Achtergrond

Personeelsgegevens niet veilig in de cloud

Bedrijven en HR-afdelingen zien de overstap naar de cloud als een puur technische beslissing. ‘Dat getuigt van onnozelheid. Het gaat om persoonsgegevens, daar kan van alles mee misgaan.’ Vier vragen over de veiligheid in de cloud.

Wat is het probleem bij cloudcomputing?
Cloudsoftware draait op de computers van de leverancier. ‘Je neemt alleen een dienst af en hoeft geen apparaten te beheren en bij te werken’, zegt manager Christian Prickaerts van de afdeling Forensics van Fox-IT. ‘Je hoeft alleen maar in te loggen. Over de rest hoef je je geen zorgen te maken, tenminste wanneer de cloudprovider de beveiliging serieus opvat.’ En aan dat laatste wil het nog wel eens schorten. Iemand die dat goed beseft is beveiligingsadviseur Maarten Hartsuijker van Classity. Hij test voor bedrijven of hun digitale beveiliging op orde is. Tegenwoordig zijn dat ook vaak ‘cloudleveranciers’. Hartsuijker schrikt van de domme manier waarop gegevens soms beveiligd zijn op de grote computers die cloudleveranciers in datacentra hebben staan. De beveiliging van die servers is volgens Hartsuijker vaak zo bedroevend dat ‘je als klant eenvoudig bij de data van alle andere klanten kunt’.

Welke HR-gegevens kunnen dan gestolen worden?
Wanneer het om een HRM-systeem gaat, betekent dat dus dat iedereen die kan inloggen op een bepaald HRM-pakket, de personeelsgegevens kan zien van alle bedrijven die het pakket afnemen. ‘Als het om een internationale leverancier gaat,’ zegt Hartsuijker, ‘dan spreek je over miljoenen persoonsgegevens die feitelijk toegankelijk zijn voor iedereen die voor een klein bedrag toegang tot de cloud wil kopen.’

Hoe kan het dat leveranciers soms zo slordig omspringen met de veiligheid?
‘Omdat de vraag naar softwarediensten in de cloud toeneemt, haasten veel leveranciers zich om hier een oplossing voor te verzinnen. De makkelijkste oplossing is dan om snel een paar servers in een datacenter neer te zetten, er een ‘cloud’-label op te plakken en klanten uit te nodigen om er gebruik van te maken.’ Prickaerts herkent dit beeld. ‘De cloud is booming business. Maar bij een deel van de cloudproviders ontbreekt het bewustzijn dat ze daarmee persoonsgegevens onder beheer krijgen.’

Geen HR-gegevens in de cloud dus?
‘Het is niet per se onverstandig om personeelsgegevens in de cloud te verwerken’, aldus Prickaerts. ‘Maar wanneer je een systeembeheerder hebt die erg bedreven is in informatiebeveiliging, moet je je drie keer afvragen of je je HRM-systemen buiten je bedrijfsmuren zou willen laten draaien. Als een bedrijf alleen op het kostenplaatje let en verwacht te kunnen besparen met de cloud, kan het van een koude kermis thuiskomen.’
(Auteur:Jolein de Rooij | 24-04-2012)

Deel dit bericht via: