Partnering Trust

Partnering Trust in online services

Vertrouwen in de keten

Sinds 25 mei 2018 is de wet Algemene verordening gegevensbescherming (AVG) van toepassing. De AVG maakt onderscheid tussen verwerkingsverantwoordelijken (degenen die persoonsgegevens verzamelen en het doel van- en de middelen voor de verwerking van persoonsgegevens vaststellen ) en verwerkers (de partijen die persoonsgegevens verwerken in opdracht van de de verantwoordelijke). De AVG verplicht beide partijen om verwerkersovereenkomsten te sluiten waarin de verantwoordelijkheden en afspraken tussen de partijen worden vastgelegd. Dat lijkt eenvoudig, maar dat wordt anders als je bedenkt dat dezelfde data vaak door meerdere partijen wordt verwerkt. De keten van afnemer (verantwoordelijke) naar bijvoorbeeld een Software-as-a-Service (SaaS)-leverancier, hostingprovider en het datacenter waarin de data terecht komt, kan lang zijn. Voor elke schakel in de keten moet een verwerkersovereenkomst worden gesloten, een bijna onmogelijke taak.

Deze dimensie van vertrouwen tussen multi-stakeholder partijen wordt aangepakt door de ministeries van Economische Zaken en Klimaat en Justitie en Veiligheid in de roadmap “Veilige hard-en software”. Om vertrouwen in de keten te creëren is het publiek-private project Partnering Trust geïnitieerd. Partnering Trust probeert deze druk te verminderen, orde in de chaos te scheppen en waarborgen te bieden aan afnemers van cloud en andere online diensten, middels een gestandaardiseerd normenkader. Het doel is een goed en internationaal erkend referentiekader te realiseren dat invulling biedt aan de plichten waar leveranciers van online diensten aan moeten voldoen.

Partnering Trust en Zeker Online
Bouwstenen voor een Europees normenkader

Het ministerie van Economische Zaken Klimaat ziet de noodzaak om aanbieders van online diensten (zoals cloud, hosting en andere aanbieders van generieke diensten) te ondersteunen bij de mogelijkheden om hun diensten nationaal en internationaal te kunnen leveren, zodanig dat de aangeboden online diensten bruikbaar zijn voor ondernemers die onderworpen zijn aan bepalingen in de AVG.

Daarom heeft het ministerie van EZK het project Partnering Trust geïnitieerd dat streeft naar de Europese uniformering van eisen aan online ICT-diensten, zodat aanbieders de veiligheid en betrouwbaarheid van hun aanbod helder kunnen specificeren en op uniforme wijze bewijs kunnen leveren van de kwaliteit van diensten.

Partnering Trust richt zich daartoe op de verantwoordelijkheden van de ketenpartners waarbij het vaststellen van veiligheidseisen en kwaliteitsniveau centraal staan. Zo kunnen de deelnemende bedrijven gemakkelijk gebruik maken van elkaars diensten, contracten en audit-verklaringen, ook internationaal.

Ketenaanpak
Om te kunnen voldoen aan de AVG is het van belang de kwaliteit in de hele keten van online dienstaanbieders te waarborgen opdat de eindleverancier verantwoording kan afleggen. Een gestandaardiseerd normenkader – het liefst met modulaire opbouw – is noodzakelijk en maakt het voor toeleveranciers in de online keten makkelijker om op elkaar te kunnen steunen. Dit wordt de modulaire aanpak of ketenaanpak genoemd.

Deelnemers Partnering Trust
Tot nu toe hebben drie Europese keurmerken de intentie om tot een uniform normenkader te komen, te weten Zeker-OnLine (Nederland), Label Cloud (Frankrijk) en Trusted Cloud (Duitsland). Deze landen hebben een overeenkomst getekend tot harmonisatie van een standaard normenkader en streven naar wederzijdse erkenning van elkaars normenkader. Het normenkaders van Zeker-OnLine wordt gebruikt voor Partnering Trust en vormt een geschikt vertrekpunt voor verdere doorontwikkeling.

