekerheid, in zowel Nederland als in de EU, is een inzet op (meer) regels en normen voor veiligheid, weerbaarheid en betrouwbaarheid. Maar die sterkere regulering leidt niet automatisch tot meer vertrouwen. De OTC zet daar een andere aanpak tegenover, die voortkomt uit de voor Nederland zo kenmerkende expertise op het gebied van Assurance. Niet meer specifieke regels zijn nodig, maar het bewijs van het toepassen van die regels, en hun effectiviteit. De ondernemer moet de ruimte houden om de meest effectieve aanpak te kiezen, die past bij de organisatie in kwestie, maar moet wel bewijzen dat die aanpak werkt. Dat moet voorop staan.

Feit is dat de overheid, private sector, toezichthouders, auditors en belangenorganisaties dit probleem zelfstandig niet kunnen oplossen. Ook voor andere allianties, coalities en initiatieven dan de OTC is een samenwerking is onontbeerlijk. Niet alleen in Nederland maar in heel Europa. De samenwerking die de OTC heeft met Gaia-X, Industrial Data Spaces, Duitsland, Frankrijk, ENISA, de Commissie, NEN/NEN CENELEC en andere Nederlandse en Europese partijen (denk aantoonaangevende bedrijven als Exact en het Smart Connected Supplier Network met daarachter ASML, dat steunt op de Europese maakindustrie of IShare dat in Nederland vele honderden transportbedrijven verbindt en gedurende de coronacrisis en Brexit heeft laten zien hoe cruciaal die verbinding is voor het opvangen van de grote momentane veranderingen in de goederenstromen) is hiervoor essentieel. Het vergt nog minstens een aantal jaar om het gedachte goed te kunnen verankeren binnen Europa. De OTC werkt als een horizontale satéprikker tussen de partijen om samenwerking te bewerkstellingen. Door Use Cases en PoC’s demonstreert de OTC hoe vertrouwen in complexe keten de wendbaarheid van die ketens kan versterken en soevereiniteit en innovatie mogelijk maakt. Een samenwerking waarin elke stakeholder vanuit het eigen perspectief een bijdrage levert om de ambitie te realiseren. Dat is de ambitie en aanpak van Online Trust Coalitie.

Privacywetgeving
Verantwoording en AVG

In de AVG ligt de nadruk op het kunnen afleggen van verantwoording. Certificering is in dat verband een nadrukkelijke optie.

Verantwoordelijkheden in de hele keten zijn nu nog niet altijd goed belegd, waardoor er onduidelijkheid kan ontstaan. Verwerkers van data hebben in de eerste plaats een zorgplicht. Gebruikers verwachten nu eenmaal dat iedere opeenvolgende leverancier gedegen zorg draagt voor zijn of haar data. Daarnaast is er een wettelijke verplichting waar de hele keten aan moet voldoen. De diensten van al deze verwerkers in de keten moeten daarom naadloos op elkaar kunnen aansluiten.

Een verwerker en de verantwoordelijke moeten passende technische en organisatorische maatregelen treffen. Het begrip passen is zeer ruim gedefinieerd “als rekening houdend met de stand van de techniek, de uitvoeringskosten als ook met de aard, de omvang, de context van de verwerking. Partnering Trust wil het normenkader laten erkennen als gedragscode die specifiek toe ziet op deze passende beveiliging. De AVG biedt hier uitdrukkelijk ruimte voor. Afnemers van de met deze gedragscode gecertificeerde diensten hebben dan bewijs dat de verwerker de gestelde verplichtingen nakomen. De aanbieders van online services kunnen als verwerker de diensten dan in de hele Europese Unie leveren.

Europese privacy verorderning
partnering-trust

Modaliteit & normenkader
Zekerheid over de gehele (online) keten 

Om de afnemer zekerheid over de gehele (online) keten te geven, start het normenkader bij de afnemer en de SaaS-leverancier. De afnemer geldt als uitgangspunt.

In de schematische weergave van afbeelding 1 maakt de SaaS-leverancier gebruik van een Platform-as-a-Service (Paas) en Infrastructure-as-a-Service (IaaS) dienst. Uitbesteden mag er bijvoorbeeld niet toe leiden dat de dienst niet als geheel beoordeeld (en dus gecertificeerd) kan worden. De eindleverancier moet er bij de selectie van zijn toeleverancier(s) rekening mee houden dat deze rapporteren op basis van het voorgestelde normenkader.

De normering beslaat drie kwaliteitsgebieden, namelijk (1) de juridische infrastructuur die de basis vormt van het stelsel – het houdt de andere deelgebieden overeind; (2) de technische infrastructuur met focus op IT-beheer en technische beveiligingsmaatregelen; (3) de applicatiestructuur die aandacht heeft voor zowel generieke als specifieke functionaliteiten van de software (zie afbeelding 1).

Audit
De audit wordt uitgevoerd door een onafhankelijke IT-auditor die is ingeschreven bij NOREA en is gebaseerd op de internationale auditstandaard ISAE 3402. De audit heeft minimaal betrekking over een periode van zes maanden en vindt jaarlijks plaats.

Schematische weergave van het stelsel

Het keurmerk staat voor betrouwbaarheid, veiligheid, continuïteit, kwaliteit in functionaliteit en juridische zekerheid. Op basis van deze uitgangspunten is een stelsel van kwaliteitseisen en normen ontwikkeld.

Hierbinnen zijn 3 kwaliteitsgebieden te onderscheiden:

  • Technische infrastructuur (IT Beheer en Beveiliging);
  • Applicatie structuur (generieke en specifieke maatregelen in de applicatie);
  • Juridische infrastructuur.

Voor elk van deze deelgebieden zijn normen vastgesteld.

lagen-model-normenkader

Een schematische weergave van het stelsel, het zogenaamde ‘lagenmodel’ met de deelgebieden in hun onderlinge samenhang.

Wilt u meer informatie over Partnering Trust?

Dan kunt u contact opnemen met ECP / Zeker-OnLine via dit contactformulier.

Zeker Online juist
Min EZK
ECP