Privacywetgeving
Verantwoording en AVG

In de AVG ligt de nadruk op het kunnen afleggen van verantwoording. Certificering is in dat verband een nadrukkelijke optie.

Verantwoordelijkheden in de hele keten zijn nu nog niet altijd goed belegd, waardoor er onduidelijkheid kan ontstaan. Verwerkers van data hebben in de eerste plaats een zorgplicht. Gebruikers verwachten nu eenmaal dat iedere opeenvolgende leverancier gedegen zorg draagt voor zijn of haar data. Daarnaast is er een wettelijke verplichting waar de hele keten aan moet voldoen. De diensten van al deze verwerkers in de keten moeten daarom naadloos op elkaar kunnen aansluiten.

Een verwerker en de verantwoordelijke moeten passende technische en organisatorische maatregelen treffen. Het begrip passen is zeer ruim gedefinieerd “als rekening houdend met de stand van de techniek, de uitvoeringskosten als ook met de aard, de omvang, de context van de verwerking. Partnering Trust wil het normenkader laten erkennen als gedragscode die specifiek toe ziet op deze passende beveiliging. De AVG biedt hier uitdrukkelijk ruimte voor. Afnemers van de met deze gedragscode gecertificeerde diensten hebben dan bewijs dat de verwerker de gestelde verplichtingen nakomen. De aanbieders van online services kunnen als verwerker de diensten dan in de hele Europese Unie leveren.

Europese privacy verorderning
partnering-trust

Modaliteit & normenkader
Zekerheid over de gehele (online) keten 

Om de afnemer zekerheid over de gehele (online) keten te geven, start het normenkader bij de afnemer en de SaaS-leverancier. De afnemer geldt als uitgangspunt.

In de schematische weergave van afbeelding 1 maakt de SaaS-leverancier gebruik van een Platform-as-a-Service (Paas) en Infrastructure-as-a-Service (IaaS) dienst. Uitbesteden mag er bijvoorbeeld niet toe leiden dat de dienst niet als geheel beoordeeld (en dus gecertificeerd) kan worden. De eindleverancier moet er bij de selectie van zijn toeleverancier(s) rekening mee houden dat deze rapporteren op basis van het voorgestelde normenkader.

De normering beslaat drie kwaliteitsgebieden, namelijk (1) de juridische infrastructuur die de basis vormt van het stelsel – het houdt de andere deelgebieden overeind; (2) de technische infrastructuur met focus op IT-beheer en technische beveiligingsmaatregelen; (3) de applicatiestructuur die aandacht heeft voor zowel generieke als specifieke functionaliteiten van de software (zie afbeelding 1).

Audit
De audit wordt uitgevoerd door een onafhankelijke IT-auditor die is ingeschreven bij NOREA en is gebaseerd op de internationale auditstandaard ISAE 3402. De audit heeft minimaal betrekking over een periode van zes maanden en vindt jaarlijks plaats.

Schematische weergave van het stelsel

Het keurmerk staat voor betrouwbaarheid, veiligheid, continuïteit, kwaliteit in functionaliteit en juridische zekerheid. Op basis van deze uitgangspunten is een stelsel van kwaliteitseisen en normen ontwikkeld.

Hierbinnen zijn 3 kwaliteitsgebieden te onderscheiden:

  • Technische infrastructuur (IT Beheer en Beveiliging);
  • Applicatie structuur (generieke en specifieke maatregelen in de applicatie);
  • Juridische infrastructuur.

Voor elk van deze deelgebieden zijn normen vastgesteld.

lagen-model-normenkader

Een schematische weergave van het stelsel, het zogenaamde ‘lagenmodel’ met de deelgebieden in hun onderlinge samenhang.

Wilt u meer informatie over Partnering Trust?

Dan kunt u contact opnemen met ECP / Zeker-OnLine via dit contactformulier.

Zeker Online juist
Min EZK
ECP